Compliance-Lexikon · Risiko
Quantitative Risk Analysis
[kwɒntɪˈteɪtɪv rɪsk əˈnælɪsɪs] · auch: quantitative Risikoanalyse, monetaere Risikobewertung
Quantitative Risk Analysis bezeichnet den Ansatz, Risiken mit monetaeren Schadenshoehen und statistischen Wahrscheinlichkeiten zu bewerten -- als Alternative zur qualitativen Bewertung mit dem Vorteil messbarer, vergleichbarer Risikowerte und der Möglichkeit zur ROI-Berechnung von Sicherheitsinvestitionen.
Warum Quantitative Risk Analysis ein zentraler Risikobegriff ist
Quantitative Risk Analysis ist ein Kernbestandteil jedes strukturierten Risikomanagements. ISO 27001, NIS-2 und DORA setzen das Konzept als Grundlage für risikobasierte Entscheidungen voraus -- ohne diese Grundlage fehlt dem Sicherheitsprogramm das analytische Fundament. Im Audit wird geprüft, ob Quantitative Risk Analysis nicht nur bekannt, sondern systematisch und dokumentiert angewandt wird.
Wo Quantitative Risk Analysis gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| FAIR-Methodik | vollständig | Factor Analysis of Information Risk: Etablierter Standard für quantitative Cyberrisikobewertung. |
| ISO 27005 | Kap. 8 | Risikobewertung: Quantitative Methodik als Option neben qualitativer Analyse. |
| DORA | Art. 6 | IKT-Risikomanagement-Rahmen: Quantitative Risikobeurteilung als Best Practice. |
| Basel III | vollständig | Quantitative Risikobewertung als regulatorische Anforderung im Bankensektor. |
| NIST SP 800-30 | vollständig | Guide for Conducting Risk Assessments: Quantitative und qualitative Methoden im Vergleich. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Konzept verstanden, aber nicht in einer dokumentierten Methodik verankert
- Inkonsistente Anwendung -- verschiedene Teams bewerten nach unterschiedlichen Masssstäben
- Keine regelmässige Aktualisierung der Bewertungen
- Fehlende Verbindung zum Risikoappetit und zur Massnahmenplanung
Einordnung im Risikomanagement-Gesamtrahmen
Quantitative Risk Analysis ist kein isoliertes Konzept, sondern Teil eines integrierten Risikomanagement-Zyklus: Identifikation, Bewertung, Behandlung, Überwachung. Es greift mit dem Risk Appetite Statement, dem Risikoregister, der Risk Heat Map und dem Risk Reporting ineinander. Wer Quantitative Risk Analysis konsistent und dokumentiert anwendet, stellt sicher, dass alle nachgelagerten Schritte auf einer soliden Grundlage beruhen.
Quantitativ vs. qualitativ
Die meisten Organisationen beginnen mit qualitativer Bewertung und erganzen schrittweise quantitative Elemente für hochprioritäre Risiken. Beide Ansätze sind für ISO 27001 und NIS-2 akzeptiert -- entscheidend ist die Konsistenz der Methodik und die Nachvollziehbarkeit der Bewertungen. DORA empfiehlt für systemrelevante Finanzunternehmen eine zunehmende Quantifizierung.
Nächste Ebene
Quantitative Risk Analysis in der Praxis: Methodik, Umsetzung und Evidence
Was Auditoren bei Quantitative Risk Analysis konkret prüfen und welche Evidence benötigt wird.