Um die Gefahren einschätzen zu können, die zum Ausfall eines Geschäftsprozesses führen können, müssen die Risiken, die auf ihn einwirken, sorgfältig analysiert werden. Dabei sind unterschiedliche Arten von Risiken zu berücksichtigen:

• Interne und externe Risiken
  Interne Risiken entstehen aus der Unternehmenstätigkeit selber, etwa durch Ausfall von Maschinen, oder durch Fehler von Mitarbeitern bei der Bearbeitung von Vorgängen. Externe Risiken wirken von Außen auf eine Institution, beispielsweise können verschärfte Umweltauflagen die Einstellung von Produktionsprozessen erzwingen, Unwetter Produktionsanlagen überfluten und so deren Stillstand bewirken oder gravierende Wechselkursänderungen Produktionsprozesse unrentabel machen.
• Direkt und indirekt wirkende Risiken
  Unmittelbar wirkende Gefährdungen, die zu einem Ausfall eines Geschäftsprozesses führen, sind in der Regel direkt zu erkennen. So ist der Wirkungszusammenhang zwischen dem Ausfall einer Maschine und einer Produktionsunterbrechung einfach zu beschreiben. Eine umfassende Analyse erfordert es jedoch auch, die Gefährdungen einzubeziehen, die indirekt auf einen Geschäftsprozess wirken. Die Stabilität eines Herstellungsprozesses hängt beispielsweise auch von der Wartungsintensität der eingesetzten Produktionsanlagen ab.
• Durch die Institution beeinflussbare und nicht beeinflussbare Risiken
  Während ein Unternehmen beispielsweise die Wartungsintervalle seiner Produktionsanlagen weitgehend selbst bestimmen kann, setzen gesetzliche Auflagen an einen Herstellungsprozess feste und kaum zu beeinflussende Rahmenbedingungen.

Um möglichst alle relevanten Risiken in die Betrachtung einzubeziehen, ist ein systematisches Vorgehen erforderlich. Hierbei können die Gefährdungskataloge des IT-Grundschutzes ein hilfreiches Instrument sein. Sie beschreiben strukturiert mögliche Gefährdungen für die Klassen:

• Höhere Gewalt wie Personalausfall, Unwetter, Ausfall von Lieferanten, technische Katastrophen
• Organisatorische Mängel wie mangelhafte Kontrollen, unzureichende Dokumentation, Fehlen von Regelungen
• Menschliche Fehlhandlungen wie Fehlbedienungen, Fehlverhalten
• Technisches Versagen wie Ausfall von IT-Systemen, Stromausfall
• Vorsätzliche Handlungen wie Missbrauch, Vandalismus, Diebstahl

Bewährte Verfahren wie Checklisten, Expertenbefragungen oder Brainstormings können dabei helfen, aktuelle und zukünftige Risiken systemisch zu erfassen. Für Anwender des IT-Grundschutzes bietet sich insbesondere auch die im BSI-Standard 100-3 beschriebene Risikoanalyse auf der Basis von IT-Grundschutz an.

Beispiel

Die RECPLAST GmbH hat bereits bei der Entwicklung ihrer Informationssicherheitskonzepte Risikoanalysen durchgeführt. Ein Teil der Ergebnisse konnte auch bei der Notfallplanung verwendet werden. Zwei mehrstündige Workshops dienten außerdem dazu, weitere Risiken für die als besonders kritisch bewerteten Geschäftsprozesse zu identifizieren, beispielsweise für die Prozesse "Fertigung Endprodukte" und "IT-Wartung" sowie den Server-Betrieb in Bad Godesberg und Bonn-Beuel. Aufgrund der guten Erfahrungen, die bereits mit dieser Methode gewonnen wurden, wurde die Brainstorming-Technik eingesetzt, um mögliche Gefährdungen für die Verfügbarkeit der kritischen Geschäftsprozesse zu finden. Die angesprochenen Risiken deckten das gesamte Spektrum an Gefährdungsszenarien ab, beispielsweise Naturkatastrophen (Erdbeben, Überflutungen – beides kann prinzipiell die Standorte des Unternehmens betreffen), technische Mängel, die einen längeren Produktionsstillstand bewirken können, gezielte Angriffe auf die IT, der Ausfall von Schlüsselpersonen oder von wichtigen Lieferanten.