Risikomanagement im Mittelstand: Warum Excel-Listen nicht mehr reichen

Am 17. September 2025 kippt in Berlin-Treptow-Köpenick die Stromversorgung. Ein Brandanschlag auf mehrere Strommasten legt das Netz lahm. 50.000 Haushalte sitzen im Dunkeln, dazu Gewerbebetriebe, Arztpraxen, Produktionsstätten. Die Wiederherstellung dauert Tage. Wer in diesen Tagen mit Geschäftsführern aus dem Berliner Südosten spricht, hört immer wieder denselben Satz. Das hatten wir nicht auf dem Schirm.

Genau darin liegt das Problem. Nicht im Stromausfall selbst, sondern in der Tatsache, dass er in keiner Risikobetrachtung vorkam. Jedenfalls nicht in einer, die über eine Excel-Tabelle mit roten, gelben und grünen Zellen hinausging.

Wenn die Tabelle schweigt

Die meisten mittelständischen Unternehmen betreiben Risikomanagement. Sie tun es allerdings auf eine Weise, die wenig mit systematischer Risikosteuerung zu tun hat. Es gibt eine Excel-Datei, gepflegt von der IT-Leitung oder dem Qualitätsmanagement, darin vielleicht 30 bis 50 Zeilen. Risikobeschreibung, Eintrittswahrscheinlichkeit, Schadensauswirkung, Farbcode. Erstellt wurde die Liste vor zwei Jahren, als ein Kunde danach fragte oder ein Auditor sie sehen wollte. Aktualisiert wurde sie seitdem einmal, vielleicht zweimal.

Solche Listen haben einen Nutzen. Sie dokumentieren, dass jemand über Risiken nachgedacht hat. Sie haben aber auch eine erhebliche Schwäche. Sie bilden Abhängigkeiten nicht ab. Der Berliner Blackout war kein isoliertes Stromproblem. Er war ein Kaskadenrisiko. Strom fällt aus, Kühlketten brechen, IT-Systeme fahren herunter, Telefonanlage geht offline, Mitarbeitende erreichen niemanden, Kunden bekommen keine Lieferung. In einer flachen Tabelle ist jedes Risiko für sich. In der Realität hängen sie zusammen.

Warum der Mittelstand besonders anfällig ist

Großkonzerne unterhalten eigene Risikomanagement-Abteilungen. Sie arbeiten mit spezialisierten Tools, pflegen Risikokataloge mit hunderten Einträgen, simulieren Szenarien. Der Mittelstand hat diese Ressourcen nicht. Gleichwohl ist er denselben Bedrohungen ausgesetzt. Lieferkettenausfälle, Ransomware, regulatorische Änderungen, Fachkräftemangel, und eben auch physische Ereignisse wie einen regionalen Stromausfall.

Die Lücke zwischen Bedrohungslage und Risikomanagement Mittelstand Reife ist deshalb besonders groß. In der Beratungspraxis sehen wir drei Muster, die sich wiederholen.

Muster 1: Risikomanagement lebt in einer Datei, nicht in der Organisation

Die Risikobewertung existiert als Datei auf einem Netzlaufwerk. Die Geschäftsführung hat sie unterschrieben, aber nicht gelesen. Die Fachabteilungen wissen nicht, dass es sie gibt. Wenn ein neuer Prozess eingeführt wird, ein System migriert, ein Standort eröffnet, aktualisiert niemand die Risikobewertung. Das Ergebnis ist, dass das Dokument eine Welt beschreibt, die es nicht mehr gibt.

Muster 2: Fehlende Verbindung zwischen Risiko und Maßnahme

Eine Risikobewertung, die nicht in konkrete Maßnahmen mündet, ist Verwaltungsaufwand ohne Schutzwirkung. In vielen Unternehmen steht in der Spalte „Maßnahme" etwas wie „Sensibilisierung der Mitarbeitenden" oder „regelmäßige Prüfung". Wer prüft? Wie oft? Was passiert, wenn die Prüfung ein Problem aufdeckt? Die ISO/IEC 27005:2022 verlangt genau diese Verbindung. Risiken identifizieren, bewerten, behandeln und dann nachverfolgen, ob die Behandlung wirkt. Der letzte Schritt fehlt fast immer.

Muster 3: Keine Eskalationswege definiert

Was passiert, wenn ein Risiko eintritt? Wer entscheidet? Wer informiert wen? Beim Berliner Blackout standen viele Unternehmen vor genau dieser Frage. Die IT konnte nicht eskalieren, weil die Telefonanlage tot war. Die Geschäftsführung war nicht erreichbar. Die Mitarbeitenden improvisierten, manche gut, manche weniger. Ein Risikomanagement, das Eskalationswege nicht definiert, ist im Ernstfall wertlos, weil genau dann die Strukturen gebraucht werden, die es hätte schaffen sollen.

Was NIS-2 und ISO 27001 verlangen

Die regulatorischen Anforderungen an Risikomanagement steigen spürbar. Das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) wird voraussichtlich Ende 2025 in Kraft treten und verlangt ein geeignetes, verhältnismäßiges und wirksames Risikomanagement für die Sicherheit der Netz- und Informationssysteme. Rund 30.000 Unternehmen in Deutschland werden davon betroffen sein (BSI-Schätzung 2024).

Die ISO 27001:2022 formuliert es in Abschnitt 6.1 ähnlich. Die Organisation muss Risiken und Chancen bestimmen, die die beabsichtigten Ergebnisse des ISMS beeinflussen können. Dazu gehört eine dokumentierte Risikobeurteilung mit Kriterien, Methodik und Ergebnissen. Eine Excel-Tabelle kann das leisten, wenn sie methodisch sauber geführt wird. In der Praxis tut sie es freilich selten.

Die BSI 200-3 geht noch einen Schritt weiter und fordert die Berücksichtigung elementarer Gefährdungen aus dem IT-Grundschutz-Kompendium. Wer Risikomanagement nach BSI-Standard betreibt, muss systematisch prüfen, welche Gefährdungen auf welche Zielobjekte wirken. Das ist mit einer flachen Tabelle schlicht nicht abbildbar, sobald die IT-Landschaft mehr als eine Handvoll Systeme umfasst.

Von der Tabelle zum System: Was strukturiertes Risikomanagement ausmacht

Der Sprung von der Excel-Liste zum strukturierten Risikomanagement ist indes weniger eine Frage der Software als eine Frage der Methodik. Vier Elemente machen den Unterschied.

1. Risikoidentifikation als kontinuierlicher Prozess

Risiken verändern sich. Neue Bedrohungen entstehen, alte verlieren an Relevanz, Geschäftsprozesse wandeln sich. Ein Risikomanagement, das einmal im Jahr aktualisiert wird, ist neun Monate lang veraltet. Strukturiertes Risikomanagement integriert die Risikoidentifikation in bestehende Prozesse. Change Management, Projektfreigaben, Lieferantenbewertungen. Jede wesentliche Veränderung im Unternehmen löst eine Risiko-Prüfung aus.

2. Abhängigkeiten abbilden

Der Berliner Blackout hat gezeigt, was passiert, wenn Risiken isoliert betrachtet werden. Strukturiertes Risikomanagement bildet Abhängigkeiten ab. Welche Geschäftsprozesse hängen an welchen IT-Systemen? Welche IT-Systeme hängen an welcher Infrastruktur? Was passiert, wenn ein Glied in der Kette ausfällt? Diese Analyse führt oft zu überraschenden Ergebnissen. Viele Unternehmen stellen erst bei der systematischen Erfassung fest, dass ein einzelner Switch, eine einzige Internetleitung oder ein bestimmter Cloud-Dienst ein Klumpenrisiko darstellt.

3. Risikobehandlung mit klaren Verantwortlichkeiten

Jedes identifizierte Risiko braucht einen Risikoeigner. Nicht die IT-Abteilung als abstrakte Einheit, sondern eine konkrete Person, die für die Umsetzung der vereinbarten Maßnahme verantwortlich ist. Die ISO 27005 unterscheidet vier Behandlungsoptionen. Vermeiden, vermindern, übertragen, akzeptieren. In der Praxis wird viel zu oft „akzeptieren" gewählt, nicht weil das Risiko tragbar wäre, sondern weil niemand die Verantwortung für eine Maßnahme übernehmen will. Das ist kein Risikomanagement, das ist organisiertes Wegschauen.

4. Reporting, das Entscheidungen ermöglicht

Die Geschäftsführung braucht keine 50-seitige Risikotabelle. Sie braucht eine Handvoll Kennzahlen. Wie viele kritische Risiken gibt es? Wie viele davon sind behandelt? Wo stagniert die Umsetzung? Welche neuen Risiken sind hinzugekommen? Ein gutes Risikoreporting ist eine Seite lang, wird quartalsweise vorgelegt und ermöglicht der Leitung, gezielte Fragen zu stellen. NIS-2 verlangt, dass die Geschäftsleitung die Maßnahmen zum Risikomanagement billigt und deren Umsetzung überwacht. Ohne lesbares Reporting ist das nicht möglich.

Der Berliner Blackout als Stresstest

Der Stromausfall in Treptow-Köpenick war kein Cyberangriff. Keine Ransomware, kein APT, keine kompromittierte Lieferkette. Trotzdem hat er Unternehmen lahmgelegt. Und er hat eine Frage aufgeworfen, die sich jede Geschäftsführung stellen sollte. Hätten wir gewusst, was zu tun ist?

Risikomanagement ist keine Bürokratie. Es ist die Antwort auf genau diese Frage. Nicht weil ein Auditor danach fragt, sondern weil das Unternehmen handlungsfähig bleiben muss, wenn etwas schiefgeht. Die Unternehmen, die in Berlin nach wenigen Stunden wieder arbeiteten, hatten eines gemeinsam. Sie hatten vorher überlegt, was passiert, wenn der Strom ausfällt. Sie hatten USV-Anlagen, Notfallnummern, Kommunikationsketten, offline-fähige Prozesse. Nicht weil sie den Brandanschlag vorhergesehen hatten, sondern weil sie das Szenario „Stromausfall" als Risiko behandelt und Maßnahmen abgeleitet hatten.

Wo anfangen?

Der Einstieg in strukturiertes Risikomanagement muss kein Mammutprojekt sein. Drei Schritte reichen, um aus einer statischen Liste ein lebendiges System zu machen.

1. Die bestehende Risikoliste mit den Fachabteilungen abgleichen. Nicht im stillen Kämmerlein, sondern im Gespräch. Welche Risiken fehlen? Welche sind veraltet? Welche Abhängigkeiten sind nicht abgebildet? Allein dieser Schritt deckt erfahrungsgemäß 30 bis 40 Prozent der blinden Flecken auf.
2. Für jedes kritische Risiko einen Eigner benennen und eine konkrete Maßnahme vereinbaren. Keine allgemeinen Absichtserklärungen, sondern etwas Messbares. USV für den Serverraum bis Q1 beschaffen, Backup-Test bis Ende des Monats durchführen, Notfallkontaktliste auf Papier vorhalten.
3. Einen Rhythmus festlegen. Quartalsweise Risiko-Review mit der Geschäftsführung, monatliche Nachverfolgung der Maßnahmen. Das klingt aufwendig, dauert in der Praxis zwei Stunden pro Quartal. Die ISO 27001 spricht in Abschnitt 9.3 von einem Management-Review, das genau diese Funktion hat.

Wer diesen Rhythmus einhält, hat nach einem Jahr ein Risikomanagement, das den Namen verdient.