Risikoanalyse nach BBK-Methode: Szenarien entwickeln, Risiken bewerten, Maßnahmen ableiten

Risikoanalyse klingt nach Bürokratie. Nach Formularen, die man ausfüllt, um sie abzuheften. In der Praxis vieler Organisationen ist das leider genau das, was passiert. Eine Liste von Risiken wird erstellt, irgendwie bewertet, und dann liegt das Dokument im Aktenschrank — bis zum nächsten Audit.

Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) hat in seinem Handbuch-Band 16 (PiB-16) eine andere Logik beschrieben: Risikoanalyse als Steuerungsinstrument, das tatsächlich zu Entscheidungen führt. Kein Selbstzweck — sondern die Basis für Notfallplanung, Ressourcenzuweisung und Maßnahmenpriorisierung.

Was eine Risikoanalyse leisten soll

Eine Risikoanalyse beantwortet drei Grundfragen:

• Was kann passieren? (Gefahren und Szenarien)
• Wie wahrscheinlich ist es, und wie schlimm wäre es? (Bewertung)
• Was tun wir dagegen? (Maßnahmen und Restrisiko)

Wer alle drei Fragen beantwortet hat, hat eine Risikoanalyse. Wer nur die erste beantwortet, hat eine Gefahrenliste. Der Unterschied ist erheblich — denn ohne Bewertung und Maßnahmen bleibt es bei der Feststellung, dass Risiken existieren. Das weiß jeder.

Schritt 1: Systemabgrenzung und Schutzzielfestlegung

Bevor Risiken identifiziert werden, muss klar sein: Worum geht es? Eine Risikoanalyse ohne definierten Analysegegenstand ist nicht zu Ende zu führen. Das BBK empfiehlt deshalb, zu Beginn explizit festzulegen:

• Welche Organisation, welcher Bereich, welche Infrastruktur wird analysiert?
• Welche Schutzziele gelten — Personen, Versorgungskontinuität, Vermögenswerte, Reputation?
• Welche Szenarien sind grundsätzlich relevant (Naturgefahren, technische Ausfälle, menschliches Versagen, externe Bedrohungen)?
• Welcher Zeithorizont wird betrachtet?

Dieser Schritt wird häufig übersprungen. Das rächt sich: Wenn später unklar ist, was der Analysegegenstand ist, sind Bewertungen nicht vergleichbar und Maßnahmen nicht zuordenbar.

Schritt 2: Gefahrenidentifikation und Szenarienentwicklung

Risiken entstehen nicht abstrakt. Sie entstehen durch konkrete Ereignisse in einem spezifischen Kontext. Das BBK-Modell empfiehlt daher, nicht bei abstrakten Risikokategorien zu beginnen, sondern bei Szenarien: Was genau passiert — und wie?

Eine hilfreiche Methode ist die Entwicklung von Referenzszenarien: typische Ereignisverläufe, die die wesentlichen Merkmale einer Gefahrenkategorie abbilden. Ein Referenzszenario 'Stromausfall' beschreibt nicht nur 'kein Strom', sondern: wie lange, welcher Bereich, welche Jahreszeit, welche Systeme betroffen, welche Abhängigkeiten.

Typische Gefahrenkategorien nach BBK-Systematik:

• Naturgefahren: Extremwetter, Hochwasser, Erdbeben, Hitzewellen
• Technisches und infrastrukturelles Versagen: Stromausfall, IT-Ausfall, Wasserversorgung, Verkehrsinfrastruktur
• Menschliches Versagen und Unfälle: Betriebsunfälle, Fehlbedienungen, Havarien
• Vorsätzliche Handlungen: Sabotage, Anschläge, Cyberangriffe
• Gesundheitliche Gefahren: Pandemien, Ausbrüche, Kontaminationen

Schritt 3: SOLL-IST-Vergleich und Schutzlücken

Dieser Schritt ist eine der praxisrelevantesten Komponenten der BBK-Methode. Für jedes Szenario wird erhoben: Was ist bereits vorhanden (IST)? Was wäre nötig, um das Szenario zu beherrschen (SOLL)? Die Differenz ist die Schutzlücke — und damit der Startpunkt für Maßnahmen.

Der SOLL-IST-Vergleich erzwingt Ehrlichkeit. Organisationen tendieren dazu, vorhandene Maßnahmen als ausreichend zu bewerten, solange sie nie getestet wurden. Ein strukturierter Vergleich gegen definierte Anforderungen macht sichtbar, was fehlt.

Eine Risikoanalyse ist so gut wie die Ehrlichkeit, mit der Schutzlücken benannt werden. Wer Lücken beschönigt, schützt sich nicht — er täuscht sich.

Schritt 4: Risikobewertung und Priorisierung

Für die Bewertung werden zwei Dimensionen herangezogen: Eintrittswahrscheinlichkeit und Schadensausmaß. Die Kombination beider Werte ergibt die Risikoeinstufung. Das BBK empfiehlt eine dreistufige oder fünfstufige Skala je Dimension und eine Risikomatrix, die die Kombinationen visualisiert.

Wichtig: Die Eintrittswahrscheinlichkeit bezieht sich nicht auf die Gefahrenhäufigkeit im Allgemeinen, sondern auf die spezifische Situation der analysierten Organisation. Ein Krankenhaus in der Nähe eines Industriestandorts hat andere Probabilitäten als ein Bürogebäude in der Innenstadt.

Das Schadensausmaß wird entlang der definierten Schutzziele bewertet: Personenschäden, Betriebsunterbrechung, Versorgungsausfall, Reputationsschaden, finanzielle Folgen. Mehrere Schutzziele können gleichzeitig betroffen sein — das erhöht die Gesamteinstufung.

Schritt 5: Maßnahmen und Risikobehandlung

Auf Basis der Risikoeinstufung werden Maßnahmen abgeleitet. Das BBK unterscheidet vier grundlegende Behandlungsstrategien:

• Risikovermeidung: Das Szenario wird durch strukturelle Veränderungen ausgeschlossen (z.B. Standortwechsel weg von Überflutungsgebiet)
• Risikoreduktion: Eintrittswahrscheinlichkeit oder Schadensausmaß werden durch Maßnahmen verringert (z.B. Notstromversorgung, redundante Systeme)
• Risikoübertragung: Das Risiko wird auf Dritte übertragen (z.B. Versicherung, Vertragsgestaltung)
• Risikoakzeptanz: Bewusstes Tragen eines Restrisikos, dokumentiert und begründet

Die Maßnahmenplanung muss konkret sein: Wer setzt was um, bis wann, mit welchen Ressourcen? Und wie wird überprüft, ob die Maßnahme wirksam ist?

Schritt 6: Dokumentation, Monitoring und Fortschreibung

Eine Risikoanalyse ist kein einmaliges Dokument. Gefahrenlagen verändern sich, Organisationen verändern sich, Maßnahmen werden umgesetzt oder werden obsolet. Das BBK empfiehlt daher, Risikoanalysen in festen Zyklen zu überprüfen — und bei wesentlichen Veränderungen anlassbezogen zu aktualisieren.

Das Monitoring umfasst: Überwachung der Umsetzung geplanter Maßnahmen, Bewertung der Wirksamkeit umgesetzter Maßnahmen, Beobachtung der Risikolandschaft auf neue Gefahren.

Verbindung zur Praxis: Risikomanagement-Schulung

Die Methode des BBK ist eine anspruchsvolle Grundlage — aber ohne Übung bleibt sie abstrakt. In der Risikomanagement-Schulung der Notfallakademie wird die BBK-Methode praxisnah durchgearbeitet: Szenarienentwicklung für die eigene Organisation, Bewertungsmatrix, SOLL-IST-Vergleich, Maßnahmenableitung. Inkl. Abschlusstest und Zertifikat als Risikomanager der Notfallakademie.

Fazit

Eine Risikoanalyse nach BBK-Methode ist keine Formalie. Sie ist das Werkzeug, das eine Organisation in die Lage versetzt, Ressourcen dort zu investieren, wo der tatsächliche Schutzbedarf ist — nicht dort, wo das Risiko gut dokumentiert aussieht. Das erfordert Ehrlichkeit im SOLL-IST-Vergleich, Konsequenz in der Maßnahmenplanung und Disziplin in der Fortschreibung.

Quellen

• Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK): Praxis im Bevölkerungsschutz, Band 16 — Risikoanalyse im Bevölkerungsschutz
• BBK: Methode zur Risikoanalyse kritischer Infrastrukturen
• ISO 31000: Risikomanagement — Leitlinien
• BSI-Standard 200-3: Risikoanalyse auf der Basis von IT-Grundschutz