Definition

Risikobewertung (Risk Assesssment)

Was ist eine Risikobewertung?

Unter Risikobewertung (englisch: Risk Assessment) versteht man den Prozess der Identifizierung von Gefahren, die sich negativ auf die Fähigkeit einer Organisation auswirken könnten, ihre Geschäfte zu führen. Diese Bewertungen helfen dabei, inhärente Geschäftsrisiken zu identifizieren und Maßnahmen, Prozesse und Kontrollen zu veranlassen, um die Auswirkungen dieser Risiken auf den Geschäftsbetrieb zu verringern.

Risikobewertungen tragen dazu bei, die Gesundheit und Sicherheit von Mitarbeitern und Kunden zu gewährleisten, indem potenzielle Gefahren ermittelt werden. Ziel dieses Prozesses ist es, festzustellen, welche Maßnahmen ergriffen werden sollten, um diese Risiken zu mindern. Bestimmte Gefahren oder Risiken können zum Beispiel die Art der Schutzausrüstung bestimmen, die ein Arbeitnehmer benötigt.

Die verschiedenen Branchen weisen unterschiedliche Arten von Gefahren auf, so dass die Risikobewertungen von Branche zu Branche unterschiedlich ausfallen.

Bei der Risikobewertung werden Schwachstellen und Schwachpunkte, die ein Unternehmen gefährden könnten, analysiert. Zu den potenziellen Schwachstellen können Konstruktionsmängel, Sicherheitsprobleme und Prozesssystemfehler gehören. Unternehmen können ein Risikobewertungs-Framework (Risk Assessment Framework, RAF) verwenden, um Prioritäten zu setzen und die Details der Bewertung weiterzugeben, einschließlich aller Risiken für ihre IT-Infrastruktur. Das Rahmenwerkhilft einer Organisation, Gefahren und alle durch diese Gefahren gefährdeten Geschäftswerte sowie die potenziellen Auswirkungen zu identifizieren, wenn diese Risiken eintreten. Wenn die Auswirkungen einer Gefahr groß genug sind, kann eine Strategie zur Risikominderung entwickelt werden.

In großen Unternehmen wird der Prozess der Risikobewertung in der Regel vom Chief Risk Officer (CRO) oder einem Chief Risk Manager (CRM) durchgeführt.

Risikobewertungen sind auch ein wichtiger Bestandteil einer Risikoanalyse - ein ähnlicher Prozess zur Identifizierung und Analyse potenzieller Probleme, die sich negativ auf wichtige Geschäftsinitiativen oder Projekte auswirken könnten.

Schritte der Risikobewertung

Die Art und Weise, wie eine Risikobewertung durchgeführt wird, ist sehr unterschiedlich und hängt von den spezifischen Risiken des jeweiligen Unternehmens, der Branche und den für das jeweilige Unternehmen oder die Branche geltenden Compliance-Regeln ab. Es gibt jedoch fünf allgemeine Schritte, die Unternehmen unabhängig von ihrer Geschäftsart oder Branche befolgen können.

Schritt 1: Identifizieren Sie die Gefahren. Ermitteln Sie alle potenziellen Gefahren, die im Falle ihres Eintretens die Fähigkeit der Organisation, ihre Geschäfte zu führen, negativ beeinflussen würden. Zu den potenziellen Gefahren, die bei der Risikobewertung berücksichtigt oder ermittelt werden können, gehören Naturkatastrophen, Versorgungsausfälle, Cyberangriffe und Stromausfälle.

Schritt 2: Ermitteln Sie, was oder wer geschädigt werden könnte. Bestimmen Sie, welche Geschäftswerte negativ beeinflusst werden könnten, wenn das Risiko eintritt. Zu den Vermögenswerten, die durch diese Gefahren gefährdet sind, können kritische Infrastrukturen, IT-Systeme, Geschäftsabläufe, der Ruf des Unternehmens und sogar die Sicherheit der Mitarbeiter gehören.

Schritt 3: Bewerten Sie das Risikoniveau und entwickeln Sie Kontrollmaßnahmen. Eine Risikoanalyse kann dazu beitragen, die Auswirkungen von Gefahren auf das Betriebsvermögen zu ermitteln und einen Rahmen für das Risikomanagement festzulegen, um die Auswirkungen dieser Gefahren auf das Betriebsvermögen zu minimieren oder zu beseitigen. Andere Bedrohungen sind Sachschäden, Betriebsunterbrechungen, finanzielle Verluste und rechtliche Sanktionen.

Schritt 4: Aufzeichnung der Ergebnisse. Die Ergebnisse der Risikobewertung sollten vom Unternehmen aufgezeichnet und als leicht zugängliche, offizielle Dokumente abgelegt werden. Die Aufzeichnungen sollten Einzelheiten über potenzielle Gefahren, die damit verbundenen Risiken und Pläne zur Vermeidung der Gefahren enthalten.

Schritt 5: Überprüfen und aktualisieren Sie die Risikobewertung regelmäßig. Potenzielle Gefahren, Risiken und die daraus resultierenden Kontrollen können sich in einem modernen Geschäftsumfeld schnell ändern. Für Unternehmen ist es wichtig, ihre Risikobewertungen regelmäßig zu aktualisieren, um sich an diese Veränderungen anzupassen.

Werkzeuge zur Risikobeurteilung, zum Beispiel Vorlagen zur Risikobeurteilung, sind für verschiedene Branchen erhältlich. Sie können sich für Unternehmen als nützlich erweisen, die ihre ersten Risikobewertungen entwickeln oder ältere Bewertungen aktualisieren.

Wie man eine Risikobewertungsmatrix verwendet

Eine Risikobewertungsmatrix zeigt die Wahrscheinlichkeit des Eintretens von Ereignissen und die möglichen Folgen. Risikomatrizen können in Form von 2×2-, 3×3-, 4×4- oder 5×5-Diagrammen erstellt werden - der erforderliche Detaillierungsgrad kann bei der Festlegung der Größe helfen. Die Farbcodierung der Matrix ist von entscheidender Bedeutung, da sie die Wahrscheinlichkeit und die Auswirkungen der ermittelten Risiken darstellt. Bei einer Risikobewertung sind viele Faktoren zu berücksichtigen. Eine Matrix organisiert Risikodaten und andere Elemente, um die Durchführung einer Bewertung zu erleichtern.

Mit einer Risikomatrix kann das jeweilige Risiko entsprechend eingestuft werden.
Abbildung 1: Mit einer Risikomatrix kann das jeweilige Risiko entsprechend eingestuft werden.

Quantitative vs. qualitative Risikobewertungen

Risikobewertungen können quantitativ oder qualitativ sein. Bei einer quantitativen Risikobewertung ordnet der Chief Risk Officer oder der Chief Risk Manager der Wahrscheinlichkeit des Eintretens eines Ereignisses und den damit verbundenen Auswirkungen numerische Werte zu. Diese Zahlenwerte können dann zur Berechnung des Risikofaktors eines Ereignisses verwendet werden, der wiederum in einen Eurobetrag umgerechnet werden kann.

Qualitative Risikobewertungen, die häufiger verwendet werden, beinhalten keine numerischen Wahrscheinlichkeiten oder Vorhersagen von Verlusten. Das Ziel eines qualitativen Ansatzes ist es, einfach eine Rangfolge der Risiken aufzustellen, die die größte Gefahr darstellen.

Während die qualitative Risikoanalyse auf der Einschätzung des Risikos durch eine Person beruht, stützt sich die quantitative Risikoanalyse auf spezifische Daten.

Das Ziel von Risikobewertungen

Ähnlich wie bei den Risikobewertungsschritten variieren die spezifischen Ziele der Risikobewertungen je nach Branche, Art des Unternehmens und relevanten Compliance-Vorschriften. Eine Risikobewertung der Informationssicherheit sollte beispielsweise Lücken in der IT-Sicherheitsarchitektur des Unternehmens aufdecken und die Einhaltung der für die Informationssicherheit geltenden Gesetze, Verordnungen und Vorschriften überprüfen.

Das allgemeine Ziel einer Risikobewertung besteht darin, potenzielle Gefahren zu bewerten und sie zu beseitigen oder zu mindern.

  • Zu den gemeinsamen Zielen bei der Durchführung einer IT-Risikobewertung könnten beispielsweise die folgenden gehören:
  • Entwicklung eines Risikoprofils, das eine quantitative Analyse der Arten von Bedrohungen liefert, denen die Organisation ausgesetzt ist.
  • Entwicklung eines genauen Inventars von IT-Ressourcen und Datenbeständen.
  • Rechtfertigung der Kosten für Sicherheitsmaßnahmen zur Minderung von Risiken und Schwachstellen.
  • Identifizierung, Priorisierung und Dokumentation von Risiken, Bedrohungen und bekannten Schwachstellen für die Produktionsinfrastruktur und -anlagen des Unternehmens.
  • Festlegen der Budgetierung zur Behebung oder Minderung der identifizierten Risiken, Bedrohungen und Schwachstellen.
  • Den ROI (Return on Investment) richtig einschätzen, wenn Mittel in die Infrastruktur oder andere Unternehmensressourcen investiert werden, um potenzielle Risiken auszugleichen.

Oberstes Ziel der Risikobewertung ist es, die Gefahren zu bewerten und das mit diesen Gefahren verbundene Risiko zu bestimmen. Bei der Bewertung sollten nicht nur die Gefahren und ihre potenziellen Auswirkungen ermittelt werden, sondern auch potenzielle Maßnahmen zur Risikokontrolle, um etwaige negative Auswirkungen auf die Geschäftsprozesse oder Vermögenswerte der Organisation auszugleichen.

Beispiele für Risikobewertungen nach Bereichen

Die Bestandteile einer Risikobewertung unterscheiden sich je nach Branche des jeweiligen Unternehmens. In der Regel werden bei einer Bewertung die spezifischen Bedürfnisse berücksichtigt und entsprechende Kontrollmaßnahmen festgelegt. Einige Beispiele für Risikobewertungen sind die folgenden:

Cybersecurity-Risikobewertungen. Teammitglieder innerhalb einer Organisation nutzen diese, um Risiken durch Cyberbedrohungen im Zusammenhang mit den Systemen und Daten der Organisation zu identifizieren und zu priorisieren.

IT-Risikobewertungen. Das IT- oder Netzwerkteam nutzt diese, um alle Risiken für IT-Systeme, Netzwerke und Daten zu ermitteln.

Gesundheits- und Sicherheitsrisikobewertungen. Sicherheitsbeauftragte nutzen diese, um Gefahren zu ermitteln, die unter die biologischen, chemischen, energetischen und umweltbezogenen Risiken eines Arbeitsplatzes oder einer Tätigkeit fallen.

Risikobewertungen am Arbeitsplatz. Sowohl Büro- als auch Schulverwaltungen nutzen diese, um sicherzustellen, dass ein Arbeitsplatz frei von Gesundheits- und Sicherheitsrisiken ist.

Projektmanagement-Risikobewertungen. Projektmanager und Teammitglieder nutzen diese, um potenzielle Risiken, Gefahren und Auswirkungen eines Projekts zu ermitteln.

Klimarisikobewertungen. Organisationen und Klimarisikoanalysten nutzen diese, um das Potenzial von klimabedingten Ereignissen und Trends zu bewerten, die Schäden und Verluste verursachen könnten, zum Beispiel hohe oder niedrige Temperaturen, Niederschläge und Wirbelstürme.

Diese Definition wurde zuletzt im Mai 2024 aktualisiert

Erfahren Sie mehr über IT-Sicherheits-Management