- Bedeutung
- Beinahe-Vorfall ohne Schaden
- Nutzen
- Frühwarnsignal für Schwachstellen
- Reaktion
- Auswerten, Lücke schließen
- Verwandt
- Incident, Schwachstellen
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was ist ein Near Miss?
Ein Near Miss (Beinahe-Vorfall) ist ein Ereignis, bei dem es fast zu einem Incident gekommen wäre, der Schaden aber ausgeblieben ist – sei es durch eine vorhandene Schutzmaßnahme oder schlicht durch Glück. Ein typisches Beispiel ist eine geöffnete Phishing-Mail, deren Anhang zufällig nicht ausgeführt wurde, oder ein Angreifer, der an einer aktuell gehaltenen Firewall scheiterte. Der entscheidende Unterschied zum Incident: Es gab keine tatsächliche Beeinträchtigung der Sicherheit – und damit auch keine NIS2-Meldepflicht.
Warum Near Misses wertvoll sind
Beinahe-Vorfälle sind kostenlose Frühwarnsignale: Wer sie auswertet, erkennt Schwachstellen und Prozesslücken, bevor echter Schaden entsteht. In sicherheitskritischen Branchen wie der Luftfahrt ist die konsequente Meldung von Beinahe-Vorfällen seit Jahrzehnten Standard, weil sie weit häufiger auftreten als echte Schadensfälle und so ein viel dichteres Lernfeld bieten. Übertragen auf die Cybersicherheit liefert jeder dokumentierte Near Miss konkrete Hinweise, wo Kontrollen nachgeschärft werden müssen.
Wie man mit ihnen umgeht
Entscheidend ist eine offene Meldekultur, in der Beinahe-Vorfälle gemeldet statt aus Angst vor Konsequenzen verschwiegen werden. Jeder Near Miss wird über einen einfachen Meldeweg erfasst, dokumentiert, ausgewertet und führt – wo nötig – zu einer konkreten Verbesserung, etwa einer technischen Maßnahme oder einer Awareness-Schulung. Schuldzuweisungen sind kontraproduktiv, weil sie genau die Offenheit ersticken, die das System braucht.
Near Miss und NIS2
Die systematische Auswertung von Near Misses gehört zur kontinuierlichen Verbesserung, die ein ISMS und das Risikomanagement unter NIS2 (in Kraft seit 06.12.2025) anstreben. Auch wenn Near Misses selbst nicht meldepflichtig sind, senkt ihre konsequente Bearbeitung die Wahrscheinlichkeit meldepflichtiger Vorfälle. Konkret: Ein Mitarbeiter klickt auf einen Phishing-Link, doch die Multi-Faktor-Authentifizierung verhindert die Kontoübernahme. Statt das Ereignis abzuhaken, erfasst das Team es als Near Miss, erkennt, dass eine ganze Abteilung auf die Kampagne hereinfiel – und zieht eine gezielte Schulung sowie strengere Mail-Filter nach.
Weiterführende Quelle: ISO/IEC 27001 – Informationssicherheits-Managementsysteme (ISO)
Häufige Fragen
Was ist ein Near Miss?
Ein Near Miss ist ein Beinahe-Vorfall, der fast zu einem Sicherheitsvorfall geworden wäre, aber ohne Schaden blieb – etwa weil eine Schutzmaßnahme griff oder schlicht aus Glück. Ein typisches Beispiel ist eine geöffnete Phishing-Mail, deren Anhang nicht ausgeführt wurde. Anders als ein echter Incident löst ein Near Miss keine NIS2-Meldepflicht aus, weil es keine tatsächliche Beeinträchtigung der Sicherheit gab.
Warum sollte man Near Misses erfassen?
Near Misses sind kostenlose Frühwarnsignale: Wer Beinahe-Vorfälle systematisch erfasst und auswertet, erkennt Schwachstellen und Prozesslücken, bevor daraus ein echter Vorfall mit Schaden und Meldepflicht entsteht. In der Luftfahrt ist die Meldung von Beinahe-Vorfällen seit Jahrzehnten Standard, weil sie weit häufiger auftreten als echte Schadensfälle und so ein dichteres Lernfeld bieten. Das senkt das Gesamtrisiko spürbar.
Was braucht es dafür?
Vor allem braucht es eine offene Meldekultur ohne Schuldzuweisungen, in der Beinahe-Vorfälle gemeldet statt aus Angst verschwiegen werden, sowie einen einfachen Meldeweg und einen Prozess, der jeden Near Miss dokumentiert, auswertet und in konkrete Verbesserungen überführt – etwa eine technische Maßnahme oder eine Awareness-Schulung. Schuldzuweisungen sind kontraproduktiv, weil sie genau die Offenheit ersticken, die das System braucht.