Reputational Risk

[ˌrɛpjʊˈteɪʃənl rɪsk] · auch: Reputationsrisiko, Imageschaden, Vertrauensverlust

Reputational Risk bezeichnet das Risiko einer negativen Veränderung der öffentlichen Wahrnehmung einer Organisation -- ausgelöst durch IT-Vorfälle, Datenpannen, Compliance-Verstösse oder öffentlich gewordene Sicherheitslücken -- mit Auswirkungen auf Kundenvertrauen, Geschäftsbeziehungen und Kapitalmarktbewertung.

Warum Reputational Risk ein zentraler Risikobegriff ist

Reputational Risk ist ein Kernbestandteil jedes strukturierten Risikomanagements. ISO 27001, NIS-2 und DORA setzen das Konzept als Grundlage für risikobasierte Entscheidungen voraus -- ohne diese Grundlage fehlt dem Sicherheitsprogramm das analytische Fundament. Im Audit wird geprüft, ob Reputational Risk nicht nur bekannt, sondern systematisch und dokumentiert angewandt wird.

Wo Reputational Risk gefordert wird

Framework	Referenz	Anforderung
ISO 31000	Kap. 6.4	Reputationsrisiko als Risikoauswirkungskategorie im Risikomanagement.
NIS-2 / BSIG	§ 30	Datenpannen und Vorfälle mit öffentlicher Wahrnehmung als Reputationsrisiko.
DSGVO	Art. 83-84	Bussgeldentscheidungen und öffentliche Bekanntmachungen als Reputationsrisiko.
DCGK	Kap. 4.1	Reputationsrisiko als wesentliches Unternehmensrisiko im Corporate-Governance-Rahmen.
ISO 27001:2022	Kap. 4.2	Interessierte Parteien: Reputationserwartungen als Kontext des ISMS.

BAM-Objektreferenz

BAM-Objekt RISK-RR-01

BeschreibungReputationsrisiko-Bewertung als Teil des Risikoregisters mit Kommunikationsplan

GitHubBAM Core →

Häufige Audit-Fehler

Konzept verstanden, aber nicht in einer dokumentierten Methodik verankert
Inkonsistente Anwendung -- verschiedene Teams bewerten nach unterschiedlichen Masssstäben
Keine regelmässige Aktualisierung der Bewertungen
Fehlende Verbindung zum Risikoappetit und zur Massnahmenplanung

Einordnung im Risikomanagement-Gesamtrahmen

Reputational Risk ist kein isoliertes Konzept, sondern Teil eines integrierten Risikomanagement-Zyklus: Identifikation, Bewertung, Behandlung, Überwachung. Es greift mit dem Risk Appetite Statement, dem Risikoregister, der Risk Heat Map und dem Risk Reporting ineinander. Wer Reputational Risk konsistent und dokumentiert anwendet, stellt sicher, dass alle nachgelagerten Schritte auf einer soliden Grundlage beruhen.

Quantitativ vs. qualitativ

Die meisten Organisationen beginnen mit qualitativer Bewertung und erganzen schrittweise quantitative Elemente für hochprioritäre Risiken. Beide Ansätze sind für ISO 27001 und NIS-2 akzeptiert -- entscheidend ist die Konsistenz der Methodik und die Nachvollziehbarkeit der Bewertungen. DORA empfiehlt für systemrelevante Finanzunternehmen eine zunehmende Quantifizierung.

Nächste Ebene

Reputational Risk in der Praxis: Methodik, Umsetzung und Evidence

Was Auditoren bei Reputational Risk konkret prüfen und welche Evidence benötigt wird.

Ebene 2 lesen → Stresstest starten →