Um das Ausfallrisiko von Geschäftsprozessen zu beschreiben, muss die Eintrittswahrscheinlichkeit von möglichen Schadensereignissen eingeschätzt werden. Bisweilen gibt es hierzu Statistiken, auf die zurückgegriffen werden kann. So können die in vielen Unternehmen geführten Krankenstandstatistiken dazu beitragen, das Personalausfallrisiko zu spezifizieren, oder Störfallstatistiken von Anlagenherstellern es erleichtern, die Wahrscheinlichkeit des Ausfalls einer Produktionsanlage einzuschätzen. Für viele schädigende Ereignisse fehlt jedoch jegliches Zahlenmaterial. Exakte quantitative Angaben zu Eintrittswahrscheinlichkeiten sind damit in der Regel nicht möglich.

Wahrscheinlichkeit klassifizieren

Die Eintrittswahrscheinlichkeit eines Ereignisses kann mit Hilfe von Wahrscheinlichkeitskategorien klassifiziert werden, wie im folgenden Beispiel:

• "sehr wahrscheinlich": einmal pro Woche oder öfter,
• "wahrscheinlich": einmal pro Monat,
• "möglich": einmal pro Jahr,
• "unwahrscheinlich": alle 10 Jahre oder seltener.

Schäden klassifizieren

Zur Klassifikation der Schadenshöhen können die zuvor bei der Schadensanalyse definierten Schadenskategorien dienen. Bei dem Beispielunternehmen RECPLAST GmbH waren dies die Kategorien "niedrig", "mittel", "hoch" und "sehr hoch".

Risiken klassifizieren

Wie hoch ein Risiko ist, hängt sowohl von der Wahrscheinlichkeit einer Gefährdung ab als auch von der Höhe des Schadens, der dabei droht. Eine Risikobewertung muss daher beide Einflussgrößen berücksichtigen. In der Praxis gibt es hierfür viele Verfahren, eine häufig genutzte ist die so genannte Risikomatrix.

Die folgende Tabelle zeigt ein Beispiel. Grundlage sind eine Klassifikation der Risiken mit Hilfe der Kategorien "Niedrig", "Mittel", "Hoch" und "Sehr hoch" sowie die zuvor festgelegten Kategorien für die Bewertung von Eintrittswahrscheinlichkeiten und Schadenshöhen.

Matrix zur Risikobewertung

Wahrscheinlichkeit	Auswirkung/Schaden
	Niedrig	Mittel	Hoch	Sehr hoch
Sehr wahrscheinlich	gering	mittel	hoch	sehr hoch
Wahrscheinlich	gering	mittel	hoch	hoch
Möglich	gering	gering	mittel	mittel
Unwahrscheinlich	gering	gering	gering	gering

Anhand der Eintrittswahrscheinlichkeit eines Ereignisses und der eingeschätzten Schadenshöhe kann mit Hilfe der Risikomatrix sehr einfach eine Gesamtbewertung eines Risikos vorgenommen werden. Zwei Beispiele aus der Risikoanalyse bei der RECPLAST GmbH sollen dies veranschaulichen:

• Da das Unternehmen nur über wenige Knowhow-Träger im Bereich der IT-Wartung verfügt, ist die Wahrscheinlichkeit sehr hoch, dass ein Personalausfall diesen Prozess stört. Je nach Zeitpunkt kann dies auch einen sehr hohen Schaden für das Unternehmen bedeuten. Das Risiko Personalausfall für den Prozess "IT-Wartung" ist also also gemäß der obigen Risikomatrix sehr hoch.
• Anders sieht es für den Fertigungsprozess aus. Hier sind die notwendigen Kenntnisse und Fähigkeiten auf so viele Personen verteilt, dass auch bei einer größeren Anzahl von abwesenden Mitarbeitern die Produktion noch aufrecht erhalten werden kann. Trotz des sehr hohen Schadenspotenzials bei einem Totalausfall der Belegschaft wurde das Risiko eines Personalausfalls für den Geschäftsprozess "Fertigung" daher nur als "mittel" bewertet.

Die angeführten Lösungen dienen lediglich als Beispiel. Mit wie vielen und mit welchen Kategorien Eintrittswahrscheinlichkeiten, Schadenshöhen und Risiken bewertet werden, muss jede Institution in der Praxis für sich selber entscheiden. Es liegt außerdem nahe, für die Bewertung der Schadenshöhen ähnliche Kategorien und Abgrenzungen zu verwenden wie bei der Business Impact Analyse oder der Schutzbedarfsfeststellung gemäß IT-Grundschutz-Vorgehensweise.