NIS2: Warum Cyber-Risiko keine Ampel mehr sein darf
Quelle: Michael Krisper: Problems with Risk Matrices Using Ordinal Scales (arXiv, 2021) sowie Richtlinie (EU) 2022/2555, bekannt als NIS2. Cyber-Risiko als Ampel? Für NIS2 wird das zu wenig Viele Organisationen bewerten …
CIOs, CISOs, Geschäftsführung, GRC-Teams
Grundverständnis Cybersecurity-Risikomanagement und NIS2
Quelle: Michael Krisper: Problems with Risk Matrices Using Ordinal Scales (arXiv, 2021) sowie Richtlinie (EU) 2022/2555, bekannt als NIS2.
Cyber-Risiko als Ampel? Für NIS2 wird das zu wenig
Viele Organisationen bewerten Cyberrisiken noch immer mit klassischen Risikomatrizen: Eintrittswahrscheinlichkeit niedrig, mittel oder hoch. Schaden niedrig, mittel oder hoch. Daraus entsteht dann eine Farbe: grün, gelb, rot.
Das ist verständlich. Risikomatrizen sind schnell, visuell und managementtauglich. Genau deshalb sind sie so beliebt.
Aber sie haben ein Problem: Sie wirken objektiver, als sie sind.
Das Paper Problems with Risk Matrices Using Ordinal Scales zeigt sehr sauber, warum Risikomatrizen mit ordinalen Skalen methodisch gefährlich sein können. Ordinale Skalen beschreiben Rangfolgen, keine belastbaren Zahlenräume. Wenn man damit rechnet, gewichtet oder priorisiert, entsteht leicht Scheingenauigkeit.
Die Autoren nennen unter anderem diese Probleme:
| Problem | Bedeutung für Cybersecurity |
|---|---|
| Ordinale Skalen | „Hoch“ ist nicht automatisch doppelt so viel wie „mittel“ |
| Semi-quantitative Arithmetik | Rechnen mit Pseudowerten erzeugt falsche Präzision |
| Range Compression | sehr unterschiedliche Risiken landen in derselben Kategorie |
| Risk Inversion | ein real höheres Risiko kann niedriger priorisiert werden |
| Ambiguität | Bewertende verstehen Skalen unterschiedlich |
| Versteckte Unsicherheit | Datenqualität und Unsicherheit verschwinden hinter einer Farbe |
Die Kernbotschaft: Risikomatrizen sind nicht neutral. Sie formen Entscheidungen. Und sie können Entscheidungen verzerren.
Warum das für NIS2 relevant ist
NIS2 macht Cybersecurity stärker zur Governance-Aufgabe. Es geht nicht mehr nur darum, einzelne technische Maßnahmen umzusetzen. Unternehmen müssen Cyberrisiken systematisch managen, Verantwortung auf Leitungsebene verankern und Maßnahmen nachvollziehbar begründen.
Besonders relevant sind dabei zwei Gedanken aus der Richtlinie:
Erstens müssen Leitungsorgane Cybersecurity-Risikomanagementmaßnahmen billigen und ihre Umsetzung überwachen. Cyberrisiko ist damit kein rein operatives IT-Thema mehr, sondern Teil der Unternehmensführung.
Zweitens verlangt NIS2 geeignete technische, operative und organisatorische Maßnahmen. Dazu zählen unter anderem Risikoanalyse, Sicherheitskonzepte, Incident Handling, Business Continuity, Krisenmanagement, Lieferkettensicherheit und Zugriffskontrolle.
Für CIOs und CISOs entsteht daraus eine klare Konsequenz: Eine rote, gelbe oder grüne Box reicht als alleinige Entscheidungsgrundlage nicht mehr aus.
Das eigentliche Risiko: Fehlpriorisierung
Das gefährlichste Problem ist nicht, dass Risikomatrizen grob sind. Das weiß jeder.
Das gefährlichste Problem ist, dass sie eine falsche Priorisierung plausibel aussehen lassen können.
Ein Beispiel:
- Risiko A hat eine moderate Eintrittswahrscheinlichkeit, aber potenziell existenzbedrohenden Schaden.
- Risiko B hat eine hohe Eintrittswahrscheinlichkeit, aber begrenzten Schaden.
Je nach Matrixdesign, Grenzwerten und Gewichtung kann Risiko B höher priorisiert werden als Risiko A. Auf dem Papier sieht das sauber aus. In der Realität kann es falsch sein.
Genau hier wird es für NIS2 kritisch. Wenn Management, Prüfer oder Aufsicht fragen, warum bestimmte Maßnahmen priorisiert oder nicht priorisiert wurden, ist „die Matrix war gelb“ keine starke Begründung.
Besser ist eine Herleitung, die zeigt:
- welcher Schaden in welchem Szenario entstehen kann,
- wie wahrscheinlich das Szenario ungefähr ist,
- welche Unsicherheit in der Bewertung steckt,
- welche Kontrollen bereits wirken,
- welche Maßnahme das Risiko wie stark reduziert,
- und warum Budget genau dort eingesetzt wird.
Risikomatrizen nicht verbieten — aber begrenzen
Die pragmatische Lösung ist nicht, jede Matrix aus dem Unternehmen zu werfen. Das wäre unrealistisch und oft auch unnötig.
Risikomatrizen haben ihren Platz. Sie eignen sich für:
- erste Triage,
- Workshops,
- Kommunikation mit Nicht-Technikern,
- grobe Sortierung vieler Risiken,
- Einstieg in Management-Diskussionen.
Sie sind aber schwach für:
- Investitionsentscheidungen,
- Top-Risiken,
- NIS2-relevante Nachweise,
- Lieferkettenrisiken,
- Business-Continuity-Szenarien,
- Vorstandsvorlagen,
- Versicherungs- und Haftungsfragen.
Kurz: Die Matrix kann der Anfang einer Risikoanalyse sein. Sie sollte nicht ihr Ende sein.
Was CIOs konkret ändern sollten
Für NIS2-taugliche Cyber-Risiko-Governance braucht es mehr als Ampelfarben. CIOs sollten vor allem bei wesentlichen Risiken stärker quantifizieren.
Das muss nicht sofort ein perfektes mathematisches Modell sein. Schon einfache, transparente Bandbreiten sind besser als scheinpräzise Farben.
Ein robusterer Ansatz enthält zum Beispiel:
| Element | Warum es hilft |
|---|---|
| Szenarioanalyse | macht Risiken konkret und diskutierbar |
| Schadensbandbreiten | zeigt Best Case, realistisches Szenario und Worst Case |
| Eintrittswahrscheinlichkeit als Bereich | verhindert falsche Exaktheit |
| Expected Loss | verbindet Wahrscheinlichkeit und Auswirkung |
| Kontrollwirksamkeit | zeigt, ob Maßnahmen wirklich Risiko reduzieren |
| Datenqualität | macht Unsicherheit sichtbar |
| Annahmenlog | dokumentiert, worauf Entscheidungen beruhen |
Gerade der letzte Punkt ist oft unterschätzt. Gute Governance bedeutet nicht, dass man alles exakt weiß. Gute Governance bedeutet, dass man Annahmen offenlegt und Entscheidungen nachvollziehbar trifft.
Besonders kritisch: Lieferkette und Abhängigkeiten
NIS2 legt viel Gewicht auf Supply-Chain-Security. Genau dort werden einfache Matrizen besonders schnell problematisch.
Warum? Weil Lieferkettenrisiken selten unabhängig sind.
Ein Dienstleister kann mehrere kritische Prozesse betreffen. Eine Cloud-Plattform kann viele Applikationen gleichzeitig beeinflussen. Ein Softwarehersteller kann über Updates in viele Umgebungen hineinwirken. Ein Identitätsprovider kann zum Single Point of Failure werden.
Wer solche Abhängigkeiten in einer Matrix als isolierte Einzelrisiken bewertet, unterschätzt häufig das Gesamtrisiko.
CIOs sollten daher bei Third-Party- und Supply-Chain-Risiken besonders auf Korrelationen, Konzentrationsrisiken und Kaskadeneffekte achten.
Die bessere Managementfrage
Die klassische Frage lautet:
Ist das Risiko rot?
Die bessere NIS2-Frage lautet:
Wie groß ist unser möglicher Schaden, wie sicher sind wir uns, welche Maßnahme reduziert das Risiko nachweisbar — und können wir diese Entscheidung gegenüber Management, Prüfern und Aufsicht erklären?
Das ist weniger bequem als eine Ampel. Aber es ist näher an echter Governance.
Fazit
Risikomatrizen sind nützlich für Kommunikation. Aber sie sind gefährlich, wenn sie als objektive Wahrheit behandelt werden.
Für NIS2 sollten CIOs deshalb einen hybriden Ansatz wählen:
- Matrix für erste Orientierung,
- quantitative Bewertung für wesentliche Risiken,
- dokumentierte Annahmen für Nachvollziehbarkeit,
- Unsicherheit sichtbar machen,
- Maßnahmen nach Risikoreduktion priorisieren.
Cybersecurity-Governance braucht keine komplizierten Modelle um der Modelle willen. Aber sie braucht bessere Entscheidungsgrundlagen als Rot, Gelb und Grün.
NIS2 macht Cyberrisiko zur Führungsaufgabe. Und Führung braucht belastbare Risikodaten.