Einführungspreis endet in
--T--Std--Minoder erste 20 Plätze
Jetzt sichern →
← Zur Glossar-Übersicht

Glossar

Risikoanalyse — Definition und Bedeutung für die Cybersicherheit

Was bedeutet Risikoanalyse? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.

Veröffentlicht: 23. März 2026Letzte Aktualisierung: 23. März 20263 Min. Lesezeit

Kurzdefinition

Risikoanalyse ist die systematische Ermittlung und Bewertung von Gefährdungen, Schwachstellen, Eintrittswahrscheinlichkeiten und Auswirkungen, um geeignete Sicherheitsmaßnahmen abzuleiten.

Primaerquelle

Art. 21 Abs. 2 Buchst. a Richtlinie (EU) 2022/2555, § 30 Abs. 2 Nr. 1 BSIG, ISO/IEC 27005:2022

Rechtsgrundlage ansehen

Risikoanalyse ist die systematische Ermittlung und Bewertung von Gefährdungen, Schwachstellen, Eintrittswahrscheinlichkeiten und Auswirkungen, um geeignete Sicherheitsmaßnahmen abzuleiten. Für NIS2-betroffene Unternehmen bedeutet Risikoanalyse, dass Cybersicherheitsrisiken regelmäßig, dokumentiert und auf Basis eines gefahrenübergreifenden Ansatzes bewertet werden müssen, damit technische und organisatorische Maßnahmen nachvollziehbar priorisiert werden können.

Definition

Risikoanalyse beantwortet in der Praxis vier Kernfragen: Welche Bedrohungen sind relevant, welche Schwachstellen bestehen, wie wahrscheinlich ist ein Vorfall und wie hoch wäre der Schaden? Das Ergebnis ist keine abstrakte Liste, sondern eine belastbare Grundlage für Schutzbedarfsfeststellung, Maßnahmenplanung und Managemententscheidungen.

Im Unterschied zur allgemeinen Risikowahrnehmung ist eine Risikoanalyse methodisch aufgebaut. Sie betrachtet nicht nur klassische Cyberangriffe, sondern im NIS2-Kontext einen All-Gefahren-Ansatz. Gemeint sind also auch technische Ausfälle, Fehlkonfigurationen, Lieferkettenprobleme, menschliche Fehler, externe Dienstleister und betriebliche Abhängigkeiten. Genau deshalb ist Risikoanalyse ein Kernbaustein eines ISMS und eng mit Schwachstellenmanagement verbunden.

Relevanz für NIS2

Für NIS2-betroffene Unternehmen ist Risikoanalyse keine freiwillige Best Practice, sondern Teil der regulatorischen Mindestanforderungen. Art. 21 Abs. 2 Buchst. a der NIS2-Richtlinie nennt ausdrücklich Konzepte für Risikoanalyse und Sicherheit von Netz- und Informationssystemen. Der deutsche Umsetzungsrahmen konkretisiert das in § 30 Abs. 2 Nr. 1 BSIG: Besonders wichtige und wichtige Einrichtungen müssen Maßnahmen auf einem gefahrenübergreifenden Ansatz aufbauen; dazu gehören ausdrücklich Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik.

Rechtlich wichtig ist außerdem die Dokumentationspflicht. § 30 Abs. 1 BSIG verlangt, dass die Einhaltung der Risikomanagementmaßnahmen dokumentiert wird. Risikoanalyse ist deshalb nicht nur ein Workshop, sondern ein wiederholbarer Prozess mit Annahmen, Bewertungslogik, Verantwortlichkeiten und Maßnahmenstatus. In der Praxis sollten Unternehmen die Analyse mindestens jährlich sowie anlassbezogen nach größeren Änderungen, Vorfällen, neuen Lieferanten oder wesentlichen Systemumstellungen aktualisieren. Wer die deutsche Einordnung vertiefen will, findet im Hub zur NIS2-Richtlinie in Deutschland den regulatorischen Rahmen.

Methoden der Risikoanalyse

Unternehmen müssen nicht zwingend nur eine Methode verwenden, aber die Methode muss zur Organisation, Kritikalität und Nachweisfähigkeit passen. Häufig sind vier Ansätze relevant:

  1. Qualitativ: Risiken werden über Kategorien wie niedrig, mittel und hoch bewertet. Das ist für viele KMU praktikabel, wenn Kriterien sauber definiert sind.
  2. Quantitativ: Risiken werden mit finanziellen Schadensannahmen, Ausfallzeiten oder Eintrittswahrscheinlichkeiten numerisch bewertet. Das ist aufwendiger, aber für priorisierte Investitionsentscheidungen hilfreich.
  3. OCTAVE: Diese Methode fokussiert kritische Vermögenswerte, organisatorische Abhängigkeiten und Bedrohungsszenarien und eignet sich gut für strukturierte Workshops.
  4. FAIR: FAIR übersetzt Cyberrisiken stärker in finanzielle Größen und unterstützt Managemententscheidungen, wenn Budgets und Risikoappetit transparent gemacht werden sollen.

Als methodischer Referenzrahmen ist ISO/IEC 27005:2022 wichtig. Die Norm beschreibt einen strukturierten Ansatz, um Informationssicherheitsrisiken im Rahmen eines ISMS zu identifizieren, zu bewerten, zu behandeln, zu kommunizieren und regelmäßig zu überprüfen. Für Unternehmen bedeutet das: Die Methode darf pragmatisch sein, aber sie muss konsistent angewendet und anschlussfähig an Maßnahmen, Business Continuity und Kontrollwirksamkeit sein.

Praxisbeispiel

Ein deutscher Medizintechnik-Zulieferer mit 280 Beschäftigten betreibt ein ERP-System, mehrere vernetzte Produktionsanlagen und ein extern gehostetes Kundenportal. In der Risikoanalyse stellt das Unternehmen fest, dass der kritischste Pfad nicht nur in der eigenen IT liegt, sondern in der Abhängigkeit von einem Managed Service Provider und einer unvollständig segmentierten Produktionsumgebung. Zusätzlich zeigt die Analyse, dass ein erfolgreicher Phishing-Angriff auf die Einkaufsabteilung indirekt zu Produktionsausfällen führen könnte.

Das Unternehmen bewertet die Risiken qualitativ und ergänzt für die kritischsten Szenarien quantitative Schadensschätzungen. Daraus folgen konkrete Maßnahmen: stärkere Multi-Faktor-Authentifizierung, Netzsegmentierung, engere Lieferantenkontrollen, Notfallübungen, klarere Meldewege und ein aktualisierter Wiederanlaufplan. Entscheidend ist nicht die Tabelle selbst, sondern dass die Ergebnisse direkt in Sicherheitsmaßnahmen, Verantwortlichkeiten und Budgetentscheidungen überführt werden. Genau so wird Risikoanalyse zum operativen Steuerungsinstrument statt zur isolierten Pflichtübung.

Verwandte Begriffe

Risikoanalyse steht fachlich eng mit ISMS, Business Continuity, Schwachstellenmanagement und der NIS2-Richtlinie in Verbindung. Gemeinsam bilden diese Themen den Rahmen dafür, Risiken nicht nur zu erkennen, sondern auch wirksam zu behandeln und gegenüber Aufsicht, Kunden und Management nachvollziehbar zu dokumentieren.

Häufig gestellte Fragen

Was ist Risikoanalyse?

Risikoanalyse ist die strukturierte Bewertung von Bedrohungen, Schwachstellen, Eintrittswahrscheinlichkeiten und möglichen Schäden, damit Unternehmen Risiken priorisieren und passende Maßnahmen festlegen können.

Warum ist Risikoanalyse für NIS2 wichtig?

Risikoanalyse ist für NIS2 wichtig, weil Art. 21 Abs. 2 Buchst. a der Richtlinie (EU) 2022/2555 risikobasierte Sicherheitsmaßnahmen und Konzepte zur Risikoanalyse ausdrücklich verlangt. Ohne dokumentierte Risikoanalyse lassen sich Prioritäten, Nachweise und angemessene Schutzmaßnahmen kaum belastbar begründen.

Wenn Sie Risikoanalyse, Governance und Schulungsnachweise im NIS2-Kontext verständlich aufbauen wollen, ist die NIS2-Schulung der nächste praktische Schritt.

Nächster Schritt

Begriffe einordnen ist der Anfang. Umsetzung und Nachweis entscheiden im Unternehmen.

Wenn Sie KI-Kompetenz, Rollen, rote Linien und Schulungsnachweis nicht nur nachschlagen, sondern sauber ausrollen wollen, ist der Kurs der direkte nächste Schritt. Für typische Rückfragen zu Umfang, Nachweis und Team-Rollout steht zusätzlich die FAQ-Seite bereit.

Zur KursübersichtFAQ ansehen