Entscheidungsmethode
Risikomatrix für Teams
Jedes Risiko nach Wahrscheinlichkeit und Auswirkung auf einer 5x5-Heatmap bewerten. Bedrohungen priorisieren, Ressourcen zuweisen, Bewertung für Stakeholder dokumentieren.
Zuletzt aktualisiert: April 2026
Was ist eine Risikomatrix?
Eine Risikomatrix ist ein visuelles Rahmenwerk, das Risiken auf einem Raster nach zwei Dimensionen darstellt: der Wahrscheinlichkeit, dass ein Risiko eintritt, und der Schwere seiner Auswirkung. Jedes Risiko erhält einen Score (Wahrscheinlichkeit mal Auswirkung), und die Position auf dem Raster bestimmt die Farbzone: Grün für niedriges Risiko, Gelb für mittleres, Orange für hohes, Rot für kritisches. Das 5x5-Format mit 25 Zellen ist der professionelle Standard, weil es genügend Granularität bietet, um zwischen Risiken zu unterscheiden, die auf den ersten Blick ähnlich wirken.
Die Matrix löst zwei Probleme gleichzeitig. Erstens zwingt sie Teams, Risiken auf zwei Dimensionen zu bewerten statt auf einer. "Unwahrscheinlich aber katastrophal" ist ein grundlegend anderes Risiko als "wahrscheinlich aber geringfügig," und beide erfordern verschiedene Reaktionen. Ohne die Matrix neigen Teams dazu, alle Risiken als "mittel" einzustufen und gleich zu behandeln. Zweitens macht die farbkodierte Heatmap Prioritäten für alle sichtbar. Eine rote Zelle oben rechts braucht Maßnahmen diese Woche. Eine grüne Zelle unten links kann warten. Keine Debatte nötig, welche Risiken am wichtigsten sind.
Risikomatrizen werden branchenübergreifend eingesetzt: IT-Projektmanagement, Bauwesen, Gesundheitswesen, Finanzdienstleistungen, Fertigung und öffentliche Verwaltung. Sie sind vorgeschrieben durch Standards wie ISO 31000 (Risikomanagement), ISO 27005 (IT-Sicherheitsrisiko), PMBOK (Project Management Body of Knowledge) und in deutschen Standards wie DIN ISO 31000 referenziert. Ob Risikomatrix, Risiko-Heatmap oder Risk Assessment Matrix, das Werkzeug ist dasselbe.
Wann eine Risikomatrix einsetzen?
- Beim Projekt-Kickoff, um bekannte Risiken zu identifizieren und zu priorisieren, bevor Ressourcen gebunden werden und Prävention noch günstig ist
- Vor wichtigen Entscheidungen wie Anbieterauswahl, Technologie-Migration oder Markteintritt, wo der Nachteil erheblich sein könnte
- Im Change-Management, um Implementierungsrisiken, Mitarbeiterwiderstand und Übergangsfehler zu bewerten
- In regelmäßigen Risiko-Review-Meetings (monatlich oder an Meilensteinen), um zu verfolgen, wie sich das Risikoprofil im Projektverlauf entwickelt
- Für Compliance und Audit-Vorbereitung, wo eine dokumentierte, bewertete Risikoanalyse durch Vorschriften oder Richtlinien verlangt wird
- Als Teil der Projekt-Risikoanalyse in jeder Phase, von der Erstplanung über Go-Live bis nach dem Launch
Schritt-für-Schritt-Anleitung
- 1
Risiken als Team identifizieren
Alle möglichen Risiken brainstormen. Verschiedene Perspektiven nutzen: Projektmanager sehen Terminrisiken, Ingenieure sehen technische Risiken, Finance sieht Budgetrisiken, Operations sieht Prozessrisiken. Konkret sein. "Datenverlust bei der Migration" ist handlungsrelevant. "Technische Probleme" nicht. 8-15 Risiken anstreben. Weniger als 5 heißt: nicht breit genug gedacht. Mehr als 20: verwandte Risiken gruppieren. Gute Technik: Erst ein Premortem durchführen, um versteckte Risiken zu entdecken, dann die Matrix nutzen, um sie zu quantifizieren und zu priorisieren.
- 2
Skalenbedeutung festlegen
Bevor jemand bewertet, einigen, was die Zahlen im konkreten Kontext bedeuten. Wahrscheinlichkeit: 1 = unter 5%, 2 = 5-20%, 3 = 20-50%, 4 = 50-80%, 5 = über 80%. Auswirkung: 1 = vernachlässigbar (kleine Unannehmlichkeit), 2 = gering (kleine Verzögerung oder Kostenüberschreitung), 3 = mäßig (Terminverschiebung oder teilweise Scope-Reduktion), 4 = schwerwiegend (erheblicher Budgeteffekt oder verpasste Deadline), 5 = katastrophal (Projektscheitern, rechtliche Risiken, Kundenverlust). Ohne gemeinsame Definitionen ist die "3" einer Person die "5" einer anderen.
- 3
Jedes Risiko auf beiden Dimensionen bewerten
Für jedes Risiko Wahrscheinlichkeit (1-5) und Auswirkung (1-5) vergeben. Teammitglieder unabhängig bewerten lassen, bevor verglichen wird, um Ankereffekte zu vermeiden. Das Tool berechnet den Risikowert (W x A, Bereich 1-25) und positioniert das Risiko automatisch auf der Heatmap. Nicht quälen, ob ein Risiko eine 3 oder 4 ist. Der Wert liegt im relativen Ranking, nicht in der absoluten Zahl. Wenn du mehr als 2 Minuten über ein einzelnes Rating debattierst, die höhere Zahl nehmen und weitermachen.
- 4
Heatmap analysieren
Risiken in der roten Zone (Score 17-25) brauchen sofortige Maßnahmenpläne mit zugewiesenen Verantwortlichen und Fristen. Das sind die "Sofort-handeln"-Risiken. Orange Risiken (10-16) brauchen enge Überwachung und Notfallpläne. Monatliche Check-ins einplanen. Gelbe Risiken (5-9) brauchen Aufmerksamkeit, aber keine aktive Prävention. Tracken. Grüne Risiken (1-4) können akzeptiert und dokumentiert werden. Die Heatmap gibt dir ein visuelles Portfolio deiner Risikoexposition. Wenn alles rot ist, hast du ein Problem. Wenn alles grün ist, hast du wahrscheinlich zu niedrig bewertet.
- 5
Maßnahmen definieren und Ownership zuweisen
Für jedes rote und orange Risiko einen konkreten Maßnahmenplan erstellen. Nicht "Situation beobachten" sondern "Jan führt Lasttests mit Produktionsdaten bis 15. März durch. Bei Antwortzeit über 2 Sekunden: Eskalation zum Architektur-Review." Jede Maßnahme braucht: Wer ist verantwortlich, was wird getan, bis wann, und was ist das Erfolgskriterium. Bewertung als professionelles PDF exportieren und mit Stakeholdern teilen. Matrix an jedem Projektmeilenstein überprüfen und aktualisieren.
Praxis-Tipp: Teammitglieder Risiken unabhängig bewerten lassen, bevor verglichen wird. Die erste genannte Zahl verankert die Gruppe. Wenn der Projektleiter sagt "Ich würde das mit 2 bewerten", passen sich alle Richtung 2 an. Unabhängige Bewertung auf Klebezetteln oder im Tool, gleichzeitig aufgedeckt, ergibt ehrlichere und diversere Einschätzungen.
Praxis-Tipp: Mitigationsaufwand auf Risiken mit hoher Auswirkung konzentrieren, nicht auf solche mit hoher Wahrscheinlichkeit. Ein Risiko mit W:2 und A:5 (Score 10) verdient mehr Aufmerksamkeit als eines mit W:4 und A:2 (Score 8), weil das katastrophale Szenario höhere Konsequenzen hat, auch wenn es weniger wahrscheinlich ist. Der Matrix-Score ist der Startpunkt, nicht das letzte Wort.
Praxis-Tipp: Regelmäßige Re-Assessments einplanen. Risikoprofile entwickeln sich im Projektverlauf. Ein Lieferant mit geringem Einfluss während der Evaluation wird zum Hochrisiko während der Implementierung. Ein Technologierisiko, das in Monat eins mitigiert wurde, wird in Monat drei durch ein Marktrisiko ersetzt. Monatliche Reviews bei Hochrisikoprojekten, Meilenstein-Reviews bei Standardprojekten.
Praxis-Tipp: Die Risikomatrix als Input für Ressourcenzuteilung nutzen, nicht nur als Dokumentation. Wenn die Top-3-Risiken alle in der Kategorie "Technologie" liegen, sollte der Projektplan zusätzliche Engineering-Kapazität vorsehen. Wenn sie bei "Personal" liegen, in Kommunikation und Schulung investieren. Die Matrix sollte beeinflussen, wie du planst und budgetierst, nicht nur in einem Bericht stehen.
Beispiel
Ein Unternehmen identifizierte bei der ERP-Migration sechs zentrale Risiken:
| Risiko | W | A | Score |
|---|---|---|---|
| Datenverlust bei Migration | 2 | 5 | 10 |
| Zeitplanüberschreitung | 4 | 4 | 16 |
| Mitarbeiterwiderstand | 4 | 3 | 12 |
| Budgetüberschreitung | 3 | 5 | 15 |
| Integrationsprobleme | 3 | 3 | 9 |
| Vendor Lock-in | 3 | 4 | 12 |
Praxisbeispiel
Eine IT-Abteilung bei einem Fertigungsunternehmen mit 120 Mitarbeitenden migriert von On-Premise-Servern auf Cloud-Infrastruktur. Der Projektmanager führte einen Risikobewertungs-Workshop mit 8 Teammitgliedern aus IT, Operations, Finance und zwei Endanwender-Vertretern durch.
| # | Risiko | W | A | Score | Zone | Maßnahme |
|---|---|---|---|---|---|---|
| 1 | Datenverlust bei Migration | 2 | 5 | 10 | Orange | Vollbackup vor jeder Migrationsphase. Restore-Prozedur testen. |
| 2 | Zeitplanüberschreitung | 4 | 4 | 16 | Rot | 3-Wochen-Puffer einplanen. Wöchentlicher Fortschrittcheck. |
| 3 | Budgetüberschreitung | 3 | 5 | 15 | Rot | Festpreisvertrag für Migrationsphase. 15% Risikoreserve. |
| 4 | Mitarbeiterwiderstand gegen neue Tools | 4 | 3 | 12 | Orange | Pilot mit 10 Freiwilligen. Training 4 Wochen vor Rollout. |
| 5 | Vendor Lock-in | 3 | 4 | 12 | Orange | Multi-Cloud-Architektur-Review. Exit-Strategie vor Vertragsunterschrift dokumentieren. |
| 6 | Integrationsprobleme mit ERP | 3 | 3 | 9 | Gelb | Integrationstests in Staging-Umgebung bis Woche 6. |
| 7 | Sicherheits-Compliance-Lücken | 2 | 4 | 8 | Gelb | Sicherheitsaudit in Woche 4. Compliance-Checkliste nach ISO 27001. |
| 8 | Internetausfall stört Betrieb | 2 | 3 | 6 | Gelb | Redundante Leitung vom zweiten Anbieter. Failover-Test monatlich. |
Der Risikopunkt 'Datenverlust während der Migration' (W:2, A:5, Score:10) wurde anfänglich als unwahrscheinlich abgetan. Aber der hohe Auswirkungswert schob ihn in die Orange-Zone und löste einen dedizierten Backup-Plan aus. Drei Wochen nach Projektstart fiel ein Speichersystem tatsächlich aus. Der Backup-Plan griff und verhinderte Datenverlust. Ohne die Matrix hätte 'unwahrscheinlich' bedeutet 'kein Plan nötig'.
Risikomatrix vs. Premortem-Analyse
| Dimension | Risikomatrix | Premortem-Analyse |
|---|---|---|
| Zweck | Bekannte Risiken quantifizieren und priorisieren | Risiken entdecken, an die noch niemand gedacht hat |
| Ausgangspunkt | "Welche Risiken kennen wir?" | "Das Projekt ist gescheitert. Was hat es verursacht?" |
| Hauptstärke | Strukturierte Bewertung, visuelle Heatmap, nachverfolgbar | Eliminiert Optimismus-Bias, deckt versteckte Risiken auf |
| Ergebnis | 5x5-Heatmap + Maßnahmen-Zuordnung | Priorisierte Fehlerliste + Aktionsplan |
| Laufende Nutzung | Während des gesamten Projektlebenszyklus (an Meilensteinen aktualisieren) | Primär beim Kickoff (Momentaufnahme) |
| Einschränkung | Erfasst nur Risiken, die Beteiligte bereits erkennen | Einmalige Übung, kein Tracking-System |
Premortem zuerst nutzen, um Risiken zu entdecken, an die noch niemand gedacht hat, dann diese in die Risikomatrix einspeisen, um sie zu quantifizieren und zu priorisieren. Das Premortem ist kreativ (Scheitern durchspielen), die Risikomatrix ist analytisch (Wahrscheinlichkeit und Auswirkung bewerten). Zusammen decken sie Entdeckung und Priorisierung ab.
Häufige Fehler
1 Alle Risiken als "mittel" bewerten, um Diskussionen zu vermeiden
Wenn jedes Risiko bei 3x3 (Score 9, gelbe Zone) landet, liefert die Matrix keine Priorisierung. Der Wert entsteht durch Differenzierung. "Datenverlust" bei W:2, A:5 (Score 10, orange) erfordert eine völlig andere Reaktion als "kleine Verzögerung" bei W:4, A:2 (Score 8, gelb). Das Team dazu bringen, sich zu Ratings an den Rändern zu bekennen. Wenn sich alles nach 3 anfühlt, war das Team nicht ehrlich genug darüber, was wirklich wehtun würde.
2 Risiken zu vage formulieren
"Bei der Technologie könnte etwas schiefgehen" ist kein Risiko. "API-Antwortzeit überschreitet SLA-Schwellenwerte bei Spitzenlast" ist ein Risiko. Vage Risiken können nicht mitigiert werden, weil es kein konkretes Szenario gibt, das verhindert werden kann. Jede Risikoaussage testen: Könnte man jemandem die Mitigation dieses konkreten Szenarios zuweisen? Wenn nicht, konkreter formulieren.
3 Vergessen, im Projektverlauf neu zu bewerten
Die Risikomatrix vom Kickoff wird jede Woche ungenauer, wenn sich Umstände ändern. Ein Risiko mit W:2 zu Beginn kann in Monat zwei W:4 haben, wenn die Abhängigkeit, auf der es basiert, in Verzug gerät. An jedem Meilenstein überprüfen und neu bewerten. Risiken, die grün waren, können orange werden. Risiken, die rot waren, können nach erfolgreicher Mitigation grün werden. Eine veraltete Matrix gibt falsches Vertrauen.
4 Die Matrix erstellen, aber nicht danach handeln
Eine schön farbkodierte Heatmap ohne zugewiesene Maßnahmen ist Wanddekoration. Die Matrix ist nur nützlich, wenn jedes rote und orange Risiko hat: einen Verantwortlichen (Name, nicht "das Team"), eine konkrete Maßnahme (nicht "beobachten"), eine Frist (nicht "laufend") und ein Erfolgskriterium (woran erkennt man, dass die Maßnahme gewirkt hat). Ohne diese vier Elemente ist das Risiko dokumentiert, aber nicht gemanagt.
Kostenloses interaktives Tool ausprobieren
Diese Methode direkt im Browser nutzen. Ohne Anmeldung, mit PDF-Export.
Häufig gestellte Fragen
- Eine 3x3-Matrix nutzt drei Stufen (niedrig/mittel/hoch) für schnelle Bewertungen. Eine 5x5-Matrix bietet feinere Granularität mit fünf Stufen – Standard im professionellen Projektmanagement.
- ISO 31000 (Risikomanagement), ISO 27005 (IT-Sicherheit), PMBOK (Projektmanagement) und branchenspezifische Frameworks wie NIST und COBIT.
- An jedem größeren Projektmeilenstein und immer wenn neue Informationen die Wahrscheinlichkeit oder Auswirkung eines bestehenden Risikos verändern. Auch aktualisieren, wenn neue Risiken auftauchen. Eine Risikomatrix vom Projekt-Kickoff sollte in Monat 6 nicht ohne Auffrischung Entscheidungen treiben.
- Ja, das Prinzip funktioniert gleich: Wahrscheinlichkeit und Auswirkung bewerten. Bei persönlichen Entscheidungen (Jobwechsel, Umzug) hilft die Matrix, emotionale Risiken ('was wenn ich es bereue?') neben praktischen Risiken ('Gehaltseinbuße im ersten Jahr') sichtbar zu machen.
Verwandte Blogartikel
Verwandte Methoden
Impact/Effort-Matrix
Jede Option nach Wirkung und Aufwand bewerten, um schnelle Erfolge zu finden und keine Ressourcen an Low-Value-Arbeit zu verschwenden.
SWOT-Analyse
Stärken, Schwächen, Chancen und Risiken jeder Option systematisch bewerten. Gibt dir ein vollständiges Bild, bevor du dich festlegst.
Szenarioanalyse
Best Case, Worst Case und realistisches Szenario durchdenken, bevor du dich festlegst. Reduziert Überraschungen und bereitet dein Team auf verschiedene Ausgänge vor.