1. Home
  2. BLOG
  3. Risikobewertung 2025: Wo wir ansetzen müssen
Lesezeit:

Risikobewertung 2025: Wo wir ansetzen müssen

Risikobewertung ist mehr als ein Pflichtprogramm im Managementsystem. 

In einer Zeit dynamischer Entwicklungen, wachsender Systemabhängigkeiten und zunehmender Unsicherheiten wird sie zur strategischen Führungsaufgabe – und zur Königsklasse des modernen Sicherheitsmanagements. Klassische Methoden wie das Schema „Gefahr – Eintritt – Wirkung“ reichen dafür nicht mehr aus. Was heute gebraucht wird, ist eine fundierte, nachvollziehbare und vor allem reproduzierbare Bewertung.

Reproduzierbarkeit bedeutet in diesem Zusammenhang, dass die Bewertung eines Risikos auch unter veränderten Rahmenbedingungen – etwa bei anderer Besetzung eines Gremiums oder zu einem späteren Zeitpunkt – zu vergleichbaren Ergebnissen führt. Das setzt voraus, dass die zugrunde liegenden Annahmen dokumentiert, die Begrifflichkeiten geklärt und die Szenarien präzise definiert sind. Doch genau hier zeigt sich in der Praxis eine häufige Schwachstelle.

Ein Beispiel verdeutlicht dies besonders eindrücklich: In einem Unternehmen wurde das Risiko „Erdbeben“ bewertet. Die Ersteller der Risikomatrix gingen dabei von einem moderaten Ereignis auf Stufe VI der Europäischen Makroseismischen Skala aus – mit geringen strukturellen Schäden. Die Leserinnen und Leser der Bewertung hingegen verstanden darunter ein zerstörerisches Großszenario der Stufe XII. Dieses gravierende Missverständnis führte dazu, dass die Aussagekraft der Matrix erheblich beeinträchtigt wurde. Der Grund dafür lag in der fehlenden Definition des zugrunde gelegten Szenarios. Es handelt sich um einen typischen Fall von Fehlerfortpflanzung: Wenn die Ausgangsbasis unscharf ist, verlieren alle darauf aufbauenden Bewertungen an Validität.

Solche Brüche entstehen oft bereits bei scheinbar vertrauten Begriffen. Was in einem Workshop mit „Hochwasser“ gemeint ist, kann für die eine Person ein 30-jährliches, regional begrenztes Ereignis bedeuten – für eine andere den Zusammenbruch grundlegender Infrastruktur. Ohne einheitliche Referenz bleibt die Risikobewertung interpretationsanfällig und methodisch fragwürdig.

Der zentrale Ansatzpunkt liegt daher in der Begriffs- und Szenarienschärfung. Erst wenn klar definiert ist, welche konkrete Gefahr, Intensität und Ausprägung bewertet wird, lassen sich Wahrscheinlichkeiten methodisch begründet herleiten – sei es auf Basis historischer Daten, über strukturierte Expertenschätzungen oder probabilistische Modelle. Besonders bei Naturgefahren gelingt dies vergleichsweise gut, bei komplexen, systemischen oder intentionalen Bedrohungen ist der Aufwand ungleich größer. In jedem Fall ist Vergleichbarkeit das Ziel.

Sind diese Grundlagen gelegt, lassen sich komplexere Bewertungsfragen anschließen – etwa, wie mit schwer quantifizierbaren Wahrscheinlichkeiten umzugehen ist, wie nichtlineare, kaskadierende Auswirkungen bewertet werden können oder wie Interdependenzen innerhalb von Organisationen und Infrastrukturen abgebildet werden.

Diese Fragen sind keine akademischen Gedankenspiele, sondern hochrelevant – etwa im Kontext der EU-Richtlinie 2022/2557 zur Resilienz kritischer Infrastrukturen. Diese Richtlinie verpflichtet Betreiber wesentlicher Einrichtungen dazu, ihre Risiken systematisch zu identifizieren, zu bewerten und entsprechende Vorsorgemaßnahmen abzuleiten. Die Qualität der Risikobewertung ist dabei entscheidend für die Fähigkeit, Störungen nicht nur zu überstehen, sondern als lernende Organisation daraus gestärkt hervorzugehen.

Fazit: Qualität entsteht im Fundament

Gute Risikobewertung beginnt nicht mit Wahrscheinlichkeiten – sondern mit klaren Definitionen, einem gemeinsamen Verständnis und reproduzierbaren Methoden. Nur so wird Risikomanagement nicht zur Pflichtübung, sondern zum strategischen Führungsinstrument