Risikoanalyse & Risikomatrix
In dieser Lerneinheit tauchst du in die systematische Risikoanalyse nach BSI-Standards ein und lernst den Aufbau und die Anwendung von Risikomatrizen kennen. Du erfährst, wie Risiken in verschiedene Kategorien eingestuft werden und übst die praktische Erstellung einer Risikomatrix anhand konkreter IT-Szenarien. Diese Methoden helfen dir dabei, Bedrohungen für IT-Systeme strukturiert zu bewerten und die richtigen Schutzmaßnahmen auszuwählen.
Einführung
Stell dir vor, du bist IT-Sicherheitsverantwortlicher in einem mittelständischen Unternehmen. Eines Morgens erfährst du, dass ein kritischer Server gehackt wurde. Der Schaden? 50.000 Euro. Die bittere Erkenntnis: Der Angriff hätte durch eine systematische Risikoanalyse verhindert werden können.
Eine Risikomatrix ist dabei wie ein Frühwarnsystem: Sie hilft dir, Gefahren nicht nur zu erkennen, sondern auch ihre Dringlichkeit einzuschätzen. Du erfährst, welche Risiken sofort angegangen werden müssen und welche weniger kritisch sind.
In dieser Lerneinheit lernst du Schritt für Schritt, wie du eine effektive Risikoanalyse durchführst und eine Risikomatrix erstellst. Mit diesem Wissen kannst du nicht nur IT-Systeme besser schützen, sondern auch fundierte Entscheidungen über Sicherheitsinvestitionen treffen.
Lernziele
Nach dieser Lerneinheit kannst du:
-
Die grundlegenden Begriffe und Komponenten einer Risikoanalyse definieren und in eigenen Worten erklären
-
Eine Risikomatrix systematisch aufbauen und die verschiedenen Dimensionen (Eintrittswahrscheinlichkeit und Schadensausmaß) korrekt einordnen
-
Risiken nach dem BSI IT-Grundschutz in verschiedene Kategorien klassifizieren und ihre Bedeutung für die IT-Sicherheit bewerten
-
Für ein gegebenes IT-Szenario eine einfache Risikomatrix erstellen und die identifizierten Risiken darin einordnen
-
Fundierte Entscheidungen über Sicherheitsmaßnahmen auf Basis einer Risikoanalyse treffen
Merke: Eine Risikoanalyse und -matrix ist nicht nur im Kontext der IT-Sicherheit relevant, sondern kann auch (unter anderem) für das Projektmanagement (in leicht abgeänderter Form) sinnvoll eingesetzt werden.
Überleitung
Lass uns Schritt für Schritt durchgehen, wie eine professionelle Risikoanalyse nach BSI-Standards aufgebaut ist. Wir beginnen mit den elementaren Gefährdungen, die das BSI bereits identifiziert hat, und lernen dann, wie wir diese in einer Risikomatrix bewerten können.
Dabei werden wir auch ein konkretes Beispiel aus der Praxis nutzen: Einen Virtualisierungsserver mit kritischen Geschäftsanwendungen. An diesem Fall zeige ich dir, wie du systematisch Risiken erkennst, bewertest und die richtigen Maßnahmen ableitest.
Grundlagen der Risikoanalyse
Eine Risikoanalyse ist ein systematischer Prozess zur Identifikation und Bewertung von Gefährdungen. Im IT-Grundschutz nach BSI besteht sie aus drei wesentlichen Schritten:
- Gefährdungsidentifikation: Erkennen möglicher Bedrohungen für IT-Systeme
- Risikoeinschätzung: Bewertung von Eintrittswahrscheinlichkeit und Schadenshöhe
- Risikobewertung: Einstufung der Risiken in verschiedene Kategorien
Das BSI hat bereits 47 elementare Gefährdungen identifiziert, die als Ausgangspunkt für deine eigene Analyse dienen. Diese decken verschiedene Bereiche ab:
- Höhere Gewalt (z.B. Feuer, Naturkatastrophen)
- Organisatorische Mängel
- Menschliche Fehlhandlungen
- Technisches Versagen
- Vorsätzliche Handlungen
Die Risikomatrix im Detail
Die Risikomatrix ist ein zentrales Werkzeug zur Visualisierung und Bewertung von Risiken. Sie besteht aus zwei Dimensionen:
Eintrittswahrscheinlichkeit:
- sehr gering (höchstens alle 5 Jahre)
- mittel (alle 5 Jahre bis einmal im Jahr)
- häufig (einmal im Jahr bis einmal pro Monat)
- sehr häufig (mehrmals im Monat)
Schadensausmaß:
- vernachlässigbar (geringe Auswirkungen)
- begrenzt (überschaubare Auswirkungen)
- beträchtlich (erhebliche Auswirkungen)
- existenzbedrohend (katastrophale Auswirkungen)
Die Kombination dieser beiden Dimensionen ergibt die Risikokategorie:
- geringes Risiko (grün)
- mittleres Risiko (gelb)
- hohes Risiko (orange oder rot)
- sehr hohes Risiko (rot oder dunkelrot)
Die Risikomatrix

Bildquelle: BSI, abgerufen am 21.02.2025
Praktische Anwendung
Nehmen wir als Beispiel einen Virtualisierungsserver (wie in unserem Eingangsbeispiel):
-
Gefährdungsidentifikation:
- G 0.25: Ausfall von Geräten oder Systemen
- G 0.28: Software-Schwachstellen oder -fehler
- G 0.32: Missbrauch von Berechtigungen
-
Risikoeinschätzung:
- Ausfall: mittlere Wahrscheinlichkeit, beträchtlicher Schaden
- Schwachstellen: häufig, begrenzter Schaden
- Missbrauch: selten, existenzbedrohender Schaden
-
Risikobewertung:
- Ausfall: mittleres Risiko
- Schwachstellen: mittleres Risiko
- Missbrauch: hohes Risiko
Diese strukturierte Analyse hilft dir, Prioritäten zu setzen und die richtigen Schutzmaßnahmen auszuwählen.
Fortgeschrittene Risikobehandlung
Nachdem du Risiken identifiziert und bewertet hast, stehen dir vier zentrale Optionen zur Risikobehandlung zur Verfügung:
1. Risikovermeidung
- Komplette Eliminierung des Risikos durch Umstrukturierung
- Beispiel: Verzicht auf unsichere Technologie
- Oft mit hohen Kosten oder Einschränkungen verbunden
2. Risikoreduktion
- Implementierung zusätzlicher Sicherheitsmaßnahmen
- Senkt Eintrittswahrscheinlichkeit oder Schadenshöhe
- Meist der praktikabelste Weg
3. Risikotransfer
- Übertragung des Risikos auf Dritte
- Beispiele: Versicherungen, Outsourcing
- Achtung: Restrisiken bleiben oft bestehen
4. Risikoakzeptanz
- Bewusstes Inkaufnehmen des Risikos
- Nur bei vertretbarem Restrisiko
- Muss dokumentiert und regelmäßig überprüft werden
Dynamische Risikoüberwachung
Eine Risikoanalyse ist kein einmaliger Vorgang, sondern ein kontinuierlicher Prozess:
Monitoring-Zyklen
- Quartalsweise Überprüfung der Risikomatrix
- Jährliche vollständige Neubewertung
- Ad-hoc Analysen bei signifikanten Änderungen
Schlüsselindikatoren (KRIs)
- Anzahl Sicherheitsvorfälle
- Systemverfügbarkeit
- Patch-Status
- Audit-Ergebnisse
Eskalationsprozesse
- Definierte Schwellenwerte
- Klare Verantwortlichkeiten
- Dokumentierte Meldewege
- Vorbereitete Maßnahmenpläne
Integration in den Sicherheitsprozess
Die Risikoanalyse ist eng mit anderen Sicherheitsprozessen verzahnt:
Incident Management
- Vorfälle fließen in Risikobewertung ein
- Risikomatrix bestimmt Incident-Prioritäten
- Lessons Learned aktualisieren Risikoeinschätzungen
Change Management
- Änderungen erfordern neue Risikoanalysen
- Risikobewertung beeinflusst Change-Genehmigung
- Dokumentation der Risikoänderungen
Business Continuity
- Risikomatrix identifiziert kritische Systeme
- Basis für Recovery-Prioritäten
- Input für Notfallpläne
Beispiel: Virtualisierungsserver Bei einem kritischen Change am Virtualisierungsserver:
- Risikoanalyse vor dem Change
- Anpassung der Maßnahmen basierend auf Risikobewertung
- Monitoring während der Implementierung
- Neubewertung nach Abschluss
- Update der Risikomatrix
Ein Lehrstück aus der Praxis: Der Fall RECPLAST GmbH
Lass uns einen realen Fall betrachten, der die Bedeutung systematischer Risikoanalyse verdeutlicht:
Die RECPLAST GmbH, ein (fiktives) mittelständisches Unternehmen mit 500 Mitarbeitern, betreibt einen zentralen Virtualisierungsserver S1, auf dem kritische Geschäftsanwendungen laufen. Im Jahr 2023 führte das Unternehmen zwar regelmäßige technische Updates durch, hatte aber keine strukturierte Risikoanalyse implementiert.
Eines Tages trat folgendes Szenario ein:
- Der Virtualisierungsserver zeigte Performance-Probleme
- Gleichzeitig liefen kritische Monatsabschlüsse
- Eine VM mit der Finanzbuchhaltung stürzte ab
- Die Datensicherung war unvollständig
Die nachträgliche Analyse zeigte:
-
Fehlende Risikoidentifikation:
- Die Abhängigkeiten zwischen VMs waren nicht dokumentiert
- Ressourcenkonflikte wurden nicht als Risiko erkannt
- Backup-Prozesse waren nicht validiert
-
Mangelhafte Risikobewertung:
- Performance-Probleme wurden als ‘geringes Risiko’ eingestuft
- Die Kritikalität der Finanzbuchhaltung war unterschätzt
- Ausfallzeiten wurden nicht berechnet
-
Konsequenzen:
- 2 Tage Verzögerung beim Monatsabschluss
- 40 Arbeitsstunden für Datenwiederherstellung
- Erheblicher Reputationsschaden
Nach diesem Vorfall implementierte RECPLAST eine systematische Risikoanalyse:
- Regelmäßige Überprüfung der Risikomatrix
- Klare Eskalationswege
- Dokumentierte Abhängigkeiten
- Validierte Backup-Strategien
Das Ergebnis: Ein Jahr später konnte ein ähnliches Problem frühzeitig erkannt und ohne Ausfallzeiten behoben werden. Die Investition in die Risikoanalyse hatte sich mehrfach ausgezahlt.
Zusammenfassung und Ausblick
Zusammenfassung
Eine Risikoanalyse nach BSI folgt drei Schritten: Gefährdungsidentifikation, Risikoeinschätzung und Risikobewertung. Das BSI stellt dafür 47 elementare Gefährdungen bereit, die Bereiche wie höhere Gewalt, organisatorische Mängel, menschliche Fehlhandlungen, technisches Versagen und vorsätzliche Handlungen abdecken.
Die Risikomatrix kombiniert zwei Dimensionen: Eintrittswahrscheinlichkeit (von “sehr gering” bis “sehr häufig”) und Schadensausmaß (von “vernachlässigbar” bis “existenzbedrohend”). Daraus ergeben sich Risikokategorien von gering bis sehr hoch.

Für identifizierte Risiken stehen vier Behandlungsoptionen zur Verfügung: Risikovermeidung, Risikoreduktion, Risikotransfer und Risikoakzeptanz. Die Risikoanalyse ist dabei kein einmaliger Vorgang, sondern ein kontinuierlicher Prozess mit quartalsweisen Überprüfungen und definierten Eskalationswegen.
Ausblick
In der nächsten Lerneinheit wendest du dein Wissen praktisch an: Du entwickelst ein konkretes Sicherheitskonzept für einen Arbeitsplatz und setzt dabei die Methoden der Risikoanalyse direkt ein.