Risikoanalyse im Projekt: Risiken erkennen, bewerten und steuern

Was ist eine Risikoanalyse?

Eine Risikoanalyse im Projekt ist ein strukturiertes Verfahren, mit dem das Projektteam potenzielle Risiken erkennt, ihre Wahrscheinlichkeit und ihr Schadensausmaß einschätzt und sie anschließend priorisiert. Sie beantwortet drei zentrale Fragen: Was kann schiefgehen? Wie wahrscheinlich ist das? Und wie schwerwiegend wären die Folgen?

Die Grundformel lautet:

Risikowert = Eintrittswahrscheinlichkeit × Schadensausmaß

Je höher der Risikowert, desto dringender muss das Projektteam handeln. Die Risikoanalyse liefert damit die Entscheidungsgrundlage: Welche Risiken erfordern sofortige Maßnahmen, welche werden beobachtet, welche bewusst akzeptiert?

Die Risikoanalyse ist ein Teilschritt innerhalb des umfassenderen Risikomanagements. Während die Analyse bei der Identifikation und Bewertung endet, umfasst das Risikomanagement den gesamten Lebenszyklus – von der Analyse über die Maßnahmenplanung bis zur laufenden Überwachung.

Ziele einer Risikoanalyse im Projekt

• Risiken frühzeitig sichtbar machen. Wer Risiken erst erkennt, wenn sie eintreten, kann nur noch Symptome bekämpfen. Die Risikoanalyse macht Gefahren sichtbar, bevor sie zum Problem werden.
• Ressourcen gezielt einsetzen. Kein Projekt kann sich gegen alle denkbaren Risiken absichern. Die Priorisierung lenkt begrenzte Mittel auf die größten Bedrohungen.
• Transparenz für Stakeholder schaffen. Eine dokumentierte Risikoanalyse zeigt Auftraggebern und Führungsebene, dass das Projektteam vorausschauend handelt – und wo es Unterstützung braucht.
• Grundlage für Maßnahmen legen. Ohne Analyse keine wirksamen Gegenmaßnahmen. Die bewerteten und priorisierten Risiken sind der direkte Input für die Maßnahmenplanung.

Welche Risiken gibt es in Projekten?

Projektrisiken lassen sich in fünf Kategorien einteilen. Die Grenzen sind nicht immer trennscharf – ein Risiko kann mehrere Kategorien betreffen –, doch die Systematik hilft, keine blinden Flecken zu übersehen.

• Technische Risiken: Fehlerhafte Systeme, inkompatible Schnittstellen, unzureichende Performance, Datenverlust bei Migrationen.
• Organisatorische Risiken: Ressourcenmangel, Scope Creep, geringe Nutzerakzeptanz, unklare Verantwortlichkeiten, Abhängigkeit von Schlüsselpersonen.
• Wirtschaftliche Risiken: Budgetüberschreitung, steigende Lieferantenpreise, unerwartete Marktveränderungen.
• Rechtliche und regulatorische Risiken: Neue Gesetzeslagen, Datenschutzanforderungen (DSGVO), Compliance-Verstöße.
• Externe Risiken: Politische Veränderungen, Lieferausfälle, Naturereignisse, Pandemien.

In der öffentlichen Verwaltung kommen laut dem Bundesverwaltungsamt weitere typische Kategorien hinzu: Politik und Strategie, Fachlichkeit, Vertragsmanagement mit externen Auftragnehmern sowie organisatorische Risiken bezüglich der Projektstruktur.

Eine ausführliche Anleitung zur systematischen Sammlung von Risiken finden Sie in unserem Artikel Projektrisiken identifizieren.

Risikoanalyse durchführen: 5 Schritte

1. Kontext festlegen

Bevor das Team Risiken sammelt, braucht es ein gemeinsames Verständnis des Projekts: Was sind die Projektziele? Welcher Scope ist definiert? Welche Rahmenbedingungen gelten – Budget, Termine, regulatorische Vorgaben? Wer sind die relevanten Stakeholder?

In diesem Schritt definiert das Team auch die Bewertungskriterien: Welche Skala verwenden wir für Eintrittswahrscheinlichkeit und Auswirkung? Ab welchem Risikowert handeln wir? Diese Vereinbarungen verhindern, dass später jeder nach eigenem Ermessen bewertet.

2. Risiken identifizieren

Jetzt sammelt das Team alle Risiken, die das Projekt gefährden könnten. Bewährte Methoden sind:

• Brainstorming im Team – verschiedene Perspektiven decken verschiedene Risiken auf.
• Checklisten aus früheren Projekten – Lessons Learned sind eine der ergiebigsten Quellen.
• Expertenbefragung – Fachleute einzeln befragen, um Gruppendenken zu vermeiden.
• Perspektivenwechsel – Statt zu fragen „Was läuft gut?”, fragen: „Wie könnte dieses Projekt scheitern?” Dieses Umdenken löst häufig den Druck und schafft Platz für ehrliche Einschätzungen.

Das Ergebnis ist eine vollständige Risikoliste. Der Praxistipp aus dem S-O-S-Handbuch des Bundesverwaltungsamts: Nur projektrelevante Risiken aufnehmen. Risikolisten werden schnell zu groß und unübersichtlich, wenn allgemeine Unternehmensrisiken mit aufgeführt werden.

3. Risiken bewerten

Jedes identifizierte Risiko wird auf zwei Dimensionen eingeschätzt – getrennt voneinander, um die Werte nicht zu vermischen:

• Eintrittswahrscheinlichkeit: Wie wahrscheinlich tritt das Risiko ein?
• Auswirkung: Wie schwerwiegend wären die Folgen für Zeit, Kosten oder Qualität?

Aus beiden Werten ergibt sich die Risikoprioritätszahl (RPZ = W × A). Je höher die RPZ, desto dringender der Handlungsbedarf. Detaillierte Methoden und Skalendefinitionen beschreibt unser Artikel Risiken bewerten.

4. Risiken priorisieren

Die bewerteten Risiken werden in eine Risikomatrix eingetragen. Die Position jedes Risikos – bestimmt durch den Schnittpunkt von Wahrscheinlichkeit und Auswirkung – ergibt die Risikokategorie:

• Rot (Kritisch): Sofortige Maßnahmen erforderlich, Eskalation an Projektleitung.
• Orange (Hoch): Maßnahmen priorisieren und zeitnah umsetzen.
• Gelb (Mittel): Maßnahmen planen, regelmäßig überprüfen.
• Grün (Niedrig): Beobachten, im Risikoregister dokumentieren.

Die Priorisierung zwingt zur Fokussierung: Nicht jedes Risiko kann gleichzeitig behandelt werden. Das Team konzentriert sich auf die roten und orangen Felder – dort entsteht der größte Hebel.

5. Ergebnisse dokumentieren

Das zentrale Ergebnisdokument der Risikoanalyse ist das Risikoregister. Es enthält für jedes Risiko mindestens:

• Eindeutige ID und Beschreibung
• Bewertung (Eintrittswahrscheinlichkeit, Auswirkung, RPZ)
• Risikokategorie (aus der Risikomatrix)
• Verantwortliche Person
• Status (offen, in Bearbeitung, geschlossen)

Das Risikoregister ist die Brücke zwischen Analyse und Maßnahmenplanung. Es wird zum lebenden Dokument, das bei jeder Statusbesprechung aktualisiert wird. Die darauf aufbauenden Risikomaßnahmen – Vermeiden, Vermindern, Übertragen oder Akzeptieren – sind der logische nächste Schritt.

Methoden der Risikoanalyse

Qualitative Methoden

Qualitative Methoden arbeiten mit Einschätzungen statt mit Zahlen. Sie eignen sich besonders in frühen Projektphasen, wenn harte Daten fehlen.

Methode	Vorgehen	Aufwand	Einsatzgebiet
Brainstorming / Risikoworkshop	Freie Sammlung im Team, anschließend Clustering	Gering	Jedes Projekt, Einstieg
SWOT-Analyse	Stärken, Schwächen, Chancen und Risiken systematisch gegenüberstellen	Mittel	Strategische Projekte
Delphi-Methode	Anonyme Expertenbefragung in mehreren Runden bis zur Konvergenz	Hoch	Komplexe Projekte, wenig Erfahrungswerte
SWIFT-Analyse	Structured What-If Technique: systematische Was-wäre-wenn-Fragen	Mittel	Prozessänderungen, technische Projekte

Für strategische Projekte bietet die SWOT-Analyse einen bewährten Rahmen, der Risiken im Kontext von Stärken und Chancen sichtbar macht.

Quantitative Methoden

Quantitative Methoden weisen Risiken numerische Werte zu. Sie setzen mehr Daten voraus, liefern aber präzisere Ergebnisse.

• FMEA (Failure Mode and Effect Analysis): Bewertet jedes Risiko nach drei Faktoren – Auftrittswahrscheinlichkeit, Bedeutung der Auswirkung und Entdeckungswahrscheinlichkeit. Das Produkt ergibt eine differenziertere Risikoprioritätszahl als die einfache Formel W × A. Die FMEA ist besonders in der Produktentwicklung und im Qualitätsmanagement verbreitet.
• Monte-Carlo-Simulation: Durchläuft tausende Szenarien mit zufälligen Variationen der Eingangswerte. Das Ergebnis sind Wahrscheinlichkeitsverteilungen – etwa: „Mit 80 % Wahrscheinlichkeit wird das Projekt zwischen 14 und 18 Wochen dauern.” Besonders wertvoll für die Termin- und Kostenplanung.
• Entscheidungsbaumanalyse: Bildet Entscheidungssituationen als Baumstruktur ab, an deren Verzweigungen Eintrittswahrscheinlichkeiten und erwartete Werte stehen. Hilft bei der Bewertung alternativer Strategien.

Normbasierte Ansätze

• ISO 31000: Die internationale Norm definiert ein Rahmenwerk für Risikomanagement, das sich auf jede Branche und Projektgröße anwenden lässt. Der Kernprozess folgt dem PDCA-Zyklus: Planen, Durchführen, Prüfen, Verbessern.
• BSI IT-Grundschutz: Speziell für IT-Projekte bietet das Bundesamt für Sicherheit in der Informationstechnik einen strukturierten Ansatz zur Risikoanalyse. Der zugehörige Onlinekurs ist öffentlich zugänglich.

Risikoanalyse im Projekt – Praxisbeispiel

Ein mittelständisches Unternehmen plant den Relaunch seiner Website. Das Projekt umfasst neues Design, eine Migration auf ein neues CMS und die Überarbeitung von 200 Inhaltsseiten. Budget: 60.000 EUR, Laufzeit: 4 Monate. Das Projektteam führt in einem zweistündigen Workshop eine Risikoanalyse durch.

Identifizierte Risiken

1. R1 – Content-Lieferung verzögert sich. Die Fachabteilungen müssen Texte und Bilder zuliefern, sind aber im Tagesgeschäft eingebunden.
2. R2 – SEO-Rankings brechen ein. Durch geänderte URLs und neue Seitenstruktur können bestehende Rankings verloren gehen.
3. R3 – CMS-Migration scheitert teilweise. Nicht alle Inhalte lassen sich automatisiert übernehmen, manuelle Nacharbeit bindet Ressourcen.
4. R4 – Agentur-Kapazität reicht nicht aus. Die externe Agentur betreut parallel andere Kunden.
5. R5 – Go-Live-Termin kollidiert mit Messeauftritt. Das Marketing-Team wäre im Ernstfall nicht verfügbar für den Launch.

Bewertung und Priorisierung

Risiko	W	A	RPZ	Kategorie
R1: Content-Lieferung verzögert	Hoch (3)	Hoch (3)	9	Kritisch
R2: SEO-Rankings brechen ein	Mittel (2)	Hoch (3)	6	Mittel
R3: CMS-Migration scheitert teilweise	Mittel (2)	Mittel (2)	4	Niedrig
R4: Agentur-Kapazität	Gering (1)	Hoch (3)	3	Niedrig
R5: Go-Live kollidiert mit Messe	Hoch (3)	Mittel (2)	6	Mittel

Bewertung auf 3×3-Skala: 1 = Gering, 2 = Mittel, 3 = Hoch

Ergebnis

Die Risikoanalyse machte R1 (Content-Lieferung) als kritischstes Risiko sichtbar. Die Konsequenz: Das Projektteam legte feste Liefertermine pro Fachabteilung fest und startete die Content-Phase vier Wochen früher als geplant. Für R2 wurde eine vollständige Redirect-Map bereits in Sprint 1 erstellt, statt sie wie üblich kurz vor Go-Live nachzuziehen. Ohne die Risikoanalyse wären beide Themen erst aufgefallen, als der Zeitdruck bereits kritisch war.

Ein ausführlicheres Beispiel mit sieben Risiken, detaillierter Risikomatrix und vollständigem Risikoregister finden Sie in unserem Artikel Risikomanagement Beispiel.

Risikoanalyse vs. Risikobewertung vs. Risikomanagement

Die drei Begriffe werden häufig synonym verwendet – sie bezeichnen aber unterschiedliche Dinge:

Begriff	Umfang	Ergebnis
Risikobewertung	Einzelschritt: Eintrittswahrscheinlichkeit und Auswirkung einschätzen	Risikowert (RPZ) pro Risiko
Risikoanalyse	Identifikation + Bewertung + Priorisierung	Priorisierte Risikoliste, Risikomatrix
Risikomanagement	Gesamter Zyklus: Analyse + Maßnahmen + Überwachung	Risikoregister, umgesetzte Maßnahmen, Statusberichte

Die Risikoanalyse ist also der analytische Kern des Risikomanagements. Sie liefert das Bild der Risikolage – das Risikomanagement sorgt dafür, dass daraus Handlung wird. Detaillierte Informationen zur Bewertung finden Sie unter Risiken bewerten.

Tipps für die Praxis

1. Früh beginnen. Die Risikoanalyse gehört in die Projektplanung, nicht in die Projektkrise. Je früher Risiken erkannt werden, desto günstiger sind Gegenmaßnahmen.

2. Im Team arbeiten. Einzelschätzungen sind fehleranfällig. Verschiedene Perspektiven – Fachleute, Projektleitung, Stakeholder – ergänzen sich zu einem realistischeren Gesamtbild.

3. Offene Fehlerkultur schaffen. Risiken werden nur dann ehrlich benannt, wenn niemand dafür bestraft wird. Die Projektleitung muss vorangehen – auch indem sie eigene Kompetenzlücken als Risiko benennt.

4. Risiken als Chancen begreifen. Bei der Suche nach Gegenmaßnahmen können schnellere, günstigere oder bessere Lösungen entstehen, die ohne das Risiko nie gefunden worden wären. Das Chancenmanagement nutzt dieselbe Logik mit positivem Vorzeichen.

5. Regelmäßig wiederholen. Eine Risikoanalyse zu Projektbeginn ist wertvoll – aber nur, wenn sie im Projektverlauf fortgeschrieben wird. Neue Risiken tauchen auf, bestehende verändern sich. Machen Sie die Analyse zum festen Bestandteil Ihrer Statusbesprechungen.

6. Einfach starten. Eine pragmatische Risikoanalyse mit fünf Risiken und einer 3×3-Matrix schlägt eine perfekte Analyse, die an ihrer Komplexität scheitert und nie durchgeführt wird.

Häufig gestellte Fragen

Was ist eine Risikoanalyse im Projektmanagement?

Eine Risikoanalyse im Projekt ist das systematische Vorgehen, um potenzielle Gefahren zu identifizieren, ihre Eintrittswahrscheinlichkeit und Auswirkung zu bewerten und sie nach Dringlichkeit zu priorisieren. Das Ergebnis – eine priorisierte Risikoliste, häufig dargestellt als Risikomatrix – bildet die Grundlage für gezielte Gegenmaßnahmen.

Wie führt man eine Risikoanalyse durch?

In fünf Schritten: (1) Kontext festlegen – Projektziele und Bewertungskriterien klären. (2) Risiken identifizieren – durch Brainstorming, Checklisten und Expertenbefragung. (3) Risiken bewerten – Eintrittswahrscheinlichkeit und Auswirkung getrennt einschätzen. (4) Risiken priorisieren – in einer Risikomatrix einordnen. (5) Ergebnisse dokumentieren – im Risikoregister festhalten.

Welche Methoden der Risikoanalyse gibt es?

Man unterscheidet qualitative und quantitative Methoden. Qualitative Ansätze wie Brainstorming, SWOT-Analyse oder die Delphi-Methode arbeiten mit Einschätzungen. Quantitative Methoden wie FMEA, Monte-Carlo-Simulation oder Entscheidungsbaumanalyse weisen Risiken numerische Werte zu und eignen sich, wenn ausreichend Daten vorliegen.

Was ist der Unterschied zwischen Risikoanalyse und Risikomanagement?

Die Risikoanalyse ist ein Teilschritt des Risikomanagements. Sie umfasst Identifikation, Bewertung und Priorisierung von Risiken. Das Risikomanagement geht darüber hinaus: Es schließt die Planung und Umsetzung von Maßnahmen sowie die laufende Überwachung und Steuerung über den gesamten Projektverlauf ein.

Wie oft sollte eine Risikoanalyse aktualisiert werden?

Mindestens bei jedem Meilenstein und in jeder Projektstatusbesprechung. Risiken verändern sich im Projektverlauf: Neue kommen hinzu, bestehende werden wahrscheinlicher oder verlieren an Relevanz. Ein fester Rhythmus – etwa alle zwei Wochen – stellt sicher, dass das Risikoregister aktuell bleibt und keine Überraschungen entstehen.