Field notes

5 Fehler in Risikoregistern (und wie Sie sie beheben)

Denn die meisten Risikoregister sind nichts weiter als teure Tabellen voller Wunschdenken.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy4 Min. Lesezeit
5 Mistakes in Risk Registers (and How to Fix Them)

Denn die meisten Risikoregister sind letztlich nur teure Tabellenkalkulationen voller Wunschdenken.

Let’s be honest: 80% of the risk registers I review look “fine”, until you actually try to nutzen will.Sie erfüllen jede Anforderung: Eintrittswahrscheinlichkeit, Auswirkung, Verantwortlicher, Behandlung.Doch wenn ein echter Vorfall eintritt, öffnet sie niemand, niemand vertraut ihnen, und die Hälfte der Daten ist bereits veraltet.

That’s not a “governance issue.” That’s a design failure.

Hier sind fünf reale Fehler aus der Praxis, die Risikoregister nutzlos machen, und wie man sie behebt.

1. Fehler Nr. 1: Risiken, die Kontrollen beschreiben, keine Exposition

Sie wären überrascht, wie viele Register so beginnen:

“Lack of multi-factor authentication.”“No backup policy.”“Absence of incident response plan.”

Das ist kein Risiko. Das ist eine fehlende Kontrolle.

Ein Risiko beschreibt, was der Organisation passieren könnte, nicht welche Kontrolle vergessen wurde.

Hier ist der Test:Wenn Sie es mit “The risk that…” beginnen können und es noch Sinn ergibt, sind Sie auf dem richtigen Weg.

✅ “The risk that unauthorized access compromises confidential data due to weak authentication.”

Lösung: Formulieren Sie jedes Risiko als Szenario mit Ursache, Ereignis und Konsequenz.So trennen Sie technische Symptome sofort von tatsächlichen Expositionen.

2. Fehler Nr. 2: Register, die wie Milch verderben

Ihr Register wurde zuletzt im März aktualisiert.Dann migrierte die Organisation im April in die Cloud.Im Mai fusionierte sie mit einem anderen Unternehmen.Und im Juni wurden KI-Tools eingeführt.

Was glauben Sie? Ihr Risikokontext hat sich verändert, Ihr Register nicht.

Das ist keine Fahrlässigkeit; das ist Prozessbeharrung.Die meisten Unternehmen behandeln Risikoregister noch immer als jährliches Ritual, nicht als lebendiges System.

Lösung:

  • Führen Sie einen schlanken “continuous review” ein.
  • Verantwortliche bestätigen den Risikostatus quartalsweise (buchstäblich fünf Minuten).
  • Automatisieren Sie Änderungsauslöser (z. B. neues Projekt, neuer Lieferant, neue Regulierung).

Ein gutes Risikoregister atmet. Ein schlechtes versteinert.

3. Fehler Nr. 3: Bewertungen ohne gemeinsame Währung

Klassische Situation:

  • Risk A: “High likelihood, medium impact.”
  • Risk B: “Low likelihood, high impact.”
  • Risk C: “Medium-medium.”… und niemand ist sich einig, was das jeweils bedeutet.

Warum? Weil die Skalen nicht in der betrieblichen Realität verankert sind.

Most registers still rely on subjective 1–5 scales, filled by people who interpret “medium” differently.Das ist Pseudo-Quantifizierung.

Lösung:Übersetzen Sie Ihre Skalen in konkrete Geschäftsbegriffe.

  • Likelihood = frequency or time horizon (“once per year,” “once per decade”).
  • Impact = financial, reputational, or operational loss estimates (“<€100K,” “service downtime <4h”).Kalibrieren Sie die Skala dann je Domäne (Cyber ≠ Legal ≠ Finanzen).

If everyone in the room can’t explain the difference between “3” and “4,” your register is a guessing game, not a tool.

4. Fehler Nr. 4: Risikobehandlungen, die nie enden

Hier ist einer meiner Favoriten:

“Mitigation: implement security awareness program.”“Status: ongoing.”“Due date: N/A.”

Übersetzung: Wir werden das ewig tun und es Fortschritt nennen.

Ewige Maßnahmen zerstören die Glaubwürdigkeit.When every risk has an “ongoing” mitigation, your register becomes a graveyard of eternal projects.

Lösung:

  • Jede Maßnahme braucht eine Abschlussbedingung, how do we know it’s “done”?
  • Benennen Sie einen verantwortlichen Eigentümer und ein Fälligkeitsdatum.
  • Wenn es sich um eine wiederkehrende Kontrolle handelt (wie Awareness), verschieben Sie diese in das Kontrollinventar, nicht in das Risikoregister.

Ihr Risikoregister sollte Entscheidungen verfolgen, keine Wartungsaufgaben.

5. Fehler Nr. 5: Keine Nachvollziehbarkeit zwischen Risiken, Kontrollen und Vorfällen

Daran erkennt man den Unterschied zwischen Amateuren und Profis.

Die meisten Register existieren isoliert: Sie listen Risiken auf, sind aber nicht verknüpft mit Kontrollen oder Vorfällen.Wenn etwas schiefläuft, lässt sich nicht nachvollziehen, welche Kontrolle versagt hat oder welches Risiko eingetreten ist.

Lösung:Verknüpfen Sie Ihr Risikoregister mit:

  • Kontrollbibliotheken (ISO 27001 Annex A, NIST, DORA).
  • Vorfallsprotokollen (zur Validierung von Wahrscheinlichkeit und Kontrolleffektivität).
  • Audit-Feststellungen (zur Verfolgung von Verbesserungen).

Mit anderen Worten: Schaffen Sie Rückverfolgbarkeit, den heiligen Gral eines reifen GRC.Das ist es, was aus einer Tabellenkalkulation eine Entscheidungsmaschine macht.

Bonus: The “Smell Test”

Wenn Sie wissen wollen, ob Ihr Risikoregister funktioniert, fragen Sie sich:

„Wann hat zuletzt jemand außerhalb des Risikoteams opened it voluntarily?”

If the answer is “never,” you don’t have a register, you have a compliance artifact.

Der Kern der Sache

Risikoregister scheitern, weil sie für Auditoren geschrieben werden, nicht für Entscheidungsträger.Die Lösung ist kein neues Template, sondern ein Umdenken: Risiko als lebendige Erzählung davon, wie Ihre Organisation ihren Wert schützt.

Bis 2026 werden die besten Unternehmen nicht nur ansprechende Register haben, sondern verknüpfte, kontextualisierte, kontinuierlich aktualisierte Risikoökosysteme.

Bis dahin gilt:Schreiben Sie Risiken wie Geschichten.Bewerten Sie sie wie Business Cases.Überprüfen Sie sie, als ob es Ihnen ernst wäre.

Möchten Sie tiefer einsteigen?

Genau das vermitteln wir in den Risk Manager-Programmen der Cyber Academy.Wir gehen über Heatmaps hinaus, hin zu praxistauglichen Risikoentscheidungsrahmen, die Ihr Board überzeugen.

👉 Agenda ansehen.

Denn Risiko ist keine Tabellenkalkulation.Es ist die Geschichte des Überlebens Ihrer Organisation, erzählt in Daten.

Möchten Sie die nächste Feldnotiz in Ihrem Posteingang?

Der GRC Brief Newsletter. Fünf Links und eine kurze Einschätzung, jeden Montag um 8 Uhr MEZ. Drei Minuten Lesezeit.