Risikoanalyse für Unternehmen: Leitfaden für Sicherheitsverantwortliche.

Eine Risikoanalyse hat drei Funktionen: Erstens schafft sie Transparenz über die tatsächlichen Risiken, ihre Eintrittswahrscheinlichkeit und ihre Auswirkungen. Zweitens priorisiert sie diese Risiken in einer Form, die Entscheidungen ermöglicht. Drittens bildet sie die Grundlage für strukturelle Massnahmen, Investitionen und Verträge.

Eine gute Risikoanalyse ist nicht möglichst lang, sondern möglichst klar. Sie ermöglicht es der Geschäftsleitung, in einer halben Stunde zu verstehen, wo das Unternehmen sicherheitsmässig steht — und welche Entscheidungen daraus folgen.

Sie ist auch kein einmaliges Projekt. Risiken verändern sich mit dem Geschäftsmodell, den Standorten, den Mitarbeitenden, der technischen Infrastruktur und dem Marktumfeld. Eine Risikoanalyse, die nicht periodisch fortgeschrieben wird, verliert binnen weniger Monate an Aussagekraft.

Der methodische Rahmen einer Risikoanalyse besteht aus mindestens vier Elementen: einem klaren Untersuchungsperimeter, einem strukturierten Risikokatalog, einer Bewertungslogik und einem Berichts- sowie Entscheidungsformat.

Der Untersuchungsperimeter legt fest, welche Standorte, Funktionen, Prozesse und Stakeholder eingeschlossen sind. Ohne klaren Perimeter wird die Analyse entweder zu oberflächlich oder zu beliebig.

Der Risikokatalog umfasst typischerweise physische Risiken (Einbruch, Diebstahl, Brand), personenbezogene Risiken (Konflikte, Bedrohungen, Insider-Risiken), technologische Risiken (Ausfall kritischer Systeme), organisatorische Risiken (Prozessbrüche, Schnittstellenprobleme) sowie kontextbezogene Risiken (regulatorisch, geopolitisch, reputationsbezogen). Dieser Katalog ist kein Lehrbuch, sondern wird unternehmensspezifisch angepasst.

Die Bewertungslogik kombiniert Eintrittswahrscheinlichkeit und Auswirkung. Beide Dimensionen werden auf einer abgestuften Skala bewertet — bewusst grob, damit die Bewertung nicht eine Präzision suggeriert, die in der Realität nicht vorhanden ist. Die Aussage einer Risikomatrix liegt nicht in der einzelnen Zelle, sondern im relativen Verhältnis der Risiken zueinander.

Schritt 1: Untersuchungsperimeter und Zielsetzung definieren. Schritt 2: Stakeholder identifizieren und Erwartungen klären (Geschäftsleitung, Verwaltungsrat, Versicherer, Aufsichtsbehörden). Schritt 3: Datenquellen sichten — Vorfälle, Versicherungsmeldungen, Auditberichte, interne Beschwerden, Lieferantendaten.

Schritt 4: Interviews mit operativen Verantwortlichen — sie kennen die strukturellen Schwachstellen oft besser als die zentrale Sicherheitsfunktion. Schritt 5: Konsolidierung des Risikokatalogs. Schritt 6: Bewertung in der Matrix. Schritt 7: Priorisierung und Ableitung von Massnahmen, getrennt nach kurzfristig, mittelfristig, strategisch.

Schritt 8: Berichterstattung in zwei Stufen — eine vollständige Fassung für die operativen Stellen, eine verdichtete Fassung für die Geschäftsleitung. Schritt 9: Festlegung der Folgeperiode für Überprüfung und Fortschreibung. Schritt 10: Übergabe in die Sicherheitsorganisation, die die Massnahmen umsetzt und nachhält.

Für jedes priorisierte Risiko stehen vier Massnahmenarten zur Verfügung: vermeiden, reduzieren, übertragen oder akzeptieren. Eine seriöse Risikoanalyse erlaubt es, diese Entscheidung bewusst und dokumentiert zu treffen — anstatt sie unbewusst durch Unterlassen zu fällen.

Vermeidung bedeutet, das Risiko strukturell zu eliminieren, zum Beispiel durch den Verzicht auf eine bestimmte Tätigkeit oder einen Standort. Reduktion bedeutet, durch technische, organisatorische oder personelle Massnahmen die Eintrittswahrscheinlichkeit oder die Auswirkung zu senken. Übertragung bedeutet, das Risiko vertraglich oder über Versicherungslösungen auf Dritte zu verlagern. Akzeptanz bedeutet, das Risiko bewusst zu tragen, in der Regel mit definierten Reserven oder Vorbereitungsmassnahmen.

Wesentlich ist die Dokumentation der Entscheidung. Ein bewusst akzeptiertes Risiko ist ein anderes Risiko als ein übersehenes — selbst wenn die Auswirkung im Ereignisfall die gleiche wäre.

Risikoanalysen berühren regelmässig datenschutzrechtliche und arbeitsrechtliche Fragen — insbesondere, wenn Datenquellen aus dem operativen Betrieb genutzt werden. Persönlichkeitsrechte, Mitwirkungspflichten und vertragliche Vorgaben müssen beachtet werden. Die konkrete Zulässigkeit einzelner Auswertungen oder Erhebungen muss im Einzelfall geprüft werden.

Organisatorisch ist die Einbindung von Geschäftsleitung, Sicherheitsverantwortung, HR, IT, Rechtsdienst und gegebenenfalls Versicherern entscheidend. Eine Risikoanalyse, die ausserhalb dieser Stellen entsteht, wird in der Umsetzung nicht getragen — unabhängig davon, wie sorgfältig sie methodisch ist.

Ein international tätiges Industrieunternehmen führt eine Risikoanalyse vor einer geplanten Standortkonsolidierung durch. Die Analyse macht sichtbar, dass die zentrale Schwachstelle nicht in einem einzelnen Standort liegt, sondern in der inhomogenen Sicherheitsorganisation über mehrere Länder. Daraus entsteht eine konsolidierte Sicherheitsstrategie.

Eine Vermögensverwaltung lässt eine Risikoanalyse rund um Schlüsselpersonen erstellen. Sichtbar werden Risiken, die im Alltag nicht thematisiert wurden — von Reisemustern über Wohnsicherheit bis zur öffentlichen Sichtbarkeit. Daraus entsteht ein abgestuftes Schutzkonzept ohne übertriebene Massnahmen.

Ein KMU mit zwei Standorten beauftragt eine Risikoanalyse vor der Erneuerung der Sachversicherungen. Die strukturierte Aufbereitung erlaubt eine spürbare Verbesserung der Versicherungskonditionen — und gleichzeitig eine Reduktion der eigenen Schadenanfälligkeit.