Was ist ein Risikoregister?

Ein Risikoregister ist eine strukturierte Liste aller identifizierten Risiken in einer Organisation oder einem Projekt, einschließlich Bewertung, Verantwortlichkeit, Maßnahmen und Status. Es ist operativ: Es soll regelmäßig gelesen, aktualisiert und überprüft werden.

Das Register ist kein Risikobericht. Der Bericht ist eine Momentaufnahme (PDF an den Vorstand), die aus dem Register abgeleitet wird. Das Register sind die lebenden Daten.

In ISO 27001 ist das Risikoregister ein verpflichtender Bestandteil des ISMS (Abschnitte 6.1.2 und 8.2). In ISO 31000 ist es das Standardergebnis des Prozesses. In NIS2 Art. 21 ist es die Voraussetzung für risikobasierte Cybersicherheit.

Ein vollständiges Risikoregister enthält in der Regel folgende Felder pro Risiko:

• ID

  Eindeutige Nummer oder Code (R-001, R-002 …). Ermöglicht es, auf das Risiko zu verweisen, ohne die gesamte Beschreibung zu wiederholen.

• Beschreibung

  Was ist das Risiko? Schreiben Sie 1–2 Sätze. Vermeiden Sie vage Formulierungen (”Risiko von IT-Problemen”), werden Sie konkret (”Ausfall des Rechnungssystems für mehr als 4 Stunden”).

• Kategorie/Domäne

  Operativ, finanziell, strategisch, Compliance, Cyber, Projekt. Erleichtert Filterung und Berichterstattung.

• Eintrittswahrscheinlichkeit (1–5)

  Wie wahrscheinlich es ist, dass das Risiko eintritt. Verwenden Sie eine definierte Skala.

• Auswirkung (1–5)

  Wie schwerwiegend es ist, wenn das Risiko eintritt. Kann separat für finanzielle, operative, reputationsbezogene und Compliance-Aspekte bewertet werden.

• Score / Schweregrad

  W × A = 1–25. Übersetzt sich in niedrig/mittel/hoch/kritisch.

• Verantwortlicher (Owner)

  Namentlich benannte Person, die für das Risiko rechenschaftspflichtig ist. Ohne Verantwortlichen wird nichts erledigt.

• Maßnahme

  Was wird gegen das Risiko unternommen? Akzeptieren, reduzieren, übertragen oder vermeiden. Konkreter Maßnahmenplan, falls reduziert wird.

• Status

  Offen, in Behandlung, behandelt, geschlossen. Ändert sich im Laufe der Zeit.

• Datumsangaben

  Wann wurde das Risiko identifiziert? Wann zuletzt überprüft? Wann erneut?

• Restrisiko

  Eintrittswahrscheinlichkeit und Auswirkung nach der Behandlung. Zeigt, ob die Maßnahme ausreicht.

Ein reifes Risikoregister unterscheidet pro Zeile drei Risikomaße. Dies sind die Begriffe, die ISO-27001-Auditoren und Vorstände erwarten:

• Bruttorisiko (inhärentes Risiko)

  Das Risiko ohne jegliche Kontrollen oder Behandlungen. Wie schlimm könnte es im schlimmsten Fall werden? Wesentlich, um Sicherheitsinvestitionen zu rechtfertigen.

• Nettorisiko / Restrisiko

  Das Risiko nach Berücksichtigung bestehender Kontrollen. Dieser Wert wird mit Ihrer Risikotoleranz verglichen. Wird auch als Restrisiko bezeichnet.

• Zielrisiko

  Das Risikoniveau, das Sie nach geplanten Behandlungen erreichen wollen. Die Lücke zwischen Netto- und Zielrisiko zeigt, ob die geplanten Maßnahmen ausreichen.

Warum ist das wichtig? Ein Risiko mit hohem Bruttorisiko, aber niedrigem Nettorisiko (dank starker Kontrollen) erfordert Kontrollpflege, keine neuen Maßnahmen. Ein Risiko mit niedrigem Bruttorisiko benötigt selten überhaupt eigene Maßnahmen. Ohne diese Unterscheidung wird alles zu einem Haufen.

Für einen KMU (15–50 Personen): 10–30 Risiken sind typisch. Weniger, und Sie übersehen wahrscheinlich Wichtiges. Mehr, und das Register wird schwer handhabbar.

Für eine mittelgroße Organisation (100–500 Personen): 30–80 Risiken über verschiedene Domänen hinweg.

Für große Organisationen: 100+ Risiken, oft aufgeteilt nach Geschäftsbereich oder Domäne.

Für ein Projekt: 10–20 Risiken, aktualisiert pro Sprint oder Lenkungsausschusssitzung.

• Das Register wird nie aktualisiert

  Für die ISO-Zertifizierung erstellt und dann unverändert gelassen. Der Wert geht innerhalb von 6 Monaten verloren.

• Kein Verantwortlicher pro Risiko

  Ohne Verantwortlichen bleibt das Risiko theoretisch. Namentlich benannte Person mit Mandat.

• Risiken ohne Maßnahme

  Ein Risiko ohne Plan zu dokumentieren, bedeutet, das Scheitern zu dokumentieren. Jedes Risiko sollte eine gewählte Reaktion haben (akzeptieren/reduzieren/übertragen/vermeiden).

• Zu abstrakte Formulierung

  ”Risiko von IT-Vorfällen” ist kein Risiko. ”Ransomware-Angriff, der das Rechnungssystem länger als 4 Stunden unzugänglich macht” ist ein Risiko.

• Niemand in der Geschäftsleitung liest es

  Wenn niemand in der Geschäftsleitung das Register aktiv nutzt, ist der Prozess nicht verankert. Beheben Sie das zuerst, nicht das Format.

Excel funktioniert für kleine Register (unter etwa 15 Risiken), wird aber schnell problematisch: Versionskonflikte, defekte Formeln, kein Audit-Trail, schwer kontrolliert zu teilen, keine rollenbasierten Zugriffsrechte.

Ein dediziertes Tool wie RiskNote bietet Ihnen Versionsverlauf pro Risiko, Freigabe per Link mit Rollen, KI-Vorschläge zur Identifikation und PDF-Export direkt aus den Daten, anstatt Berichte manuell zusammenzustellen.

Siehe auch unseren Leitfaden zu Excel-Alternativen für Risikoregister.