Zum Inhalt

Risikoanalyse (Bewertung)

Zweck🔗

In der Risikoanalyse bewertest du für jedes relevante Objekt (z.B. Asset, Prozess, Anbieter) die Risiken anhand von Eintrittswahrscheinlichkeit und Auswirkung. Daraus ergibt sich die Risikoklasse, die für die Priorisierung von Maßnahmen genutzt wird.

Aufbau der View🔗

Die Risikoanalyse zeigt dir:

  • oben den ausgewählten Scope,
  • eine Liste deiner Ressourcen (z. B. Assets wie „Adobe Creative Cloud“),
  • pro Ressource die zugeordneten Risiken,
  • den Status je Risiko (z. B. nicht gestartet, in Arbeit, abgeschlossen, nicht relevant).

Statusindikatoren:

  • Sanduhr: nicht gestartet
  • Stift / „In Arbeit“: Bewertung läuft
  • Haken: abgeschlossen
  • Kennzeichnung „nicht relevant“: Risiko wurde bewusst ausgeschlossen

Bedienung🔗

Relevanz prüfen🔗

Bevor du eine Risikoanalyse beginnst, kannst du prüfen, ob ein Risiko für eine Ressource überhaupt relevant ist:

  1. Wähle den Scope und die Ressource.
  2. Wähle das Risiko aus.
  3. Falls das Risiko nicht passt, setze es auf „nicht relevant“.

Damit stellst du sicher, dass du nur diejenigen Risiken bewertest, die im Kontext des BCM wichtig sind.

Risikoanalyse starten🔗

Um ein Risiko erstmals für eine Ressource zu bewerten:

  1. Wähle den Scope.
  2. Wähle ein Objekt (z.B. Asset oder Prozess) aus der Liste.
  3. Wähle das gewünschte Risiko.
  4. Klicke auf „Starte neue Risikoanalyse“.

Die Detailansicht für das Risiko öffnet sich.

Bewertung von Wahrscheinlichkeit und Auswirkung🔗

In der Detailansicht bewertest du:

  • Eintrittswahrscheinlichkeit (z. B. sehr gering bis sehr hoch – orientiert am BSI-Standard)
  • Auswirkung (z. B. sehr niedrig bis sehr hoch)

Das System berechnet daraus automatisch:

  • das Initialrisiko (Bruttorisiko vor Maßnahmen),
  • das Akzeptanzlevel brutto.

Du kannst zusätzlich eine Begründung für deine Bewertung hinterlegen, z. B. auf Basis der in der BIA auf dem BCM ermittelten Kritikalität oder der vorhandenen technischen/organisatorischen Schutzmaßnahmen.

Behandlungsoption festlegen🔗

Für jedes Risiko legst du fest, wie damit umgegangen werden soll:

  • Vermeiden (z. B. Prozess ändern oder abschaffen)
  • Reduzieren (zusätzliche Maßnahmen implementieren)
  • Transferieren (z. B. Versicherungen, Outsourcing)
  • Akzeptieren (bewusst akzeptiertes Restrisiko)

Falls du dir unsicher bist, erläutert das Info-Icon neben den Optionen die Bedeutung im Detail.

Die Auswahl beeinflusst, wie das Risiko im weiteren Verlauf betrachtet und welche Maßnahmen erforderlich werden.

Risiken fortschreiben🔗

Wenn sich Rahmenbedingungen ändern (z. B. neue Infrastruktur), kannst du eine bestehende Risikobewertung:

  • *Risikobewertung fortsetzen (Risk Assessment weiterführen) oder
  • archivieren und neu starten.

Beim Archivieren wird:

  • die alte Bewertung erhalten,
  • der Status auf „in Arbeit“ zurückgesetzt,
  • der Behandlungsplan nicht übernommen (er wurde idealerweise bereits umgesetzt).

So kannst du historische und aktuelle Bewertungen in der Übersicht miteinander vergleichen.

Hinweise & Best Practices🔗

  • Nutze – wenn möglich – abgestimmte Bewertungskriterien (z.B. aus Richtlinien), damit unterschiedliche Bereiche vergleichbar bewerten.
  • Dokumentiere bei ungewöhnlichen Bewertungen kurz im Kommentar, warum hier bewusst von der „Standardlogik“ abgewichen wird.