Likelihood

[ˈlaɪklɪhʊd] · auch: Eintrittswahrscheinlichkeit, Wahrscheinlichkeit, Frequenz

Likelihood bezeichnet die Wahrscheinlichkeit, mit der ein Risikoereignis in einem definierten Zeitraum eintreten wird -- als eine der zwei Grunddimensionen jeder Risikobewertung neben der Auswirkung (Impact), die zusammen den Risikowert ergeben.

Warum Likelihood ein zentraler Risikobegriff ist

Likelihood ist ein Kernbestandteil jedes strukturierten Risikomanagements. ISO 27001, NIS-2 und DORA setzen das Konzept als Grundlage für risikobasierte Entscheidungen voraus -- ohne diese Grundlage fehlt dem Sicherheitsprogramm das analytische Fundament. Im Audit wird geprüft, ob Likelihood nicht nur bekannt, sondern systematisch und dokumentiert angewandt wird.

Wo Likelihood gefordert wird

Framework	Referenz	Anforderung
ISO 27001:2022	Kap. 6.1.2	Risikobeurteilung: Likelihood als Pflichtbestandteil der Risikobewertung.
ISO 31000	Kap. 6.4.3	Risikoanalyse: Wahrscheinlichkeit als zentrale Bewertungsdimension.
NIS-2 / BSIG	§ 30	Risikobasierter Ansatz: Eintrittswahrscheinlichkeit als Teil der Risikobewertung.
BSI 200-3	Kap. 4	Risikoanalyse nach BSI: Eintrittswahrscheinlichkeit und Schadenshoehe als Bewertungsdimensionen.
FAIR-Methodik	vollständig	Factor Analysis of Information Risk: Likelihood-Quantifizierung als Kernbestandteil.

BAM-Objektreferenz

BAM-Objekt RISK-LH-01

BeschreibungLikelihood-Bewertungsmethodik fuer alle Risikoklassen im Risikoregister

GitHubBAM Core →

Häufige Audit-Fehler

Konzept verstanden, aber nicht in einer dokumentierten Methodik verankert
Inkonsistente Anwendung -- verschiedene Teams bewerten nach unterschiedlichen Masssstäben
Keine regelmässige Aktualisierung der Bewertungen
Fehlende Verbindung zum Risikoappetit und zur Massnahmenplanung

Einordnung im Risikomanagement-Gesamtrahmen

Likelihood ist kein isoliertes Konzept, sondern Teil eines integrierten Risikomanagement-Zyklus: Identifikation, Bewertung, Behandlung, Überwachung. Es greift mit dem Risk Appetite Statement, dem Risikoregister, der Risk Heat Map und dem Risk Reporting ineinander. Wer Likelihood konsistent und dokumentiert anwendet, stellt sicher, dass alle nachgelagerten Schritte auf einer soliden Grundlage beruhen.

Quantitativ vs. qualitativ

Die meisten Organisationen beginnen mit qualitativer Bewertung und erganzen schrittweise quantitative Elemente für hochprioritäre Risiken. Beide Ansätze sind für ISO 27001 und NIS-2 akzeptiert -- entscheidend ist die Konsistenz der Methodik und die Nachvollziehbarkeit der Bewertungen. DORA empfiehlt für systemrelevante Finanzunternehmen eine zunehmende Quantifizierung.

Nächste Ebene

Likelihood in der Praxis: Methodik, Umsetzung und Evidence

Was Auditoren bei Likelihood konkret prüfen und welche Evidence benötigt wird.

Ebene 2 lesen → Stresstest starten →