Der Crunchtime Risikomonitor 2025 zeichnet ein klares Bild: Deutsche Unternehmen sehen sich in einer multiplen Krise aus regulatorischer Flut, Cyberbedrohungen, geopolitischen Spannungen und einem zunehmend schwierigen operativen Umfeld. Die Analyse von 134 Geschäftsberichten der größten börsennotierten Unternehmen aus DAX, MDAX und SDAX zeigt: Noch nie wurden in Risikoberichten so viele Risiken und Bedrohungen gleichzeitig benannt – ein Anstieg um 30 Prozent im Vergleich zum Jahr 2023. Doch während die Risikokapitel überquellen, bleiben viele CEO-Vorworte auffallend risikoscheu.
Regulatorik und Cybercrime: Die Spitzenrisiken 2025
Mit jeweils 98 Prozent Nennung dominieren zwei Themen die Risikolandschaft: Regulatorische Veränderungen und Cyber-Vorfälle. Beide sind seit 2023 deutlich angestiegen. Die wachsende Zahl und Komplexität von EU-Richtlinien, nationalen Gesetzen und branchenspezifischen Auflagen belasten nicht nur Compliance-Abteilungen, sondern auch die strategische Planung. Besonders kritisch wird die Uneinheitlichkeit internationaler Regelungen gewertet, die Wettbewerbsverzerrungen befürchten lässt.
![Abb. 01: Regulatorische Veränderungen, Cyber-Vorfälle und geopolitische Entwicklungen sind die Top 3 Risiken der börsennotierten Unternehmen [Relative Häufigkeit der Top-Risiken in den Risikoberichten (n = 132), Quelle: Crunchtime Risikomonitor 2025]](/fileadmin/_processed_/5/5/csm_Abb-01_Hohenheim_20250605_fc8639c713.png "Abb. 01: Regulatorische Veränderungen, Cyber-Vorfälle und geopolitische Entwicklungen sind die Top 3 Risiken der börsennotierten Unternehmen [Relative Häufigkeit der Top-Risiken in den Risikoberichten (n = 132), Quelle: Crunchtime Risikomonitor 2025]")
Abb. 01: Regulatorische Veränderungen, Cyber-Vorfälle und geopolitische Entwicklungen sind die Top 3 Risiken der börsennotierten Unternehmen [Relative Häufigkeit der Top-Risiken in den Risikoberichten (n = 132), Quelle: Crunchtime Risikomonitor 2025]
Bei den Cyber-Risiken ist eine doppelte Dynamik zu beobachten: Einerseits steigt die Zahl erfolgreicher Angriffe, andererseits nimmt deren Professionalität rasant zu. Unternehmen wie Eckert Ziegler, TeamViewer, KSB oder Nordex berichten offen über konkrete Vorfälle und ihre Reaktionen – ein Indiz für eine wachsende Transparenz im Umgang mit Cyber-Risiken. Gleichzeitig ist die Sorge vor Reputationsverlusten so groß, dass viele Vorstände die Risiken aus der Cyberwelt in ihren Vorworten lieber verschweigen.
Geopolitik, Finanzen und Klima: Die Unsicherheitsfaktoren
Geopolitische Entwicklungen rangieren mit 86 Prozent Nennung auf Rang drei. Ob Ukrainekrieg, Spannungen in Ostasien oder Instabilität im Nahen Osten – die internationale Lage wird von der Mehrzahl der Unternehmen als dauerhaft unsicher und schwer kalkulierbar eingestuft. Bemerkenswert ist dabei: Viele Unternehmen passen ihre Strategien inzwischen aktiv an diese Unsicherheiten an, etwa durch Diversifikation von Lieferketten oder Investitionen in stabile Regionen.
Finanzrisiken haben sich binnen eines Jahres von einem Randthema zu einem der meistgenannten Risiken entwickelt (2023: nicht in Top-Risiken; 2025: 86 Prozent). Insbesondere Wechselkurs- und Zinsrisiken im Zuge globaler makroökonomischer Spannungen rücken in den Fokus. Die Neuregelungen der IFRS tragen zur intensiveren Berichterstattung bei.
Auch der Klimawandel wird inzwischen von 75 Prozent der Unternehmen als Geschäftsrisiko betrachtet. Besonders betroffen sind energie- und rohstoffintensive Branchen, die ihre Betriebsmodelle vor dem Hintergrund von Extremwetter und regulatorischen Klimazielen neu denken müssen.
Operative Risiken: Vom Fachkräftemangel bis zu Compliance-Fallen
Neben externen Risiken rücken auch solche in den Vordergrund, die im eigenen Einflussbereich liegen: Wettbewerb (85 Prozent), Rechts- und Compliance-Risiken (83 Prozent) sowie der Fachkräftemangel (81 Prozent) verzeichnen die größten Zuwächse. Gerade bei Letzterem zeigen Unternehmen jedoch große Diskrepanz zwischen Risikobericht und CEO-Kommunikation: Nur vier Prozent der Vorstände greifen das Thema offen im Vorwort auf. Dabei sind die Herausforderungen offensichtlich: Alternde Belegschaften, Engpässe bei MINT-Berufen, internationale Rekrutierung und kulturelle Integration.
Auch Compliance-Risiken haben deutlich an Bedeutung gewonnen. Unternehmen sehen sich wachsendem Druck durch Kartellbehörden, Datenschutzaufsicht und ESG-Regulierung ausgesetzt. Verstöße könnten nicht nur zu empfindlichen Strafen führen, sondern auch Vertrauen bei Investoren und Kunden zerstören.
Die Rolle der Kommunikation: Schweigen im Vorwort, Klartext im Anhang
Trotz der genannten Entwicklungen bleibt die Risikokommunikation in den Vorworten auffallend dürftig. Im Schnitt nennt ein CEO nur 1,2 Risiken – in über 40 Prozent der Vorworte fehlen explizite Risiken komplett. Der Wunsch, Zuversicht zu vermitteln, überlagert oft die Notwendigkeit zur Transparenz. Das Problem: Die Kluft zwischen dem risikofreien Vorwort und dem risikobeladenen Anhang untergräbt die Glaubwürdigkeit.
![Abb. 02: Geopolitische Entwicklungen, verändertes Kundenverhalten und Wettbewerbsrisiken stehen im Fokus des Managements [Relative Häufigkeit der Top-Risiken in den Vorworten der Vorstandsvorsitzenden (n = 130) | Risiken, die in der Auswertung der Risikoberichte ausgewiesen werden, jedoch in den Vorworten nicht in signifikanter Zahl genannt wurden, werden hier nicht aufgeführt, Quelle: Crunchtime Risikomonitor 2025]](/fileadmin/_processed_/4/0/csm_Abb-02_Hohenheim_20250605_70115de7c7.png "Abb. 02: Geopolitische Entwicklungen, verändertes Kundenverhalten und Wettbewerbsrisiken stehen im Fokus des Managements [Relative Häufigkeit der Top-Risiken in den Vorworten der Vorstandsvorsitzenden (n = 130) | Risiken, die in der Auswertung der Risikoberichte ausgewiesen werden, jedoch in den Vorworten nicht in signifikanter Zahl genannt wurden, werden hier nicht aufgeführt, Quelle: Crunchtime Risikomonitor 2025]")
Abb. 02: Geopolitische Entwicklungen, verändertes Kundenverhalten und Wettbewerbsrisiken stehen im Fokus des Managements [Relative Häufigkeit der Top-Risiken in den Vorworten der Vorstandsvorsitzenden (n = 130) | Risiken, die in der Auswertung der Risikoberichte ausgewiesen werden, jedoch in den Vorworten nicht in signifikanter Zahl genannt wurden, werden hier nicht aufgeführt, Quelle: Crunchtime Risikomonitor 2025]
Johannes Fischer, geschäftsführender Gesellschafter von Crunchtime: "In jedem Fall sollte die Inkonsistenz zwischen Risikobericht und CEO-Vorwort aufgelöst werden. Wenn Risikoberichte überquellen und CEOs zu Risiken schweigen, entsteht ein Bruch, der Vertrauen kostet oder zumindest nahelegt, dass der Geschäftsbericht eher als jährlich fortgeschriebene Chronistenpflicht gesehen wird und nicht als strategisches Kommunikationsinstrument. Es braucht eine konsistente, glaubwürdige Risikokommunikation."
Branchenspezifika: Zwischen Pharma-Sensibilität und Tech-Schweigen
Die Branchenanalyse zeigt deutliche Unterschiede: Chemie, Pharma sowie Bio- und Medizintechnik sind besonders risikosensibel. Hier werden nahezu alle Risiken auf hohem Niveau genannt, vor allem Fachkräfte- und Compliance-Risiken. Versorgungsunternehmen nutzen regulatorische Risiken auffallend häufig zur politischen Positionierung.
Technologieunternehmen wiederum betonen Wettbewerbsrisiken, sind aber in der CEO-Kommunikation besonders still – wohl aus Sorge vor Kursreaktionen oder Reputationsrisiken.
Qualitative versus quantitative Risikobewertung
Überrascht weisen die Autoren darauf hin, dass 90 Prozent der Unternehmen in der Zwischenzeit systematische Bewertungsmodelle wie Risiko-Matrizen oder Punktesysteme nutzen. Dies wird als enormer Fortschritt und Professionalisierung gegenüber den Vorjahren bewertet. Nach Ansicht der Autoren werden Risiken nicht mehr nur erwähnt, sie werden quantifiziert, priorisiert und strukturell eingeordnet.
Diese Aussage steht in einem völligen Gegensatz zu anderen wissenschaftlichen Studien (beispielsweise Köhlbrandt, J. / Gleißner, W. / Günther, T. 2020), die beispielsweise zu dem Ergebnis kommen, dass nur 52,8 Prozent der DAX-/MDAX-Unternehmen Risiko quantifizieren und lediglich 22,9 Prozent Risiken systematisch und methodisch korrekt aggregieren. Die wünschenswerte und im IDW PS 340 geforderte Aggregation über mehrere Planjahre ist in den Risikoberichten nur bei zwei Unternehmen (2,8 Prozent) ersichtlich. Die Autoren Köhlbrandt/Gleißner/Günther äußern bei der überwiegenden Mehrheit der Unternehmen erhebliche Zweifel, ob diese tatsächlich "bestandsgefährdende Entwicklungen" früh erkennen können.
In einer Aussage liegen die Autoren der Studie "Risiko-Monitor 2025" völlig neben der Wahrheit. Auf Seite 15 führen sie aus: "9 % der Unternehmen beschreiben Risiken lediglich qualitativ und geben keinen detaillierten Einblick in ihre Risikobewertung. Beispiele für eine rein textliche Risikodarstellung sind: Airbus, Continental, Deutsche Bank."
Doch gerade die Deutsche Bank sollte als ein positives Beispiel für eine transparente Risikoberichterstattung betrachtet werden. Auf mehr als 150 Seiten findet der Leser detaillierte und quantitative Informationen zum Risiko- und Kapitalrahmenwerk, zur Risiko- und Kapitalperformance, zu den Risikopositionswerten des Marktrisikos aus Handelsaktivitäten und Nichthandelsaktivitäten, zum Risikopositionswert des operationellen Risikos und des Liquiditätsrisikos. Und auf Seite 149 findet der interessierte Leser eine kompakte und transparente Übersicht zur "Ökonomischen Kapitaladäquanz", die auf einer Aggregation der Risiken und einem Vergleich mit dem Risikodeckungspotenzial basiert. Im DAX-Bereich gibt es nur wenige Unternehmen (vor allem Banken und Versicherungen), die so transparent und quantitativ über ihre Risiken berichten. Wer hier von einer "rein textlichen Risikodarstellung" spricht, hat den 818 Seiten umfassenden Geschäftsbericht 2024 nicht gelesen.
Risikoberichte als Spiegel unternehmerischer Resilienz
Der Crunchtime Risikomonitor 2025 zeigt: Unternehmen nehmen Risiken ernster, systematischer und breiter wahr als je zuvor. Doch zwischen Erkennen und Handeln, zwischen Analyse und Kommunikation klafft eine Lücke. Wer Risiken offen anspricht, kann sich als vorausschauend und verantwortungsvoll positionieren. Wer hingegen nur beruhigt, verspielt Vertrauen.
Die Risikokommunikation von morgen muss beides leisten: Transparenz und Steuerungsstärke. Nur so wird der Geschäftsbericht zum strategischen Instrument in unsicheren Zeiten – und nicht zur bloßen Chronistenpflicht.
Download Studie "Risiko-Monitor 2025"
Weiterführende Literaturhinweise:
- Köhlbrandt, J. / Gleißner, W. / Günther, T. (2020): Umsetzung gesetzlicher Anforderungen an das Risikomanagement in DAX- und MDAX-Unternehmen. Eine empirische Studie zur Erfüllung der gesetzlichen Anforderungen nach den §§ 91 und 93 AktG, in: Corporate Finance, Heft 7-8/2020, S. 248-258.
