ISO 27001 Risikoanalyse

Unternehmen nutzen die ISO 27001-Risikoanalyse, um Risiken für die Informationssicherheit zu identifizieren und zu bewerten und so Maßnahmen zu ergreifen, die das Gesamtrisiko reduzieren. Durch die Implementierung einer Risikoanalyse für das Informationssicherheitsmanagementsystem (ISMS) sind Unternehmen besser in der Lage, ihre bestehenden Sicherheitsrisiken zu überwachen, um sicherzustellen, dass auch in Zukunft ein möglichst hohes Maß an Akzeptanz aufrechterhalten wird. Um optimale Ergebnisse zu erzielen, sollte eine strategische Planung für diese Bewertung vorgenommen werden.

Diese Planung sollte für das ganze Unternehmen gelten, zudem umreißt die Ziele der Risikobewertung und legt einen klaren Weg für deren erfolgreiche Umsetzung fest.

Sie wollen ihr Informationssicherheits-Risiken minimieren oder ein Risikomanagement etablieren? 
Dann kontaktieren Sie uns jetzt!

Durchführung der Risikoanalyse

Um ein effektives Informationssicherheitsmanagementsystem (ISMS) zu gewährleisten, müssen Unternehmen zunächst ihre größten Bedrohungen identifizieren. Dazu gehört alles, was potenziell Schäden an Informationsbeständen verursachen könnte, seien es Naturkatastrophen, menschliches Fehlverhalten oder Umweltgefahren. Mit einer umfassenden Risikoanalyse potenzieller Bedrohungsquellen und Schwachstellen im System (siehe auch IT-Schwachstellenanalyse), die regelmäßig durchgeführt wird, können sich Unternehmen gegen diese sich ständig weiterentwickelnde externe Gefahrenlandschaft wappnen.

Durchführung der Schwachstellenanalyse

Zunächst sollten alle Sicherheitsschwachstellen in Ihrem ISMS-Risikoanalyseprozess aufgedeckt werden. Um Schwachstellen zu identifizieren, führen wir workshops mit den relevanten Parteien durch um sie zu befragen und offizielle Quellen zu erforschen – auch können wir uns einige Nachforschungen ersparen, indem wir automatisierte Scanning-Tools oder Penetrationstests verwenden.

Es können auf Wunsch unsere Pentest-Experten hinzugezogen werden, um potenzielle Schwachstellen in Informationssystemen und Netzwerken zu identifizieren. Durch die Analyse von Bedrohungen und Schwachstellen wird die Auswirkung auf den bestehenden Schutzbedarf ermittelt – und damit eine genaue Grundlage für die Risikobewertung geschaffen.

Ist-Analyse der vorhandenen Schutzmaßnahmen


Um optimale Ergebnisse und Effizienz zu gewährleisten, muss eine ordnungsgemäße Dokumentation der bestehenden und geplanten Sicherheitsmaßnahmen geführt werden. Es ist wichtig, die bisher angewandten Strategien im Verhältnis zu den damit verbundenen Kosten zu bewerten und gleichzeitig neue Protokolle einzuführen, die sowohl kosteneffizient als auch technologisch kompatibel sind.

Warum Sie mit uns arbeiten sollten

Weitere Schritte zum erfolgreichen Risikomanagement

Analyse

Nach der Schwachstellenanalyse erfolgt die Risikobewertung. Sie ist ein wesentlicher Schritt, wenn es um die Sicherheit eines Systems geht. Die Wahrscheinlichkeit und die Konsequenzen müssen berücksichtigt werden, um die damit verbundenen Risiken genau zu messen. Eine Risikomatrix kann dann dabei helfen, zu bestimmen, welche notwendigen Präventivmaßnahmen für einen optimalen Schutz vor potenziellen Bedrohungen sofort umgesetzt werden sollten.

Lösung

Eintrittswahrscheinlichkeit bewerten
Wenn Sie das Potenzial für gefährliche Ereignisse in Betracht ziehen, ist es wichtig, dass die Eigentümer eine Vielzahl von Faktoren berücksichtigen. Dazu gehören: die Quelle des Risikos und ihre Auswirkung auf Motivation und Leistung, die Art oder der Typ der vorhandenen Gefahr sowie alle bestehenden Maßnahmen zur Vermeidung solcher Ereignisse. Durch diesen fundierten Bewertungsprozess können die Eigentümer ihre Unternehmen besser auf unerwartete Umstände vorbereiten.

Launch

Analyse und Einschätzung der Auswirkungen

Um sich ein genaues Bild von den Risiken zu machen, die in jeder Situation bestehen, ist es wichtig, nicht nur die potenziellen Gefahren, sondern auch die zu erwartenden Auswirkungen zu bewerten. Durch einen ganzheitlichen Ansatz und die Betrachtung bestehender Schwachstellen neben den zu erwartenden Schäden durch Schadensereignisse können Unternehmen ihr Risikoniveau genauer einschätzen.

Behandlung von Risiken

Die Minderung von Risiken durch proaktive Maßnahmen ist für jedes Unternehmen unerlässlich. Das Risikomanagement kann in zwei Kategorien unterteilt werden: ursachenbezogene Maßnahmen, die die Ursache eines Problems angehen, bevor es auftritt, und wirkungsbezogene Maßnahmen, die mit spezifischen Aktionen direkt auf die Auswirkungen abzielen. Wenn Sie sich auf diese Weise vorbereiten, können Sie Ihre Investitionen sicher schützen und gleichzeitig den Erfolg kurz- und langfristiger Ziele gewährleisten.

Maßnahmen, die auf eine Ursache abzielen, können dazu beitragen, die Häufigkeit von Verlusten in einem Unternehmen zu verringern (Ursachenbezogenen Maßnahmen), während Maßnahmen, die sich auf die Auswirkungen konzentrieren, darauf abzielen, die Schwere solcher Ereignisse zu mindern (Wirkungsbezogene Maßnahmen).

Ziele

Profitieren Sie von unserer Zusammenarbeit

Vertraulichkeit, Integrität und Verfügbarkeit der Informationen in ihrem Unternehmen gewährleisten.

Sicherheitslösung so zu in die Betriebsstrukturen integrieren, dass sie den Betriebsalltag nicht beeinträchtigen und die Geschäftsziele unterstützen.

Für das Management transparente und klare ISMS-Strukturen schaffen, die einen echten Mehrwert im Verhältnis zum Aufwand bringen.

Ihre Ansprechpartner in Fragen der Informationssicherheit

Ob CISO, CIO, IT-Leiter, IT-Manager, IT-Sicherheit unsere Experten haben langjährige Erfahrungen aus der Praxis und sorgen dafür, dass Ihr Unternehmen die für Sie passende Lösung erhält.

Dr. Michael Gorski Consulting GmbH Team

Als Experten für Risikomanagement und
die ISO 27001 sind wir an Ihrer Seite.
Kontaktieren Sie uns.

Gerne beantworten wir Ihre Fragen und erstellen Ihnen ein individuelles Angebot.

Mehr über ISMS hier in unseren Videos

ISMS Was ist das? (Information Security Management System)

ISO 27001 und Security Monitoring (So erfüllt Ihr SOC die ISO 27001)

ISO 27001 und Security Monitoring (So erfüllt Ihr SOC die ISO 27001)

Häufig gestellte Fragen

zum Thema Risikoanalyse nach ISO 27001


Das Risiko ist eine der wichtigsten Überlegungen bei jedem Projekt oder jeder Aufgabe. Durch eine sorgfältige Bewertung und Analyse können wir es anhand von spezifischen Schadensklassen und Wahrscheinlichkeitsskalen berechnen, um eine genaue Darstellung zu erhalten. Durch die Multiplikation dieser beiden Dimensionen lässt sich ein umfassendes Risikomaß ermitteln, das dazu beiträgt, potenzielle Verluste zu reduzieren, falls bei der Ausführung etwas schief geht.

Definition Risiko = Schaden x Eintrittswahrscheinlichkeit


Unternehmen haben die Freiheit, eine Risikomanagement-Methode zu wählen, die nachvollziehbar, dokumentiert und für ihr Ziel/ihren Zweck geeignet ist. Der Standard 100-3 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bietet beispielsweise Methoden für die Risikoanalyse, die sich an den Bausteinen des IT-Schutzes orientieren, während der ISO 31000-Standard allgemeine Grundsätze und Richtlinien enthält. Für Unternehmen in informationsintensiven oder IT-gestützten Umgebungen ist der Ansatz der ISO IEC 27005 vielleicht am besten geeignet, da er Empfehlungen für die Umsetzung effizienter Risikomanagementverfahren enthält.

Unser Ansatz für das Risikomanagement richtet sich nach der ISO IEC 27005 und den international anerkannten Standards der ISO 31000 und schafft eine sichere Umgebung für alle Beteiligten.

Nach der Identifizierung und Priorisierung von Risiken in einem Informationssicherheits-Managementsystem (ISMS) sollten Maßnahmen zu deren Behebung auf der Grundlage der Risikobewertung, der Kosten für die Umsetzung und des Nutzens ausgewählt werden. Darüber hinaus muss das Management diejenigen mit einer geringen Wahrscheinlichkeit, aber schwerwiegenden Folgen als gesonderte Fälle betrachten – auch wenn dies in der Regel wirtschaftlich nicht zu rechtfertigen ist; auch hier empfiehlt sich die Entwicklung eines dokumentierten Plans, der die Reihenfolge und den Zeitrahmen definiert.

Mithilfe einer Risiko- und Kosten-Nutzen-Analyse können wir ermitteln, welche Maßnahmen Vorrang haben und zuerst umgesetzt werden sollten. Indem wir uns die Zeit für diese Bewertung nehmen, stellen wir sicher, dass unsere Entscheidungen auf gründlicher Recherche beruhen – was letztlich zu erfolgreicheren Ergebnissen führt.

Bei der Ermittlung potenzieller Risiken innerhalb einer Organisation oder eines Systems sind die Ursachen eine entscheidende Komponente, die es zu berücksichtigen gilt. Ursachen können Schwachstellen sein, die auf menschliches Versagen und technologische Fehler zurückzuführen sind, Bedrohungen durch böswillige Aktivitäten und Naturkatastrophen sowie falsche Vorstellungen über die Zuweisung von Ressourcen oder die Verfügbarkeit von Kapazitäten.

Ein Risiko ist eine potenziell nachteilige Situation, die den Erfolg eines Ziels beeinträchtigen könnte. Es ist etwas, das noch nicht realisiert ist, aber innerhalb bestimmter Parameter eintreten könnte

Wenn sich ein Risiko manifestiert, hat dies oft erhebliche Auswirkungen – von finanziellen Verlusten bis hin zu rechtlichen Konsequenzen. Die Auswirkungen dieser Risiken können weitreichend sein und zu dauerhaften menschlichen, wirtschaftlichen oder technischen Verlusten für die Beteiligten führen.


Genaue Aufzeichnungen über potenzielle Risiken und ihre Ursachen tragen dazu bei, dass Ihr Projekt erfolgreich ist. Erstellen Sie eine Risikotabelle mit einer Kennung, einer verantwortlichen Partei und möglichen Indikatoren für jeden aufgelisteten Punkt, so dass Sie alle Probleme, die im Laufe des Projekts auftreten, leicht aufspüren können. Es kann sinnvoll sein, diese Risiken in externe oder interne Kategorien einzuteilen und sie nach den Komponenten des PESTEL-Rahmens zu kategorisieren, z.B. nach politischen, wirtschaftlichen, sozialen, technologischen, ökologischen und rechtlichen Faktoren, die im Verlauf Ihres Projekts zu negativen Ergebnissen führen könnten.

Risiken können nicht einfach ohne weitere Überlegungen kombiniert werden. Um Risiken zu einem Gesamtrisiko zusammenzufassen, versuchen Sie es mit der Monte-Carlo-Simulation – einer zuverlässigen Methode zur genauen Messung ihrer Aggregation.


Das Risikomanagement kann mit Hilfe einer Risikomatrix vereinfacht und effektiver gestaltet werden. Mit einem Blick verstehen die Beteiligten sofort, welche Risiken kritisch sind, um weitere Maßnahmen zu ergreifen, und welche nicht so viel Aufmerksamkeit erfordern. Die Matrix ermöglicht eine einfache Unterscheidung zwischen niedriger, mittlerer oder hoher Wahrscheinlichkeit und verschiedenen Schadensgraden durch Farbcodierung – das heißt, Sie müssen nicht mehr raten, wo die Ressourcen zuerst eingesetzt werden müssen!

Eine effektive Risikomatrix zeigt ebenfalls relevante Informationen wie den Titel, die verantwortlichen Autoren und das Analysedatum in einem übersichtlichen Dokument auf.

Die Identifizierung von Risiken kann eine entmutigende Aufgabe sein – aber die gute Nachricht ist, dass sie immer behandelbar sind! Ob Sie nun kleine Änderungen an Ihren Gewohnheiten vornehmen oder groß angelegte Prozessänderungen vornehmen, es gibt viele Schritte, die Sie unternehmen können, um Ihr Risiko deutlich zu verringern. Konzentrieren Sie sich auf den langfristigen Erfolg und stellen Sie sicher, dass keine dieser lästigen Bedrohungen zwischen Ihnen und dem Sieg steht!


Proaktive/Präventive Vorbeugung ist der Schlüssel zum effektiven Umgang mit Risiken. Proaktive Schritte zur Verringerung der Wahrscheinlichkeit, dass ein Vorfall eintritt, und in einigen Fällen zur Minimierung des Schadens, wenn er doch eintritt, können durch zeitliche, finanzielle oder personelle Sicherheitsvorkehrungen getroffen werden, die als Puffer zwischen potenziellen Bedrohungen und gefährdeten Unternehmen/Personen dienen.

Anstatt vorbeugende Maßnahmen zu ergreifen, können Sie auch abwarten, bis das Risiko Realität wird, und dann die Auswirkungen bekämpfen (Reaktive bzw. korrektive Maßnahmen). In der Regel ist es jedoch vorteilhaft, beide Ansätze gleichzeitig anzuwenden, um sich optimal gegen potenzielle Risiken zu schützen.

Risikominderung ist eine großartige Strategie, aber manchmal ist es am besten, das Risiko vollständig zu übertragen. In diesen Fällen können Sie sich auf einen kompetenten Drittanbieter wie eine Versicherungsgesellschaft verlassen, die gegen eine wiederkehrende Provisionszahlung die Verantwortung für etwaige Verluste übernimmt (Risiko Delegation). Auf diese Weise können sich sowohl Unternehmen als auch Privatpersonen proaktiv vor unerwarteten Schäden oder finanziellen Verlusten schützen.

Vermeidung kann oft eine kluge Antwort sein, wenn es um die Bewältigung von Risiken geht. Meiden Sie die potenziell gefährliche Situation oder überlegen Sie sich eine alternative Handlung, die dennoch zu den gewünschten Ergebnissen führt – ohne jegliche Gefahr!

Der Aufbau einer effektiven Risikostrategie erfordert eine sorgfältige Abwägung zwischen dem potenziellen Schaden und den Kosten für die Reduzierung, Übertragung oder Vermeidung von Risiken. Wenn sich diese Maßnahmen im Verhältnis zu ihrem Nutzen als zu kostspielig erweisen, müssen Sie möglicherweise akzeptieren, dass ein gewisses Restrisiko im Rahmen Ihres Geschäftsplans getragen werden muss.

Ergreifen Sie von Beginn eines Projekts an proaktive Maßnahmen und prüfen Sie potenzielle Risiken mit einer objektiven Einstellung. Auf diese Weise behalten Sie die Kontrolle, wenn Sie mit einem Risiko konfrontiert werden. Darüber hinaus bietet die gemeinsame Risikobewertung als Teil der Teambildung weitere Einblicke in die individuellen Perspektiven: Gibt es Optimismus oder Pessimismus? Dies zu erkennen, ermöglicht eine verstärkte Gruppendynamik, die für alle von Vorteil sein kann.

  1. Identifikation von Risiken: Die Bewertung der Projektziele, der Umweltfaktoren, der beteiligten Interessengruppen und der zu erbringenden Leistungen macht die Identifizierung von Risiken zu einem wesentlichen Bestandteil einer erfolgreichen Durchführung. Durch die Erstellung einer umfassenden Liste können Sie sicherstellen, dass die Risiken auf der Grundlage von Fachkenntnissen genau identifiziert werden, wobei auch externe Trends oder der Wettbewerb sowie gesetzliche Vorschriften, die sich möglicherweise auswirken könnten, berücksichtigt werden. Die Benennung jedes Risikos ermöglicht eine effiziente Dokumentation für weitere Strategien zur Risikominderung, um die angestrebten Ziele sicher zu erreichen.
  2. Bewertung von Risiken: Die Quantifizierung von Risiken ist ein wichtiger Schritt bei der Risikoverwaltung. Um den Schweregrad von Risiken genau einzuschätzen, sollten Sie die Beteiligten einbeziehen und jedem Risiko eine Wahrscheinlichkeit (in Prozent) zuweisen. Bestimmen Sie die Auswirkungen auf Ihr Projekt, falls sie sich verwirklichen sollten (in Euro). Kombinieren Sie dann diese beiden Elemente zu einem Gesamtwert für das Risiko, der widerspiegelt, wie wichtig dieses spezifische Risiko sein könnte, wenn es eintritt. Legen Sie schließlich die Prioritäten für die entsprechenden Maßnahmen fest, je nachdem, wie hoch oder niedrig das potenzielle Risiko ist!
  3. Das Aufsetzten von Maßnahmen: Ein effektives Risikomanagement erfordert eine sorgfältige Abwägung der möglichen Folgen sowie eine Bewertung von Kosten und Nutzen. Bei der Entscheidung, welche Risiken zuerst angegangen werden sollen, ist es wichtig, die Risiken zu priorisieren, die besonders häufig auftreten und größere negative Auswirkungen haben. Stellen Sie nach der Identifizierung sicher, dass die entsprechenden Interessengruppen für die Abschwächung jedes einzelnen Problems verantwortlich sind – schließlich ist es „mein Ziel, mein Risiko, meine Aktion(en)“. Nicht zuletzt ist eine umfassende Strategie nicht immer notwendig, wenn es sich um Ereignisse mit geringer Wahrscheinlichkeit handelt, die wenig Schaden anrichten.
  4. Überwachung aller Risiken:
    Ein proaktives Risikomanagement ist für den langfristigen Erfolg unerlässlich. Seien Sie der Zeit immer einen Schritt voraus, indem Sie regelmäßig potenzielle Bedrohungen bewerten und deren Wahrscheinlichkeit, Auswirkungen, mögliche Präventivmaßnahmen sowie neu entstandene Risiken aufgrund von Veränderungen in Ihrem Umfeld oder Ihrer Branche analysieren. Kümmern Sie sich nicht nur um ein Problem, wenn es auftritt, sondern planen Sie auch für Probleme, die später auftreten können, damit Sie Ihren Weg des Fortschritts zuversichtlich fortsetzen können!


Risikomanagement ist ein sich ständig weiterentwickelnder Prozess. Um informiert und auf dem neuesten Stand zu bleiben, ist es wichtig, bestehende Risiken regelmäßig zu überprüfen und neue Risiken zu identifizieren, die möglicherweise aufgetreten sind. Ohne proaktive Wachsamkeit können Unternehmen auf potenzielle Unwägbarkeiten unvorbereitet sein – bleiben Sie also wachsam!

Vorteile:
  • Eine Risikoanalyse ist für den Erfolg eines jeden mittleren oder großen Projekts unerlässlich.
  • Sie sorgt für ein einheitliches Verständnis der potenziellen Risiken und bereitet das Team proaktiv darauf vor, die Erfolgswahrscheinlichkeit zu erhöhen.
  • Mit einer genauen Sichtweise gibt es keinen Grund für Wunschdenken oder Naivität – nur Realismus und Vorbereitung!
  • Ein proaktives Mindset inspirierter Ansatz hilft den Teams, erfolgreich zu sein, indem er ihnen quantifizierbare Methoden an die Hand gibt, mit denen sie nachweisen können, dass sie alle notwendigen Maßnahmen ergriffen haben, um die zu erwartenden Ergebnisse abzumildern.
Nachteile:
  • Die Risikobewertung ist ein komplexes Unterfangen und kann schwer zu durchschauen sein.

  • Bei kurzen oder Ein-Personen-Projekten mit definiertem Umfang und Zielen sollten Sie sich davor hüten, eine übermäßige Analyse durchzuführen – oft sollte Ihr gesunder Menschenverstand für die häufigsten Risiken ausreichen.

  • Bei größeren Projekten können sich jedoch umfassende Risikoanalysen als nützlich erweisen.

  • Denken Sie jedoch daran, dass zu viele Variablen die Wirksamkeit einer solchen Analyse als akademische Übung beeinträchtigen könnten!

  • Trotz der Bedeutung, die der Identifizierung und dem Management von Risiken zukommt, scheitern viele Projekte noch immer.

  • Zu oft konzentrieren sie sich auf triviale Abweichungen und übersehen dabei soziale Faktoren wie eine unzureichende Aufsicht durch das Management, langwierige Entscheidungsverfahren oder interne Machtdynamiken, die weitaus größere Auswirkungen haben können.

  • Um sich jedoch vor potenziellen Problemen in der Zukunft zu schützen, muss die Risikoanalyse eine kontinuierliche Aufgabe sein, die detaillierte Aufmerksamkeit und konsequente Investitionen erfordert.

 

Die Risikoanalyse ist ein wesentlicher Bestandteil des Projektmanagements, der eine durchdachte und systematische Bewertung erfordert. Um die Reproduzierbarkeit zu gewährleisten, ist es wichtig, im Voraus objektive Kriterien zu definieren – so können wir aus unseren Fehlern lernen! Indem wir die Ergebnisse vergangener Projekte sorgfältig auswerten, können wir wertvolle Erkenntnisse darüber gewinnen, welche Probleme mit einer angemessenen Risikobewertung hätten verringert werden können und welche Maßnahmen zum Zeitpunkt ihrer Umsetzung überflüssig oder richtig waren. Dieses Verständnis ermöglicht es uns, das künftige Risikomanagement für maximale Effizienz zu optimieren.

Die Arbeit mit finanziellen Werten mag stromlinienförmig und mathematisch effizient erscheinen, stellt aber oft eine Herausforderung dar, wenn es darum geht, den Schaden zu quantifizieren, der durch Dinge wie Reputationsschäden verursacht werden kann. Ein praktikablerer Ansatz ist es, stattdessen verschiedene Schadensklassen für einen Start zu erstellen – insbesondere vier oder fünf Kategorien erweisen sich in der Regel als nützlich, wie beispielsweise:

  • gering, mittel, hoch, sehr hoch
  • sehr gering, gering, mittel, hoch

Die Berücksichtigung dieser Optionen sollte Ihnen helfen, eine fundierte Entscheidung darüber zu treffen, wie Sie den potenziellen Schaden für Ihr Unternehmen oder Ihre Organisation am besten bewerten.

Trotz des gleichen Endziels können Wortwahl und Botschaft einen Einfluss haben. Um reproduzierbare Risikobewertungen zwischen dem Projektleiter Müller und seinem Stellvertreter Herrn Schmitt zu gewährleisten, bedarf es einer zusätzlichen Anleitung, wenn es um die Schadensklassifizierung geht – was uns dazu veranlasst hat, eine Tabelle mit möglichen Interpretationen zum Nachschlagen zu erstellen!

Schadensklassen können durch die Anwendung individueller Kriterien unterschieden werden, die für ein bestimmtes Unternehmen relevant sind. Indem wir zeigen, wie diese Umstände in der Praxis funktionieren, gewinnen wir ein besseres Verständnis für die Konzepte der Schadensklassifizierung. Beispiel für Schadensklassen (Die Einschätzung ab wann ein finanzieller Schaden gering, mittel, hoch uns sehr hoch, ist individuell vom jeweiligen Unternehmen abhängig, diese Tabelle dient lediglich der Veranschaulichung):

Schadensklassen, Risikoanalyse, Risiko Management


Es ist an der Zeit, kreativ zu werden und Ihr eigenes System für die Kategorisierung der Eintrittswahrscheinlichkeit zu entwerfen. Sie können ähnlich wie beim Schadensausmaß zwischen niedrig, mittel, hoch oder sehr hoch unterscheiden.


Mit der Entwicklung unserer Risikomatrix sind wir nun besser darauf vorbereitet, für jede potenzielle Gefahr ein angemessenes Maß an Akzeptanz festzulegen. Wir haben festgestellt, dass ein Ergebniswert ≤4 uns automatisch dazu berechtigt, alle damit verbundenen Risiken zu akzeptieren und entsprechend mit der weiteren Analyse fortzufahren.


Wenn Sie mindestens drei Risikoklassen haben, können Sie bei der Analyse und Bewertung von Risiken ein noch höheres Maß an Genauigkeit erreichen. Elemente mit geringem Risiko (unter einem bestimmten Wert) werden automatisch ohne weitere Analyse akzeptiert; mittlere Risiken sollten zur endgültigen Genehmigung zwischen der zuständigen Abteilung/dem Projektleiter besprochen werden; Fälle mit hohem Risiko müssen vor der Akzeptanz weitere Managementebenen durchlaufen. Solche Überlegungen stellen letztlich sicher, dass alle Entscheidungen, die in solchen Situationen getroffen werden, sowohl fundiert als auch angesichts der potenziellen Konsequenzen der jeweiligen Situation angemessen sind.

Tipps aus der Praxis

zum Thema Risk Management