Risiken lassen sich nicht eliminieren, aber man kann ihre Auswirkungen mit klug gewählten Strategien des Risikomanagements extrem reduzieren. Was müssen insbesondere kleinere Unternehmen beachten, um davon profitieren zu können.
Das IT-Risikomanagement formalisiert die Risikobewertung und anschließende Risikominderung.
(Bild: Sergey Nivens - stock.adobe.com)
Jedes Unternehmen ist mehreren ständigen Bedrohungen der Datensicherheit ausgesetzt, aber nicht alle Bedrohungen sind gleich. Ein IT-Risikomanagement überwacht, misst, kontrolliert und berichtet über risikobezogene Themen innerhalb der IT-Abteilung. Ist es von Erfolg gekrönt, sorgt es unter anderem für eine hochwertige Datenverfügbarkeit, Vertraulichkeit und Integrität für interne und externe Stakeholder. Das Modell zur Risikobestimmung umfasst im Wesentlichen drei Variablen:
1. Bedrohungen: Eine definierte Gefahr wie dedizierte Denial-of-Service (DDoS)-Angriffe oder Phishing-Versuche.
2. Schwachstellen: Eine identifizierte Lücke im Sicherheitssystem.
3. Konsequenzen: Höhe des Schadens, den das Unternehmen durch die Bedrohung erleidet.
Sobald diese Variablen definiert und beispielsweise auf einer Skala von 1 bis 10 bewertet sind, lässt sich das Risiko bestimmen. Dabei sollten die Bedrohungen basierend auf ihren potenziellen Auswirkungen auf den Geschäftsbetrieb und das Vertrauen der Stakeholder priorisiert werden.
Strategien der Risikominderung etablieren
Ein grundlegender Risikomanagementplan besteht aus vier Schritten: Identifizierung, Bewertung, Kontrolle des Risikos und anschließende Überprüfung dieser Kontrollen. Nach der Kategorisieren der identifizierten Risiken, ist zu bestimmen, welche der Risiken akzeptiert, vermieden, übertragen oder reduziert werden können. Eine Risikobewertung ist entscheidend, um die Risikotoleranz und -strategien zu identifizieren. Dabei ist die Erkenntnis wichtig, dass sich Risiken nie völlig eliminieren lassen.
Quantitative Risikobewertung
Die quantitative Bewertung führt das Bewertungsmodell der Risiken einen Schritt weiter, indem die potenziellen finanziellen Auswirkungen für jedes Bedrohungsszenario berechnet werden. Die Endkosten von Bedrohungen und deren Behebung sind ein nützlicher Ausgangspunkt, um die optimale Risikominderung zu bestimmen. Bei der Festlegung des finanziellen Risikos muss für jedes Risikoszenario die potenziellen finanziellen Kosten für Hardware, Software und Geräte auf der Grundlage ihrer Risikoexposition berechnet werden.
Für die Ermittlung der Risikominderungskosten sind die Kosten für jeden Minderungstyp zu berechnen. Diejenigen Kosten, die mehr kosten als das geplante finanzielle Risiko, können verworfen werden. Die verbleibende Minderungsoption, die den besten Return on Investment (ROI) bietet, ist zu präferieren. Eine quantitative Analyse verwendet harte Daten, um Risikostrategien zu etablieren, aber ihr Fokus auf den finanziellen Kosten berücksichtigt nicht die weiteren entscheidenden Faktoren, die eine qualitative Analyse beinhaltet.
Qualitative Risikobewertung
Anstatt harte Daten zu verwenden, beantwortet eine qualitative Bewertung beispielsweise folgende Fragen: „Welche Auswirkungen hätten Risiken auf die Service-Levels?“ und „was wären die Konsequenzen hinsichtlich der Images einer Firma?" Dieser Ansatz ist natürlich subjektiv, da er Antworten und Perspektiven mehrerer Interessengruppen verwendet, um Ergebnisse zu generieren. Die Bewertung der Auswirkungen auf das Geschäft identifiziert die Risiken mit den größten potenziellen Auswirkungen auf die gesamten Geschäftsprozesse.
Es sucht nach den verschiedenen Effekten, die ein Risiko in einem Unternehmen haben kann, und wie es die Produktivität mehrerer Arbeitsgruppen und Abteilungen beeinträchtigen könnte. Im Hinblick der Auswirkungen auf die Reputation bewertet eine qualitative Risikobewertung die potenziellen externen Auswirkungen auf Endbenutzer und Kunden, einschließlich Kundenzufriedenheitswerten, Kundenabwanderungsraten und Interaktionen in sozialen Medien.
Erfolgreiches IT-Risikomanagement praktizieren
Folgende praktische Tipps sollten bei der Implementierung von Risikomanagementstrategien insbesondere bei kleineren Unternehmen Beachtung finden.
Tipp 1: Kooperation und Kommunikation
Die Folgen nicht adressierter Risiken wirken sich auf das gesamtes Unternehmen aus. Das bedeutet, dass das Risikomanagement zu wichtig ist, um es an eine Person oder Abteilung zu übertragen. Ein effektives Risikomanagement ist ganzheitlich, bezieht mehrere Perspektiven ein und erfordert eine kontinuierliche Kommunikation zwischen den Beteiligten während der Erstbewertung bis zur anschließenden Reduktion.
Tipp 2: Alternative Szenarien betrachten
Die Inklusion mehrerer Standpunkte hilft dabei, ein sogenanntes Gruppendenken zu vermeiden, indem man sich auf eine einzige Bewertung oder Lösung festlegt, ohne alternative Möglichkeiten angemessen zu berücksichtigen. Selbst wenn eine Reaktion auf eine Bedrohung „offensichtlich“ erscheint, sollten zusätzliche Vorschläge und Ideen gesammelt werden, um den Umfang der Bewertung zu erweitern.
Tipp 3: Risikoregister implementieren
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Ein Risikoregister identifiziert etwa ein halbes Dutzend der wahrscheinlichsten aktuellen Bedrohungen und die zu ergreifenden Maßnahmen, wenn sie auftreten.
Bekannte „bekannte Risiken“: Fakten, die über das Risiko bekannt sind.
Bekannte „unbekannte Risiken“: Fakten, die über das Risiko bekannt sind, aber gerne vergessen oder vernachlässigt werden.
Unbekannte „unbekannte Risiken“: Fakten, die in Bezug auf das Risiko existieren, von denen die Unternehmen nichts wissen.
Positive Risiken: Mit dem Risiko verbundene Chancen.
Das Risikoregister ist ein praktisches Instrumentarium, mit dem der User sofort starten kann, wenn eine erwartete Bedrohung auftritt, anstatt jedes Mal von vorn anfangen zu müssen.
Fazit
Risiken, denen das Netzwerk eines Unternehmens und die zugehörigen IT-Ressourcen ausgesetzt sind, lassen sich nicht völlig eliminieren. Darum sollten Risiken bewältigt werden, statt die Betroffenen zu Opfern zu machen. Eine proaktive Risikomanagementstrategie mit Beiträgen mehrerer Interessengruppen mindert potenzielle Bedrohungen für Unternehmen und seine externen Beziehungen. Dies gilt insbesondere auch für kleinere Unternehmen, die von möglichen Bedrohungen nicht ausgenommen sind.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/49/68/4968cfb619f90613cca8ba77511df54d/0129472744v2.jpeg "Das BSI empfiehlt, klassische asymmetrische Verschlüsselungsverfahren bis Ende 2031 nicht mehr zu verwenden, da sie aufgrund der Entwicklungen im Quantencomputing nicht sicher sind, was einen dringenden Umstieg auf hybride Verfahren, die quantensichere Algorithmen integrieren, erforderlich mache. (Bild: Alex - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/94/ae94d62bde4caa8391c5046a3a14e0c6/0129591098v1.jpeg "Am 17. Februar 2026 begann eine massive DDoS-Attacke auf die Deutsche Bahn, die die Webseite und die Buchungs-App lahm legte. (Bild: Logo: DB-Systel)")
:quality(80)/p7i.vogel.de/wcms/3f/82/3f8217982544220806e570c54f4777ac/0129435794v2.jpeg "Hybride Angriffe bewegen sich zwischen Cloud und On-Premises und überfordern fragmentierte Abwehrsysteme, die keine einheitliche Sicht auf beide Umgebungen haben. (Bild: © Mustafa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/ce/0fce7e5966d735b98a26a524b389bb40/0129086020v1.jpeg "Die beiden Gründer von Zeropoint Lavi Friedman (li.) und Joseph Gertz (re.) setzen auf einen Ansatz, der Netzwerkgrenzen nicht absichert, sondern physisch neu zieht. Keine Pakete rein, keine Daten raus – nur menschliche Interaktion und Pixel. (Bild: Zeropoint)")
:quality(80)/p7i.vogel.de/wcms/e7/7b/e77bf6c5803f6bf0972ecb45ca289c51/0129348911v2.jpeg "Sicherheitslücken in FreeRDP, die auf Buffer Overflows und eine Heap-Use-After-Free-Schwachstelle zurückzuführen sind, bedrohen Windows- und Unix-Systeme, indem sie Angreifern die Möglichkeit bieten, DoS- oder RCE-Angriffe durchzuführen. (Bild: © Neuropixel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/2c/da2c5cde907a3ea7ab1e1d3f5034a611/0129300487v2.jpeg "Viele Menschen nutzen KI-Chatbots wie ChatGPT. Der AI-Incidents-Datenbank zufolge war die KI von OpenAI 2025 an den meisten KI-Vorfällen beteiligt. (Bild: Monkey Business - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/00/09000405d20add869ef4d66901a6cef4/0129520873v1.jpeg "Rolf Schumann (Co-CEO Schwarz Digits), BSI-Präsidentin Claudia Plattner und Christian Müller (Co-CEO Schwarz Digits) vereinbaren eine strategische Partnerschaft (v.li.n.re.). (Bild: Schwarz Digits)")
:quality(80)/p7i.vogel.de/wcms/6e/df/6edf77fff0987819b75ea015d2077a91/0128109744v1.jpeg "Wenn Tempo bei der Migration zum offenen Tor wird. Shared Responsibility wird dabei oft missverstanden. Die Autoren erklären, warum Cloud‑Migrationen oft Lücken hinterlassen. (Bild: © scaliger - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/cd/dacd0e89cad4438353a1e68ce241ee08/0129347964v1.jpeg "Für die zentrale Verarbeitung von Log- und Ereignisdaten liefert die Windows-Ereignisweiterleitung die technische Basis. (Bild: © TommyNa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/55/235504bbda4efcf043fbef7c7acc23d3/0129423267v2.jpeg "Omnichannel-Inboxen verbinden alle Kundenkanäle in einer Plattform, aber ohne Zero-Trust-Architektur wird diese zentrale Schnittstelle zum Einfallstor für Angreifer. (Bild: © kucherav - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/a0/63a08ef8cf2f357846891924a0c362b5/0129422042v1.jpeg "Active Directory Passwort-Resets explodieren insbesondere bei hybrider Arbeit. Sichere Self-Service-Passwort-Reset-Tools steuern dem entgegen. (Bild: Specops)")
:quality(80)/p7i.vogel.de/wcms/9f/4c/9f4c8b769319bae704bc65017a4ada98/0129424999v2.jpeg "Cyber-Resilienz 2026 bedeutet Handlungsfähigkeit unter laufendem Angriff, aber unkontrollierte Identitäten untergraben genau diese Fähigkeit und machen Systeme unsteuerbar. (Bild: © AminaDesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/db/f1dbe322f0469f58d749a8d7439e02aa/0129455085v1.jpeg "ITDR-Lösungen erkennen Konfigurationsprobleme sowie Anomalien in Echtzeit, bevor Angreifer gestohlene Zugangsdaten ausnutzen können. (Bild: aldomurillo / gettyimages)")
:quality(80)/p7i.vogel.de/wcms/25/00/2500a7b46c366256ba5c7b9512f957df/0129482442v2.jpeg "Wer NIS2 als reines IT-Projekt behandelt, wird scheitern. Nur mit ISMS, klaren Verantwortlichkeiten und kontinuierlichen Prozessen gelingt die Compliance. (Bild: © Romolo Tavani - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:quality(80)/p7i.vogel.de/wcms/a4/82/a482b10466fe1e02cef427898577953f/0123523984v2.jpeg "Security-Experten von Sphera ermittelten im Jahr 2023 einen Anstieg von 62 Prozent gegenüber 2022 bei cyberbedingten Lieferkettenproblemen. (Bild: Aidas - stock.adobe.com)")
![Enterprise Risk Management bringt Balance in komplexe Unternehmensrisiken – moderne Frameworks und Softwarelösungen helfen CISOs und Geschäftsführern, strategische Entscheidungen risikobewusst zu treffen. (Bild: [CherriesJD] via Getty Images.)](https://cdn1.vogel.de/majDpN_ikXYuiTXkKKV9OrUiq44=/392x392/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/66/f5/66f5e4f3591d5f7a46b7f50a360f1750/0125112978v1.jpeg "Enterprise Risk Management bringt Balance in komplexe Unternehmensrisiken – moderne Frameworks und Softwarelösungen helfen CISOs und Geschäftsführern, strategische Entscheidungen risikobewusst zu treffen. (Bild: [CherriesJD] via Getty Images.)")