Die 5x5-Risikomatrix übersteht Audits – aber nicht kritischer Prüfung
ISO 27001 verlangt nie eine Heatmap. Was der Standard tatsächlich fordert (konsistente, valide und vergleichbare Ergebnisse), ist der Test, den die meisten Risikomatrizen nicht bestehen.

Fragt man ein Umsetzungsteam, warum seine ISO-27001-Risikobewertung ein fünfmal-fünf-Feld aus Grün-, Amber- und Rot-Tönen ist, lautet die Antwort in unserer Erfahrung meist eine Variante von „das erwartet der Auditor“. Beide Teile dieses Satzes verdienen mehr kritische Prüfung, als sie erhalten. Kein Wort in den Risikoklauseln des Standards verlangt eine Matrix, und die Matrix ist ein schlechtes Mittel, um zu erfüllen, was diese Klauseln tatsächlich fordern. Das Raster hält sich, weil es in einer Dokumentenprüfung lesbar ist – nicht weil es Risiken gut beschreibt. Risiken und Lesbarkeit als dieselbe Eigenschaft zu behandeln, ist, so würden wir argumentieren, der stille methodische Fehler in vielen zertifizierten ISMS.
Was Klausel 6.1.2 tatsächlich verlangt
ISO/IEC 27001:2022 (dritte Ausgabe, veröffentlicht am 25.10.2022; die Klimaschutzänderung Amd 1:2024 vom 23.02.2024 ändert Klausel 6.1.2 nicht) widmet eine Klausel, 6.1.2, dem Risikobewertungsprozess. Sie verlangt, dass die Organisation einen Prozess definiert und anwendet, der Risikokriterien – einschließlich Akzeptanzkriterien für Risiken – festlegt; dass wiederholte Bewertungen „konsistente, valide und vergleichbare Ergebnisse“ liefern; und dass Risiken identifiziert, durch Bewertung von Konsequenzen und Eintrittswahrscheinlichkeit analysiert und anhand der Kriterien bewertet werden (ISO/IEC 27001:2022, Klausel 6.1.2).
Achtung: Was Klausel 6.1.2 nicht spezifiziert. Keine Matrix. Keine Heatmap. Keine fünfstufige Skala, kein „Eintrittswahrscheinlichkeit mal Auswirkung“, kein Farbschema. Selbst der Begriff „Risikostufen“, den Teams am häufigsten als Freifahrtschein für ordinale Kategorien lesen, sagt nicht, wie diese Stufen auszudrücken sind. Der unterstützende Leitfaden ISO/IEC 27005:2022 (vierte Ausgabe, veröffentlicht am 25.10.2022) akzeptiert sowohl qualitative als auch quantitative Ansätze, und seine Skalen für Konsequenzen und Eintrittswahrscheinlichkeit sowie Matrixbeispiele finden sich in Anhang A – einem informativen Anhang mit Beispieltechniken. Es handelt sich um eine Empfehlung; sie schreibt nichts verbindlich vor.
Für die Ergebnisse der gewählten Methode verlangt der zertifizierbare Text also drei Eigenschaften: Konsistenz, Validität und Vergleichbarkeit. Die Norm definiert diese Begriffe nicht, daher folgt hier unsere Argumentation gegen ihre wörtliche Bedeutung: Die naheliegende nächste Frage ist, wie die Standardmethode in jedem dieser Punkte abschneidet – und die Antwort liegt seit fast zwei Jahrzehnten in der Fachliteratur vor.
Die Matrix im Vergleich zu den drei Worten der Norm
Die am häufigsten zitierte Untersuchung dieser Methode ist Tony Cox’ „What’s Wrong with Risk Matrices?“ (Risk Analysis, Bd. 28, Nr. 2, April 2008), und ihre Erkenntnisse passen unangenehm gut zu den drei Worten in Klausel 6.1.2.
Vergleichbarkeit. Cox zeigte, dass Risikomatrizen eine begrenzte Auflösung haben: Typischerweise können sie nur einen kleinen Teil zufällig ausgewählter Risikopaare korrekt und eindeutig vergleichen, und sie können quantitativ sehr unterschiedliche Risiken derselben Kategorie zuordnen. Zwei Risiken, die sich um eine Größenordnung in ihrem erwarteten Verlust unterscheiden, landen routinemäßig in derselben „hohen“ Zelle. Eine Methode, deren Ausgabe solche Unterschiede nicht erkennen lässt, erzeugt keine vergleichbaren Ergebnisse – sie erzeugt ein gemeinsames Label, das die eigentlich benötigte Vergleichbarkeit verschleiert.
Validität. Dieselbe Arbeit zeigte, dass Matrizen noch schlimmer sein können als nur undifferenziert: Sie können das qualitativ höhere Rating einem quantitativ kleineren Risiko zuweisen – und unter realistischen Bedingungen, etwa wenn Häufigkeit und Schwere negativ korrelieren, kann eine priorisierte Matrix schlechter abschneiden als eine zufällige Auswahl. Validität bedeutet, dass die Ausgaben der Methode das messen, was gemessen werden soll. Eine Methode, die die Rangfolge zweier Risiken umkehren kann, erfüllt das nicht.
Konsistenz. Ordinale Labels wirken objektiv, weil alle im Raum dieselben Begriffe verwenden. Die Realität zeigt jedoch, dass diese Begriffe nicht dieselben Zahlen repräsentieren. Als Forscher testeten, wie Leser die kalibrierte Unsicherheitssprache des IPCC interpretieren, variierten die zugewiesenen Wahrscheinlichkeiten stark und lagen häufig außerhalb der definierten Bereiche (Budescu, Broomell und Por, „Improving communication of uncertainty in the reports of the Intergovernmental Panel on Climate Change“, Psychological Science, Bd. 20, Nr. 3, S. 299–308, 2009). „Wahrscheinlich“ in Ihrer Skala funktioniert genauso: Zwei kompetente Bewerter, dasselbe Risiko, unterschiedliche Zellen – und der Prozess hat keine Möglichkeit, das zu bemerken, weil die Uneinigkeit hinter dem gemeinsamen Label verborgen bleibt.
Zusammengefasst ergibt das ein unangenehmes Paradox: Die Methode, die Teams wählen, weil sie audit-sicher erscheint, ist diejenige, die sich am schwersten gegen eine wörtliche Auslegung der Klausel verteidigen lässt, die sie eigentlich erfüllen soll. In unserer Erfahrung zieht sie selten eine Beanstandung nach sich – und genau das ist der Punkt: Die Matrix ist darauf optimiert, in einer Dokumentenprüfung wiedererkannt zu werden, nicht für die Entscheidungen, zu deren Unterstützung die Dokumentation eigentlich dient.
Warum sie trotzdem überlebt
Es wäre zu einfach, dies als Faulheit abzutun. Die Matrix überlebt, weil sie echte Arbeit leistet – nur nicht die Arbeit der Risikomessung. Sie ist günstig zu erstellen. Sie komprimiert Dissens, sodass ein Risiko-Workshop pünktlich endet: Zwei Personen, die eine Stunde darüber streiten würden, ob eine Eintrittswahrscheinlichkeit bei 5 % oder 25 % liegt, akzeptieren beide „mittel“. Sie liefert der Geschäftsführung ein einseitiges Bild. Und sie ist jedem Prüfer vertraut, der schon hundert davon gesehen hat – und genau das meinen Praktiker vermutlich, wenn sie sagen „das erwartet der Auditor“.
Das sind soziale Vorteile, und sie sind echt. Der Fehler besteht darin, sie als analytische Vorteile zu verbuchen. Die Kompression, die den Workshop früh beendet, ist dieselbe Kompression, die die Informationen löscht, die Klausel 6.1.2 zu bewahren verlangt. Wenn die Matrix die Analyse ist statt eine Zusammenfassung davon, wird das Risikoregister zu einem Protokoll der vermiedenen Diskussionen.
Speziell zur Auditangst: Unserer Lesart nach prüft die Zertifizierungsaudit die Konformität mit der Norm und mit dem von Ihnen selbst dokumentierten Prozess. Nichts im zertifizierbaren Text nennt eine bestimmte Technik – wenn also irgendwo eine Matrix erwartet wird, kommt diese Erwartung aus Konvention oder aus Ihrer eigenen dokumentierten Methode, nicht aus ISO/IEC 27001 selbst. Was ein Auditor zu Recht hinterfragen kann, ist, ob Ihre Kriterien definiert sind, ob Ihre Methode wie dokumentiert angewendet wird und ob wiederholte Durchläufe vergleichbar sind. Diese Fragen sind methodenagnostisch, und eine bessere Methode beantwortet sie überzeugender – nicht weniger.
Die eigentliche Entscheidung
Ehrlich betrachtet, wählt ein Team, das unter ISO 27001 eine Risikomethodik auswählt, zwischen drei Positionen:
-
Die Matrix beibehalten und aufrüsten: Jedes Label an eine explizite quantitative Spanne koppeln, Konsequenzen in Geld oder Ausfallzeit statt in Adjektiven definieren und die dokumentierten Pathologien als Preis der Lesbarkeit akzeptieren. Das ist vertretbar – aber nur, wenn die Kopplung echt ist. Eine Matrix, deren „wahrscheinlich“ an eine angegebene numerische Spanne gebunden ist, ist ein anderes Instrument als eine, bei der „wahrscheinlich“ bedeutet, was die Gruppe heute gerade fühlt.
-
Vollständige Quantifizierung im Stil von FAIR: Die Factor Analysis of Information Risk des Open Group als Open-FAIR-Standard – mit Verteilungen, Simulationen und Loss Exceedance Curves. Für viele kleine und mittelgroße Organisationen ist das, unserer Erfahrung nach, mehr Aufwand, als ihre Entscheidungen erfordern, und die benötigten Kalibrierungs- und Modellierungskompetenzen sind selten inhouse vorhanden. Eine schlechte Umsetzung reproduziert das Problem der Scheingenauigkeit nur mit mehr Nachkommastellen.
-
Die unspektakuläre Mitte: Akzeptanzkriterien für Risiken in operativen Begriffen definieren (Geld, Ausfallzeit, exponierte Datensätze), Eintrittswahrscheinlichkeit und Auswirkung als kalibrierte Spannen statt als ordinale Punkte schätzen und das Farbraster – falls überhaupt beibehalten – strikt als Präsentationsschicht über einer Analyse nutzen, die woanders stattfand. Das erfüllt die drei Worte aus 6.1.2 wörtlicher als die Standardmethode, kostet weit weniger als eine vollständige Quantifizierung und ändert nichts an dem, was der Auditor sieht – außer dass nun die Zahlen hinter dem Bild existieren.
Ein ehrlicher Vorbehalt gehört zu jedem Wechsel: Klausel 6.1.2 verlangt, dass wiederholte Bewertungen vergleichbar sind, und ein Methodenwechsel in der Mitte des Zyklus kostet Sie die Vergleichbarkeit über die Jahre hinweg. Wechseln Sie an einer natürlichen Grenze und dokumentieren Sie den Grund. Das ist ein Übergangsaufwand, den es zu managen gilt – kein Grund, bei einer Methode zu bleiben, an die Sie nicht mehr glauben.
Die Regel, die es zu beachten gilt
Wenn das stärkste Argument für Ihre Risikomethodik ist, dass sie wie alle anderen aussieht, haben Sie etwas über Audits gelernt – aber nichts über Ihre Risiken. ISO 27001 ist permissiver und anspruchsvoller, als die Vorlage es ihr unterstellt: Ihre Risikoklausel verlangt nie das Raster, aber sie verlangt Konsistenz, Validität und Vergleichbarkeit – genau die Eigenschaften, von denen dokumentiert ist, dass das Raster sie nicht liefert. Teams, die die Klausel lesen statt das Artefakt zu kopieren, erhalten eine Methodik, die sie in beiden Räumen verteidigen können: im Audit und in der Incident-Review.
Herauszufinden, was eine Klausel tatsächlich verlangt – statt das zu übernehmen, was das Vorlagen-Ökosystem dafür beschlossen hat –, ist ein Großteil der täglichen Arbeit beim Aufbau eines ISMS. Es ist die Art von Frage, für die ISMS Copilot entwickelt wurde: um mit dem Originaltext der Norm zu antworten. Die Matrix ist optional. Die drei Worte sind es nicht.
Verwandte Beiträge

Die Verzögerung bei Hochrisiko-KI-Systemen im AI Act ist keine Atempause
Die EU hat die Fristen für Hochrisiko-KI-Systeme auf Dezember 2027 und August 2028 verschoben. Der Grund für diese Verschiebung sollte Ihre Interpretation ändern: Es handelt sich um eine Warnung zu Ihrem Geltungsbereich, nicht um zusätzlichen Spielraum für Ihre Roadmap.

KI für die DSGVO: Automatisierung von Datenübermittlungen in Drittländer
Automatisieren Sie die Kartierung, Überwachung und Dokumentation von EU-Datenübermittlungen in Drittländer mit KI – rechtliche Entscheidungen bleiben bei den Teams.

Best Practices für die Vorbereitung auf Audits über mehrere Frameworks hinweg
Zentralisieren Sie Kontrollen, ordnen Sie überlappende Anforderungen zu und automatisieren Sie Nachweise, um Audit-Zeit und -Kosten über mehrere Compliance-Frameworks hinweg zu reduzieren.
