1. Startseite
  2. Wissen kompakt
  3. Risiko

Risiko

Inhaltsverzeichnis: DefinitionNegative KonnotationKategorien –  Fragen aus der PraxisDownloadHinweise

Wissen kompakt: Ein Risiko ist ein bewertetes zukünftiges Ereignis mit negativer (im engeren Sinne) oder positiver (im weiteren Sinne) Abweichung vom Sollzustand.

Risiko – die Abweichung vom Sollzustand durch bewertete zukünftige Ereignisse

Risiken sind ein integraler Bestandteil unternehmerischen Handelns, da die Zukunft und die Auswirkungen von Handlungen nicht sicher vorhersehbar sind. Doch was ist ein Risiko im engeren Sinne? Um diese Frage zu beantworten, lohnt sich eine Abgrenzung der Begriffe Gefahr, Risiko und Wagnis:

Eine Gefahr besteht, wenn eine Sachlage eine schädliche Wirkung entfaltet. Voraussetzung ist die Exposition einer Person, einer Gruppe von Personen oder von Gegenständen. Ein Feuer in einem Bürogebäude in Stuttgart stellt für ein Entwicklungsteam in Berlin keine Gefahr dar. Würde sich das Team aber im entsprechenden Gebäude in Stuttgart aufhalten, wäre es gefährdet.

Risiko - ein bewertetes zukünftiges Ereignis mit negativer oder positiver Abweichung vom Sollzustand

Ein Risiko ist eine nach Eintrittswahrscheinlichkeit und Schadensausmaß bewertete Gefahr. Beispiel: Steht in dem Stuttgarter Bürogebäude der Server, auf dem die Ergebnisse des Berliner Entwicklungsteams gehostet werden, besteht das Risiko, dass sich die gesamte Arbeit bei einem Feuer in Rauch auflöst. In Abhängigkeit von der investierten Arbeitsleistung oder bestehender Vereinbarungen mit Kunden steigt das Schadensausmaß.

Unter einem Wagnis wird das bewusste Eingehen von Risiken verstanden. Wurde auf eine separate Ablage bzw. ein Backup der Ergebnisse des Entwicklungsteams an einem anderen Standort verzichtet, dann wäre das ein Wagnis. Hier könnte auch von einer Duldung gesprochen werden.

Neben dieser Betrachtungsweise gibt es auch andere Sicht auf Risiken. Der PMBOK Guide definiert ein Risiko im weiteren Sinne als ein ungewisses Ereignis oder eine Bedingung, die beim Eintreten entweder eine positive oder negative Auswirkung auf die Projektziele haben kann. Ein Risiko muss also nicht nur negativ sein, sondern kann auch eine positive Abweichung vom angestrebten Sollzustand darstellen. [1]

Warum sind Risiken negativ konnotiert?

Das Konzept des Risikos wird häufig negativ konnotiert, obwohl es laut Definition auch Chancen beinhaltet. Dies hat mehrere psychologische, sprachliche und praktische Ursachen.

Aus psychologischer Sicht überwiegt die Verlustaversion oft die Wahrnehmung von Gewinnchancen. Die Prospect Theory von Kahneman & Tversky [2] zeigt, dass Menschen Verluste stärker gewichten als gleichwertige Gewinne. Ein Risiko mit einer potenziellen negativen Auswirkung erscheint daher gravierender als eines mit einer potenziellen Chance. Evolutionär betrachtet haben Menschen zudem gelernt, Gefahren zu meiden, um ihr Überleben zu sichern. Risiken werden deshalb eher als Bedrohung denn als Gelegenheit wahrgenommen.

Auch sprachliche und kulturelle Prägungen tragen zur negativen Wahrnehmung des Begriffs bei. In der Alltagssprache wird Risiko meist mit Gefahren in Verbindung gebracht, etwa in Begriffen wie Krankheits-, Finanz- oder Unfallrisiko. Positive Risiken, also Chancen, werden hingegen selten explizit als Risiko bezeichnet. Medien verstärken diese Wahrnehmung, da Berichterstattung oft auf Bedrohungen, Katastrophen und Skandale fokussiert ist. Zudem wird Risiko in vielen Branchen traditionell als etwas Negatives betrachtet. In Bereichen wie Versicherungen, Bauwesen oder Gesundheitswesen steht die Schadensvermeidung im Mittelpunkt, weshalb Risiken dort fast ausschließlich als Bedrohung betrachtet werden.

Praktische Herausforderungen verstärken diese Sichtweise zusätzlich. Während Bedrohungen sich meist konkret anhand von Wahrscheinlichkeiten und potenziellem Schadensausmaß berechnen lassen, sind Chancen oft schwerer messbar. Unternehmen konzentrieren sich in ihrem Risikomanagement daher vor allem auf die Schadensbegrenzung, während das gezielte Management von Chancen eher in separaten Disziplinen wie dem Innovations- oder Strategiemanagement verankert ist. Auch regulatorische Vorgaben tragen dazu bei, dass Organisationen Risiken minimieren müssen, während es selten Vorschriften gibt, Chancen aktiv zu maximieren.

All diese Faktoren führen dazu, dass Risiko trotz seiner neutralen Definition meist als Bedrohung verstanden wird. Um diesem einseitigen Verständnis entgegenzuwirken, etablieren sich zunehmend Begriffe wie Opportunity Management oder Chancenmanagement, die gezielt die positiven Seiten von Unsicherheiten nutzen. Eine stärkere Integration von Chancen in das klassische Risikomanagement könnte Unternehmen helfen, nicht nur Risiken zu minimieren, sondern auch neue Möglichkeiten strategisch zu erschließen.

Kategorien von Risiken

Risiken lassen sich in verschiedene Kategorien einteilen, je nachdem, welchen Bereich sie betreffen oder wie sie sich auswirken. Die folgende Einteilung zeigt einige wichtige Risikoarten:

1. Strategische Risiken

Strategische Risiken betreffen die langfristige Ausrichtung einer Organisation. Sie entstehen durch falsche Entscheidungen oder unerwartete Entwicklungen im Markt.

Beispiele:

  • Veränderungen im Wettbewerbsumfeld (z. B. neue Marktteilnehmer)
  • Technologische Disruptionen (z. B. der Niedergang von Nokia durch Smartphones)
  • Reputationsrisiken (z. B. Imageverlust durch Skandale)

2. Operative Risiken

Operative Risiken entstehen durch interne Prozesse, Systeme oder menschliche Fehler.

Beispiele:

  • IT-Ausfälle und Cyberangriffe
  • Produktionsfehler oder Lieferkettenprobleme
  • Mitarbeiterfluktuation oder Fehlentscheidungen im Tagesgeschäft

3. Finanzielle Risiken

Diese Risiken betreffen die finanzielle Stabilität von Unternehmen oder Individuen.

Beispiele:

  • Währungsrisiken (z. B. Wechselkursschwankungen bei internationalen Geschäften)
  • Liquiditätsrisiken (z. B. Zahlungsunfähigkeit aufgrund unerwarteter Ausgaben)
  • Kreditrisiken (z. B. Zahlungsausfälle von Kunden oder Partnern)

    4. Technische Risiken

    Diese Risiken entstehen durch den Einsatz von Technologien, Maschinen oder Software.

    Beispiele:

    • Fehlfunktionen von Maschinen oder Softwarefehler
    • Sicherheitslücken in IT-Systemen
    • Fehlgeschlagene Innovationen oder neue Technologien ohne Marktdurchdringung

    5. Rechtliche und regulatorische Risiken

    Diese entstehen durch sich ändernde Gesetze, Vorschriften oder Verträge.

    Beispiele:

    • Neue Datenschutzgesetze (z. B. DSGVO)
    • Strengere Umweltauflagen oder Steuerregelungen
    • Vertragsrisiken durch unklare oder nachteilige Vereinbarungen

      6. Projekt- und Entwicklungsrisiken

      Diese betreffen spezifische Projekte und deren Umsetzung.

      Beispiele:

      • Verzögerungen durch Planungsfehler oder Ressourcenmangel
      • Kostenüberschreitungen durch falsche Kalkulationen
      • Nichterfüllung von Qualitätsanforderungen

      7. Umwelt- und Naturkatastrophenrisiken

      Diese Risiken sind oft unkontrollierbar, können aber enorme Auswirkungen haben.

      Beispiele:

      • Erdbeben, Überschwemmungen oder Stürme
      • Klimawandel und dessen Folgen
      • Umweltverschmutzung und regulatorische Änderungen

        8. Politische und gesellschaftliche Risiken

        Diese Risiken ergeben sich aus politischen Entscheidungen oder gesellschaftlichen Entwicklungen.

        Beispiele:

        • Handelskriege oder Wirtschaftssanktionen
        • Soziale Unruhen oder Proteste
        • Regierungswechsel mit neuen wirtschaftlichen oder regulatorischen Rahmenbedingungen

        Neben der inhaltlichen Einteilung unterscheidet man Risiken auch danach, ob und wie man sie steuern kann:

        Risikotyp Beschreibung Beispiel
        Vermeidbare Risiken Durch Maßnahmen eliminier- oder stark reduzierbar IT-Sicherheitsrisiken durch regelmäßige Updates
        Kalkulierbare Risiken Kann man berechnen und durch Absicherungen (z. B. Versicherungen) steuern Währungsrisiken in Exportgeschäften
        Unkalkulierbare Risiken Unvorhersehbar und schwer steuerbar Naturkatastrophen oder politische Krisen
        Chancen Potenziell positive Auswirkungen, wenn bewusst eingegangen Investitionen in neue Technologien

        Ein Unternehmen oder eine Organisation kann nicht alle Risiken vermeiden, aber sie kann sie erkennen, bewerten und bewusst steuern. Je genauer Risiken klassifiziert sind, desto gezielter lassen sich Präventionsmaßnahmen, Notfallpläne oder Versicherungsstrategien entwickeln.

        Fragen aus der Praxis

        Hier finden Sie einige Fragen und Antworten aus der Praxis:

        Warum sind Risiken wichtig?

        Risiken können negative Folgen haben, aber sie sind auch oft notwendig für Fortschritt und Innovation. Ohne Risiken gäbe es keine wirtschaftlichen Investitionen, keine technischen Innovationen und keinen gesellschaftlichen Wandel. Daher ist der bewusste Umgang mit Risiken entscheidend – sowohl auf individueller als auch auf unternehmerischer und gesellschaftlicher Ebene.

        Die Fähigkeit, Risiken zu identifizieren, zu analysieren und zu steuern, ist ein essenzieller Bestandteil erfolgreicher Entscheidungen. Genau hier setzt das sogenannte Risikomanagement an.

        Was sind Ziele und Aufgaben im Risikomanagement?

        Grundsätzlich kann das Risikomanagement zwei Ziele verfolgen:

        1. die Reduzierung der Risikoeintrittswahrscheinlichkeit und
        2. die Reduzierung des Schadensausmaßes.

        In der Praxis gibt es immer wieder Diskussionen über die Bestimmung der Eintrittswahrscheinlichkeit, da diese häufig als Extrapolation aus vergangenen Erfahrungen erfolgt. Dies gilt als schwierig, denn Projekte sind an sich einmalig und viele Erfahrungen lassen sich nicht sinnvoll auf andere Situationen und Vorhaben übertragen. Die Gefahr einer illusorischen, psychologischen Sicherheit droht.

        Typischerweise beinhaltet Risikomanagement folgende Aufgaben:

        • Identifikation und Dokumentation von Risiken mit Ursache und Wirkung.
        • Bestimmung von Eintrittswahrscheinlichkeiten, Schadensausmaß, sowie potenzielle Verzögerungen und Kosten.
        • Übersichtliche Darstellung bspw. mit einer Risikomatrix, die eine Menge von Risiken meist in Abhängigkeit ihrer Eintrittswahrscheinlichkeiten und potenziellen Auswirkungen visualisiert.
        • Definition und Dokumentation von Maßnahmen zur Vermeidung, Verminderung, Überwälzung oder Duldung.
        • Kontinuierliche Überwachung der Risiken und Maßnahmen sowie die Definition von Verantwortlichkeiten.
        • Gemeinsame Verwaltung sämtlicher Informationen in einem gemeinsamen System.
        • Berücksichtigung der Risiken in anderen Unternehmensdisziplinen wie u.a. Projektmanagement, Anforderungsmanagement oder Änderungsmanagement.
        • Regelmäßige Kommunikation über Risiken, bspw. im Projekt mit Projektbeteiligten oder im Lenkungsausschuss.

        Unternehmen sollten bedenken, dass Risikomanagement ein Prozess bzw. eine kontinuierliche Aufgabe ist.

        Warum nehmen Menschen Risiken unterschiedlich wahr und was bedeutet dies für Unternehmen?

        Risiko ist nicht nur eine objektive Größe, sondern wird auch subjektiv wahrgenommen. Menschen bewerten Risiken unterschiedlich – abhängig von individuellen Erfahrungen, kognitiven Verzerrungen und kulturellen Einflüssen. Unternehmen müssen diese psychologischen Faktoren verstehen, um bessere Entscheidungen zu treffen und eine nachhaltige Risikokultur zu entwickeln.

        Menschen nutzen mentale Abkürzungen (Heuristiken), um Risiken schnell einzuschätzen. Diese führen jedoch oft zu systematischen Fehlurteilen. Wichtige kognitive Verzerrungen im Risikomanagement sind:

        • Menschen überschätzen Risiken, die leicht aus der Erinnerung abrufbar sind (z. B. Flugzeugabstürze, Terroranschläge), während sie häufigere, aber weniger medienpräsente Risiken unterschätzen (z. B. Autounfälle). Dies wird als Verfügbarkeitsheuristik bezeichnet.
        •  Menschen neigen dazu, ihr eigenes Risiko als geringer einzuschätzen als das Risiko anderer. „Mir wird schon nichts passieren!“ ist ein schönes Beispiel für den Optimismus-Bias.
        • Menschen suchen gezielt nach Informationen, die ihre bestehende Meinung über ein Risiko stützen, und ignorieren gegenteilige Hinweise. (Bestätigungsfehler  bzw. Confirmation Bias)
        • Nach einem Ereignis erscheint es im Nachhinein als vorhersehbar, auch wenn es das vorher nicht war . „Das war ja klar!“ ist ein passender Ausspruch für den Rückschaufehler bzw. Hindsight Bias.

        Neben kognitiven Verzerrungen spielen auch Emotionen eine große Rolle in der Risikowahrnehmung:

        Wer einmal eine negative Erfahrung mit einem Risiko gemacht hat (z. B. Finanzkrise, Datenleck), neigt dazu, zukünftige Risiken als bedrohlicher wahrzunehmen. Wer täglich mit einem Risiko lebt, nimmt es oft nicht mehr als bedrohlich wahr (z. B. Bergsteiger, Feuerwehrleute). Und wenn ein Risiko mit positiven Emotionen verbunden ist (z. B. Abenteuer, Belohnung), wird es eher eingegangen als bei negativen Assoziationen (z. B. Bedrohung, Verlust).

        Und zu guter Letzt unterscheidet sich die Wahrnehmung von Risiken auch zwischen Gesellschaften, Branchen und sozialen Gruppen:

        • In kollektivistischen Kulturen (z. B. Japan) neigen Menschen dazu, Risiken stärker zu vermeiden als in individualistischen Kulturen (z. B. USA).
        • Ein Investmentbanker nimmt Risiken anders wahr als ein Sicherheitsingenieur in der Luftfahrt.
        • Innerhalb eines Unternehmens kann die Risikowahrnehmung je nach Abteilung variieren (z. B. Vertrieb vs. Compliance-Abteilung).

        Was bedeutet das für Unternehmen? Ihre Risikokommunikation sollte Verzerrungen berücksichtigen und auf Fakten basieren. Entscheidungsprozesse sollten so gestaltet werden, dass Heuristiken und Verzerrungen minimiert werden. Und unterschiedliche Risikowahrnehmungen in Teams müssen durch strukturierte Entscheidungsprozesse ausgeglichen werden.

        Was sind bekannte und unbekannte Unbekannte?

        Im Kontext von Risikomanagement wird auch immer wieder zwischen sogenannten „bekannten Unbekannten“ („known unknowns“) und „unbekannten Unbekannten“ („unknown unknowns“) unterschieden. (Im PMBOK Guide wird alternativ auch von „unerwarteten Unbekannten“ gesprochen). 

        Bekannte Unbekannte sind Risiken, die bereits als potenzielle Bedrohungen erkannt wurden, deren genaue Auswirkungen oder Eintrittswahrscheinlichkeit jedoch unsicher sind. Beispiel: Ein Unternehmen weiß, dass ein Lieferant ausfallen könnte, kennt aber nicht das genaue Wann oder Wie.

        Unbekannte Unbekannte sind völlig unerwartete Ereignisse, die außerhalb der bisherigen Erfahrungswerte liegen und nicht vorhergesehen werden können. Beispiel: Die COVID-19-Pandemie oder plötzliche technologische Durchbrüche.

        Warum ist diese Unterscheidung wichtig? Bekannte Unbekannte können mit Präventionsmaßnahmen (z. B. Notfallpläne, Risikobewertung) gemanagt werden. Unbekannte Unbekannte erfordern flexible Strategien, Innovationsfähigkeit und eine widerstandsfähige Organisation, um unerwartete Ereignisse zu bewältigen.

        Unternehmen sollten daher sowohl auf planbare Risiken vorbereitet sein als auch Resilienz entwickeln, um auf das Unerwartete reagieren zu können.

        Welche Bedeutung hat die Risikokultur für den Erfolg von Unternehmen?

        Die Risikokultur beschreibt die Art und Weise, wie eine Organisation mit Risiken umgeht. Sie beeinflusst nicht nur die Entscheidungsfindung, sondern auch die Innovationskraft und Widerstandsfähigkeit eines Unternehmens.

        Eine gute Risikokultur zeichnet sich durch folgende Merkmale aus:

        • Risiken werden frühzeitig erkannt und offen kommuniziert, anstatt sie zu verharmlosen oder zu verschweigen.
        • Es gibt definierte Rollen für das Risikomanagement und jeder Mitarbeiter versteht seine Verantwortung.
        • Unternehmen mit einer starken Risikokultur analysieren Fehler systematisch, um sich kontinuierlich zu verbessern. Gleichzeitig lassen sich so Innovationen fördern, ohne fahrlässige Entscheidungen zu begünstigen.

        Unternehmen wie Google oder Tesla setzen bewusst auf Experimente und kalkulierte Risiken, um Innovationen voranzutreiben, während sie gleichzeitig aus Fehlern lernen. Unternehmen mit riskanten Finanzentscheidungen ohne ausreichendes Risikomanagement (z. B. Banken in der Finanzkrise 2008) haben gezeigt, dass fehlende Risikokontrolle massive wirtschaftliche Folgen haben kann.

        Risikomanagement Guide Download

        Wollen Sie den Risikomanagement Guide kostenlos downloaden?

        Alles Wichtige über Risikomanagement auf einen Blick.

        • Definition und wichtige Begriffe
        • Normen, Gesetze und Regeln
        • Methoden und Prozesse
        • Software

        Wissen auf 8 Seiten zum Mitnehmen.

        Zum Download des Guides

        Impuls zum Diskutieren:

        Wie verhindern Sie, dass Risikobewertungen „in der Schublade verschwinden“ und nur im Notfall beachtet werden?

        Hinweise:

        Wenn Ihnen der Beitrag gefällt, teilen Sie ihn gerne in Ihrem Netzwerk. Und falls Sie sich für Tipps aus der Praxis interessieren, dann testen Sie unseren beliebten Newsletter mit neuen Beiträgen, Downloads, Empfehlungen und aktuellem Wissen. Vielleicht wird er auch Ihr Lieblings-Newsletter.

        [1] In manchen Publikationen wie bspw. Organisationshandbuch des Bundesministerium des Innern und für Heimat spricht in diesem Zusammenhang auch von zwei unterschiedlichen Risikokategorien.
        [2] Daniel Kahnemann und Amos Tversky: Prospect Theory: An Analysis of Decision under Risk

        Hier finden Sie ein interessantes Video über Nachhaltiges Risikomanagement im Projektmanagement – der gesamte Prozess Schritt für Schritt.

        Und hier finden Sie ergänzende Informationen aus unserem t2informatik Blog:

        t2informatik Blog: Agiles Risikomanagement - baucht man das?

        Agiles Risikomanagement – baucht man das?

        t2informatik Blog: Achtsamkeit als Chance für Innovation

        Achtsamkeit als Chance für Innovation

        t2informatik Blog: Wie kann ich Ungewissheit vermeiden?

        Wie kann ich Ungewissheit vermeiden?

        t2informatik entwickelt und modernisiert Software für Unternehmen. Ein Klick hier und Sie erfahren mehr.