Compliance-Lexikon · Risiko
Risk Matrix
[rɪsk ˈmeɪtrɪks] · auch: Risikomatrix, Wahrscheinlichkeit-Auswirkung-Matrix
Eine Risikomatrix ist ein zweidimensionales Bewertungswerkzeug, das Risiken nach Eintrittswahrscheinlichkeit und Auswirkung klassifiziert -- mit definierten Stufen und Farbkodierung, die Prioritaeten setzt und die Grundlage fuer konsistente Risikobewertungen im gesamten Risikoregister bildet.
Warum Risk Matrix ein zentraler Risikobegriff ist
Risk Matrix ist ein Kernbestandteil jedes strukturierten Risikomanagements. ISO 27001, NIS-2 und DORA setzen das Konzept als Grundlage für risikobasierte Entscheidungen voraus -- ohne diese Grundlage fehlt dem Sicherheitsprogramm das analytische Fundament. Im Audit wird geprüft, ob Risk Matrix nicht nur bekannt, sondern systematisch und dokumentiert angewandt wird.
Wo Risk Matrix gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | Kap. 6.1.2 | Risikobeurteilungsverfahren: Risikomatrix als dokumentiertes Bewertungsinstrument. |
| BSI 200-3 | Kap. 4 | Risikoanalyse: Risikomatrix als BSI-Standardwerkzeug mit vier Schutzbedarf-Stufen. |
| ISO 31000 | Kap. 6.4.3 | Risikoanalyse: Matrix-Darstellung als anerkannte Visualisierungsmethode. |
| NIS-2 / BSIG | § 30 | Risikobasierter Ansatz: Konsistente Bewertungsmethodik als Grundlage. |
| NIST SP 800-30 | vollständig | Risk Assessment Guide: Likelihood-Impact-Matrix als Standardformat. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Konzept verstanden, aber nicht in einer dokumentierten Methodik verankert
- Inkonsistente Anwendung -- verschiedene Teams bewerten nach unterschiedlichen Masssstäben
- Keine regelmässige Aktualisierung der Bewertungen
- Fehlende Verbindung zum Risikoappetit und zur Massnahmenplanung
Einordnung im Risikomanagement-Gesamtrahmen
Risk Matrix ist kein isoliertes Konzept, sondern Teil eines integrierten Risikomanagement-Zyklus: Identifikation, Bewertung, Behandlung, Überwachung. Es greift mit dem Risk Appetite Statement, dem Risikoregister, der Risk Heat Map und dem Risk Reporting ineinander. Wer Risk Matrix konsistent und dokumentiert anwendet, stellt sicher, dass alle nachgelagerten Schritte auf einer soliden Grundlage beruhen.
Quantitativ vs. qualitativ
Die meisten Organisationen beginnen mit qualitativer Bewertung und erganzen schrittweise quantitative Elemente für hochprioritäre Risiken. Beide Ansätze sind für ISO 27001 und NIS-2 akzeptiert -- entscheidend ist die Konsistenz der Methodik und die Nachvollziehbarkeit der Bewertungen. DORA empfiehlt für systemrelevante Finanzunternehmen eine zunehmende Quantifizierung.
Nächste Ebene
Risk Matrix in der Praxis: Methodik, Umsetzung und Evidence
Was Auditoren bei Risk Matrix konkret prüfen und welche Evidence benötigt wird.