Das Schadensausmaß (auch Impact) beschreibt die Schwere der Auswirkungen, die ein Sicherheitsvorfall auf die Organisation haben kann. In der Risikomatrix bildet es eine der beiden Achsen, typischerweise in fünf Stufen von vernachlässigbar bis existenzbedrohend. Bewertet werden finanzielle Verluste, Reputationsschäden, regulatorische Konsequenzen und Betriebsunterbrechungen. Du solltest die Stufen klar definieren und mit konkreten Beispielen hinterlegen, damit verschiedene Bewerter zu einheitlichen Einschätzungen kommen. Im ISMS nach ISO 27001 ist das Schadensausmaß ein zentrales Element der Risikoanalyse.