- Bedeutung
- Ganzheitliche Betrachtung aller Gefahren, nicht nur Cyber
- Bezug zu NIS2
- Ausdrücklich gefordert
- Beispiele
- Stromausfall, Brand, menschliches Versagen, Dienstleisterausfall
- Ziel
- Echte Widerstandsfähigkeit (Resilienz)
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was ist der All-Hazards-Ansatz?
Der All-Hazards-Ansatz (Allgefahrenansatz) ist eine grundlegende Denkweise im Risikomanagement: Statt sich nur auf Cyberangriffe zu konzentrieren, werden alle Gefahren systematisch einbezogen, die kritische Prozesse stören könnten. Der Ansatz definiert damit den Geltungsbereich der Risikobetrachtung – er erweitert den Blick von der reinen IT-Sicherheit auf die gesamte betriebliche Widerstandsfähigkeit. Genau hier setzt er das Fundament, auf dem konkrete Notfallvorsorge wie Business Continuity erst sinnvoll aufbauen kann.
Welche Gefahren gemeint sind
Ein All-Hazards-Ansatz betrachtet vier typische Gefahrenkategorien, die jeweils eigene Schutzmaßnahmen erfordern:
- Technisch: Hardware-Defekte, Software-Fehler, Stromausfälle.
- Menschlich: Fehlbedienung, fehlendes Wissen, Social Engineering.
- Physisch: Brand, Wasserschaden, Einbruch.
- Extern: Ausfall von Lieferanten und Dienstleistern (Third Party Risk).
Warum NIS2 diesen Ansatz verlangt
Die seit dem 6. Dezember 2025 geltende NIS2-Richtlinie schreibt ausdrücklich vor, dass die Risikomanagement-Maßnahmen auf einem All-Hazards-Ansatz beruhen müssen. Der Gedanke dahinter: Ein Unternehmen ist erst dann wirklich widerstandsfähig, wenn es nicht nur Hacker, sondern jede realistische Ausfallursache mitdenkt. Wer den Ansatz vernachlässigt, riskiert nicht nur Betriebsausfälle, sondern auch Bußgelder – bei wesentlichen Einrichtungen bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes.
Vom Ansatz zur Praxis
Praktisch bedeutet das, bei der Risikoanalyse alle Gefahrenarten zu betrachten und mit passenden Maßnahmen (Controls, Business Continuity) abzusichern, statt nur in Firewalls zu denken.
Beispiel: Ein Cloud-Dienstleister härtet seine Systeme vorbildlich gegen Cyberangriffe – übersieht aber, dass sein einziges Rechenzentrum von nur einem Stromversorger und einer Kühlanlage abhängt. Beim Ausfall der Klimatechnik schalten sich die Server zur Selbstschutzabschaltung ab. Ein All-Hazards-Ansatz hätte dieses physische Risiko erkannt und mit Redundanz und einem Notfallplan abgesichert, lange bevor der Ernstfall eintritt.
Weiterführende Quelle: ISO 22301 – ganzheitliches Business Continuity Management
Häufige Fragen
Was bedeutet der All-Hazards-Ansatz?
Der All-Hazards-Ansatz (Allgefahrenansatz) ist eine Denkweise im Risikomanagement, die alle relevanten Gefahren systematisch einbezieht – nicht nur Cyberangriffe, sondern auch technische Ausfälle wie Hardware-Defekte und Stromausfälle, menschliche Fehler, physische Ereignisse wie Brand oder Wasserschaden sowie den Ausfall von Lieferanten und Dienstleistern. Der Ansatz erweitert damit den Blick von der reinen IT-Sicherheit auf die gesamte betriebliche Widerstandsfähigkeit und bildet das Fundament für eine wirksame Notfallvorsorge.
Ist der All-Hazards-Ansatz bei NIS2 Pflicht?
Ja. Die seit dem 6. Dezember 2025 in Deutschland geltende NIS2-Richtlinie schreibt ausdrücklich vor, dass die Risikomanagement-Maßnahmen betroffener Einrichtungen auf einem All-Hazards-Ansatz beruhen müssen. Wer den Ansatz vernachlässigt, riskiert nicht nur Betriebsausfälle, sondern auch Bußgelder: Bei wesentlichen Einrichtungen drohen bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes, bei wichtigen Einrichtungen bis zu 7 Mio. Euro oder 1,4 Prozent des Umsatzes.
Warum reicht reiner Cyber-Schutz nicht aus?
Reiner Cyber-Schutz greift zu kurz, weil ein Unternehmen erst dann wirklich widerstandsfähig ist, wenn es jede realistische Ausfallursache mitdenkt. Auch Stromausfälle, Brände, Wasserschäden oder der Ausfall von Dienstleistern können kritische Prozesse lahmlegen, ohne dass ein Hacker beteiligt ist. Echte Resilienz nach dem All-Hazards-Ansatz betrachtet deshalb alle Gefahrenkategorien gleichermaßen und sichert sie mit passenden Maßnahmen wie Redundanz, Business Continuity und Notfallplänen ab.