Wie Sie eine Risikoanalyse

Eine Risikoanalyse ist eine strukturierte Methode zur Identifizierung, Bewertung und Priorisierung von Risiken, die die Ziele, Vermögenswerte oder Funktionen einer Organisation beeinträchtigen können. Ziel ist es, eine fundierte Entscheidungsgrundlage dafür zu schaffen, wie mit Risiken umgegangen werden soll — durch Reduktion, Transfer, Akzeptanz oder Vermeidung.

Eine vollständige Risikoanalyse umfasst sechs Kernkomponenten:

• Schutzobjekte

  Was geschützt werden muss — Informationen, Menschen, Finanzen, Marke, Verfügbarkeit.

• Bedrohungen und Schwachstellen

  Was schiefgehen kann — von Cyberangriffen und Lieferantenausfällen bis hin zu Personalmangel.

• Eintrittswahrscheinlichkeit

  Wie wahrscheinlich es ist, dass etwas eintritt, basierend auf Erfahrungswerten und dem Umfeld.

• Folgenabschätzung

  Wie schwerwiegend die Auswirkungen sein werden, ausgedrückt in messbaren Größen (Geld, Ausfallzeit, Kundenverlust).

• Risikobewertung

  Kombination aus Eintrittswahrscheinlichkeit und Folgen im Verhältnis zur Risikotoleranz der Organisation.

• Aktionsplan

  Was dagegen unternommen wird — mit Verantwortlichem, Frist und Nachverfolgung.

Die Risikoanalyse ist die Grundlage systematischer Sicherheitsarbeit im Rahmen von Frameworks wie ISO 31000, ISO 27005, NIS2, DSGVO und ISO 27001. In manchen Kontexten (insbesondere im Arbeitsschutz) wird der Prozess als Risikobewertung bezeichnet — die Begriffe werden häufig synonym verwendet.

Eine Risikoanalyse ist aus drei Gründen unverzichtbar.

Regulatorische Compliance. NIS2, DSGVO, ISO 27001, DORA und ähnliche Regelwerke verlangen ein dokumentiertes Risikomanagement. Ohne Risikoanalyse kann die Organisation nicht nachweisen, dass die Sicherheitsarbeit systematisch erfolgt.

Ressourcenpriorisierung. Keine Organisation verfügt über ein unbegrenztes Sicherheitsbudget. Die Risikoanalyse zeigt, welche Risiken tatsächlich zuerst adressiert werden sollten — basierend auf Eintrittswahrscheinlichkeit, Folgen und Maßnahmenkosten.

Entscheidungsunterstützung für die Führungsebene. Eine Risikoanalyse übersetzt technische und operative Risiken in eine Sprache, auf die Geschäftsführung und Vorstand reagieren können. Sie macht Sicherheit zu einem unternehmerischen Thema, nicht zu einem IT-Thema.

Eine kompakte Version der strukturierten Methode. Jeder Schritt verweist auf einen vertiefenden Artikel.

• Schritt 1 — Schutzobjekte identifizieren

  Beginnen Sie damit, aufzulisten, was die Organisation tatsächlich schützen muss: Informationen, Verfügbarkeit, finanzielle Vermögenswerte, Marke, Menschen, Compliance. Ohne Schutzobjekte wird die Risikoanalyse zu einer abstrakten Übung. Mehr lesen: Schutzobjekte identifizieren →

• Schritt 2 — Umfang festlegen

  Legen Sie klar fest, was in den Umfang fällt — die gesamte Organisation, einen bestimmten Prozess, ein System, eine Lieferkette. Definieren Sie den Zeithorizont und die beteiligten Stakeholder. Mehr lesen: Umfang und Grenzen →

• Schritt 3 — Bedrohungen und Risiken identifizieren

  Systematische, bereichsübergreifende Arbeit. Gehen Sie Bedrohungen je Schutzobjekt, je Bedrohungskategorie (Cyber, physisch, Personal, Lieferant, regulatorisch) und je Szenario durch. Beziehen Sie sowohl IT als auch das Geschäft ein. Mehr lesen: Bedrohungen und Risiken identifizieren →

• Schritt 4 — Eintrittswahrscheinlichkeit und Folgen bewerten

  Verwenden Sie eine 5×5-Matrix mit klar definierten Skalen. Legen Sie fest, was jede Stufe tatsächlich bedeutet — in Geld, Ausfallzeit, Kundenverlust oder einer anderen messbaren Einheit. Mehr lesen: Eintrittswahrscheinlichkeit und Folgen →

• Schritt 5 — Maßnahmen priorisieren

  Das Endergebnis sind keine roten Felder in der Matrix — es ist eine priorisierte Liste von Maßnahmen. Wählen Sie je Risiko eine Strategie: reduzieren, transferieren, akzeptieren oder vermeiden. Priorisieren Sie nach Wirkung pro Aufwand. Mehr lesen: Maßnahmen jenseits der Matrix priorisieren →

• Schritt 6 — Die Analyse lebendig halten

  Eine Risikoanalyse ist kein einmaliges Projekt. Überprüfen Sie sie regelmäßig und aktualisieren Sie sie bei Vorfällen, Änderungen und neuen regulatorischen Anforderungen. Eine klare Verantwortlichkeit ist unerlässlich. Mehr lesen: Die Analyse lebendig halten →

• Schritt 7 — Frameworks zuordnen

  Stellen Sie sicher, dass die Risikoanalyse die Anforderungen der geltenden Frameworks erfüllt — ISO 27001, NIS2, DSGVO, DORA oder andere. Mehr lesen: Risikoanalyse und Compliance →

[Den vollständigen Hauptleitfaden Schritt für Schritt lesen →](/guide/genomfora-riskanalys)

Verschiedene Frameworks stellen unterschiedliche Anforderungen daran, wie eine Risikoanalyse durchgeführt und dokumentiert werden muss.

• ISO 31000 — Allgemeines Risikomanagement

  Internationaler Standard für Risikomanagement auf übergeordneter Ebene. Definiert Grundsätze, Rahmenwerk und Prozess. Dient als Basis für andere Standards. Mehr über ISO 31000 →

• ISO 27005 — Informationssicherheitsrisiken

  Fokussiert speziell auf Risiken im Zusammenhang mit der Informationssicherheit. Ergänzt ISO 27001 und bietet eine detaillierte Methodik zur Risikobewertung.

• ISO 27001 — Informationssicherheitsmanagement

  Erfordert eine dokumentierte Risikobewertung und einen Risikobehandlungsplan. Die Risikoanalyse ist ein zentraler Bestandteil der Zertifizierung. Mehr über ISO 27001 →

• NIS2-Richtlinie

  Seit 2025 in nationales Recht umgesetzt. Verlangt Risikomanagementmaßnahmen für wesentliche und wichtige Einrichtungen in kritischer Infrastruktur, Gesundheitsversorgung, öffentlicher Verwaltung und mehr. Mehr über NIS2 →

• DSGVO und DSFA

  Bei der Verarbeitung personenbezogener Daten, die ein hohes Risiko birgt, muss eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden — eine spezifische Art der Risikoanalyse. Mehr über DSGVO-Risikoanalyse →

• DORA — Digital Operational Resilience Act

  Regelt die operative Resilienz für den Finanzsektor innerhalb der EU. Erfordert ein umfassendes IKT-Risikomanagement.

• MSBFS 2020:6

  Die Vorschriften der schwedischen Behörde für zivile Notfallvorsorge zur systematischen Informationssicherheitsarbeit für staatliche Behörden.

[Welches Framework gilt für Ihre Organisation? →](/guide/genomfora-riskanalys#step-7)

Eine ausgereifte Risikoanalyse unterscheidet je Risiko drei Risikomaße. Dies sind die Begriffe, die ISO-27001-Auditoren und Vorstände erwarten:

• Bruttorisiko (inhärentes Risiko)

  Das Risiko ohne jegliche Kontrollen oder Maßnahmen. Wie schlimm könnte es im schlechtesten Fall werden? Unverzichtbar zur Rechtfertigung von Investitionen.

• Nettorisiko / Restrisiko

  Das Risiko nach Berücksichtigung bestehender Kontrollen. Dieser Wert wird mit Ihrer Risikotoleranz verglichen.

• Zielrisiko

  Das Niveau, das Sie nach geplanten Maßnahmen anstreben. Die Lücke zwischen Netto- und Zielrisiko zeigt, ob die geplanten Maßnahmen ausreichen.

Warum ist das wichtig? Ein Risiko mit hohem Bruttorisiko, aber niedrigem Nettorisiko (dank starker Kontrollen) erfordert Kontrollpflege, keine neuen Maßnahmen. Mehr im Risikoregister-Leitfaden →

Zwei Ressourcen, die den Prozess beschleunigen — eine kostenlose Excel-Vorlage und die RiskNote-App.

• Herunterladbare Risikoanalyse-Vorlage (Excel)

  Eine strukturierte Excel-Vorlage mit 5×5-Matrix, Schutzobjekt-Inventar und Maßnahmenliste — aufgebaut nach ISO 31000. Offener Download, keine Registrierung erforderlich. Vorlage herunterladen →

• RiskNote — KI-gestützte Risikoanalyse in 20 Minuten

  Mobile App, die Sie durch die Risikoanalyse führt. Sie beschreiben das Unternehmen, die KI schlägt relevante Risiken basierend auf Branche und Schutzobjekten vor, und Sie erhalten in 20 Minuten ein strukturiertes Risikoregister mit 5×5-Matrix. Kompatibel mit NIS2, DSGVO, ISO 27001 und ISO 31000. Verfügbar für iOS und Android, 11 Sprachen. Mehr über RiskNote →

Vertiefendes Material zu jedem Schritt der Methode.

• Schutzobjekte identifizieren

  Was tatsächlich geschützt werden muss — und wie Sie vermeiden, kritische, aber unsichtbare Vermögenswerte zu übersehen. Zur Vertiefung →

• Umfang und Grenzen in der Risikoanalyse

  Wie Sie klare Grenzen setzen, ohne Abhängigkeiten zu übersehen. Zur Vertiefung →

• Bedrohungen und Risiken identifizieren

  Bereichsübergreifende Methode mit vier Perspektiven: Schutzobjekt, Bedrohungskategorie, Szenario, Lieferkette. Zur Vertiefung →

• Eintrittswahrscheinlichkeit und Folgen — Skalen, die funktionieren

  Wie Sie die Stufen der 5×5-Matrix in messbaren und verteidigbaren Begriffen definieren. Zur Vertiefung →

• Maßnahmen jenseits der Matrix priorisieren

  Warum rote Felder kein Aktionsplan sind — und wie Sie die größte Wirkung pro Aufwand erzielen. Zur Vertiefung →

• Die Risikoanalyse lebendig halten

  Überprüfungszyklen, Verantwortlichkeiten und Auslöser, die dafür sorgen, dass die Analyse nicht in einer Schublade verschwindet. Zur Vertiefung →

• Risikoanalyse und Compliance

  Wie Sie die Analyse ISO 27001, NIS2, DSGVO und DORA zuordnen, ohne doppelte Arbeit. Zur Vertiefung →

Bei einer Risikoanalyse geht es nicht darum, eine leere Excel-Tabelle mit Kategorien zu befüllen. Es geht darum, auf strukturierte Weise zu verstehen, was die Organisation schützen muss, was schiefgehen kann und welche Maßnahmen die größte Wirkung pro Aufwand bringen.

Die Methode umfasst sieben Schritte: Schutzobjekte → Umfang → Bedrohungen und Risiken → Bewertung → Maßnahmenpriorisierung → laufende Nachverfolgung → Framework-Zuordnung.

Tools wie RiskNote machen die Methode für mehr Menschen zugänglich — ohne das menschliche Urteilsvermögen zu ersetzen.

Methode zuerst. Tools danach. Sicherheit immer.

Fragen zur Risikoanalyse oder möchten Sie besprechen, wie RiskNote zu Ihrer Organisation passt? Kontaktieren Sie uns →