Zum Inhalt springen
← Glossar

Risikomatrix - Risk Matrix

Bewertungsraster aus Eintrittswahrscheinlichkeit und Schadenshöhe

Was bedeutet Risikomatrix?

Eine Risikomatrix ist ein Bewertungsraster, das Risiken anhand von Eintrittswahrscheinlichkeit und Schadenshöhe in Kategorien einteilt und dadurch priorisierbar macht.

Eine Risikomatrix ordnet jedem Risiko zwei unabhängig geschätzte Werte zu - die Eintrittswahrscheinlichkeit und die Schadenshöhe im Eintrittsfall - und errechnet daraus meist durch Multiplikation einen Risikowert, der wiederum in Stufen wie niedrig, mittel, hoch und kritisch eingeteilt wird. Die visuelle Heatmap-Darstellung macht auf einen Blick sichtbar, wo sich Risiken konzentrieren, und liefert damit die Grundlage für Priorisierungsentscheidungen im Risikoregister.

4x4 versus 5x5: Rastergrößen im Vergleich

Die häufigsten Varianten sind 4x4- und 5x5-Matrizen. Eine 4x4-Matrix zwingt zu einer klaren Entscheidung, da es keine mittlere Ausweichstufe gibt - jedes Risiko muss tendenziell als eher niedrig oder eher hoch eingestuft werden. Eine 5x5-Matrix erlaubt feinere Abstufung, tendiert in der Praxis aber dazu, dass unsichere Einschätzungen unreflektiert in die mittlere Stufe rutschen. Für welche Rastergröße sich eine Organisation entscheidet, muss in der Methodikbeschreibung des Risikoregisters dokumentiert und konsistent angewendet werden.

Bruttorisiko und Restrisiko

Jedes Risiko wird typischerweise zweimal in die Matrix eingeordnet: als Bruttorisiko vor Umsetzung von Gegenmaßnahmen und als Restrisiko danach. Die Differenz zwischen beiden Positionen zeigt, ob eine geplante Maßnahme tatsächlich wirksam ist - ein Risiko, das brutto und netto in derselben Zelle landet, wurde durch die Maßnahme faktisch nicht reduziert.

Grenzen der Risikomatrix

Risikomatrizen beruhen auf subjektiven Schätzungen und einer linearen Skala, die die tatsächliche, oft heavy-tailed Verteilung von Cyberschäden nur grob abbildet - ein Ransomware-Vorfall mit Millionenschaden und ein kleinerer Vorfall landen bei grober Kategorisierung leicht in derselben Zelle „hoch". Für belastbarere finanzielle Einschätzungen ergänzen quantitative Modelle wie ein Annual-Loss-Expectancy-Rechner die Matrix, statt sie zu ersetzen.

Praxis-Tool

Bewerte deine Risiken mit der integrierten 4x4-Risikomatrix im Risikoregister

Zum Risikoregister

Auch bekannt als

Risk Matrix · Risiko-Bewertungsmatrix · Eintrittswahrscheinlichkeit-Schadenshöhe-Matrix