Concentration Risk

[ˌkɒnsənˈtreɪʃn rɪsk] · auch: Konzentrationsrisiko, Klüngrisiko, Monokulturrisiko

Concentration Risk bezeichnet das Risiko, das aus übermässiger Abhängigkeit von einem einzelnen Lieferanten, einer Technologie, einem Rechenzentrum oder einer geographischen Region entsteht -- sodass ein einzelnes Ereignis einen unverhältnismässig grossen Schaden verursachen kann.

Warum Concentration Risk ein zentraler Risikobegriff ist

Concentration Risk ist ein Kernbestandteil jedes strukturierten Risikomanagements. ISO 27001, NIS-2 und DORA setzen das Konzept als Grundlage für risikobasierte Entscheidungen voraus -- ohne diese Grundlage fehlt dem Sicherheitsprogramm das analytische Fundament. Im Audit wird geprüft, ob Concentration Risk nicht nur bekannt, sondern systematisch und dokumentiert angewandt wird.

Wo Concentration Risk gefordert wird

Framework	Referenz	Anforderung
DORA	Art. 28 Abs. 2	Konzentrationsrisiko bei IKT-Drittanbietern: Explizite DORA-Anforderung zur Bewertung und Steuerung.
NIS-2 / BSIG	§ 30 Abs. 2g	Lieferkettensicherheit: Konzentrationsrisiken in der ICT-Lieferkette als Risikofaktor.
ISO 27001:2022	A.5.19	Informationssicherheit in Lieferantenbeziehungen: Konzentrationsrisiken als Teil der Lieferantenbewertung.
EBA-Leitlinien ICT	vollständig	Konzentrationsrisiko als expliziter Pruefpunkt in der EBA-Aufsicht über IKT-Risiken von Banken.
ISO 31000	Kap. 6.4	Konzentrationsrisiko als systemisches Risiko im Risikomanagement-Rahmen.

BAM-Objektreferenz

BAM-Objekt RISK-CO-01

BeschreibungKonzentrationsrisiko-Analyse fuer Dienstleister-, Technologie- und Geographie-Konzentrationen

GitHubBAM Core →

Häufige Audit-Fehler

Konzept verstanden, aber nicht in einer dokumentierten Methodik verankert
Inkonsistente Anwendung -- verschiedene Teams bewerten nach unterschiedlichen Masssstäben
Keine regelmässige Aktualisierung der Bewertungen
Fehlende Verbindung zum Risikoappetit und zur Massnahmenplanung

Einordnung im Risikomanagement-Gesamtrahmen

Concentration Risk ist kein isoliertes Konzept, sondern Teil eines integrierten Risikomanagement-Zyklus: Identifikation, Bewertung, Behandlung, Überwachung. Es greift mit dem Risk Appetite Statement, dem Risikoregister, der Risk Heat Map und dem Risk Reporting ineinander. Wer Concentration Risk konsistent und dokumentiert anwendet, stellt sicher, dass alle nachgelagerten Schritte auf einer soliden Grundlage beruhen.

Quantitativ vs. qualitativ

Die meisten Organisationen beginnen mit qualitativer Bewertung und erganzen schrittweise quantitative Elemente für hochprioritäre Risiken. Beide Ansätze sind für ISO 27001 und NIS-2 akzeptiert -- entscheidend ist die Konsistenz der Methodik und die Nachvollziehbarkeit der Bewertungen. DORA empfiehlt für systemrelevante Finanzunternehmen eine zunehmende Quantifizierung.

Nächste Ebene

Concentration Risk in der Praxis: Methodik, Umsetzung und Evidence

Was Auditoren bei Concentration Risk konkret prüfen und welche Evidence benötigt wird.

Ebene 2 lesen → Stresstest starten →