BSI-Standard 200-3: Risikoanalyse auf Basis IT-Grundschutz | SECURAM

RMS · BSI-Standard 200-3

BSI 200-3 Beratung: Risikoanalyse für Ihr ISMS

BSI-Standard 200-3 beschreibt die ergänzende Risikoanalyse auf Basis von IT-Grundschutz. Die Methodik greift dort, wo die Standard-Absicherung nach BSI 200-2 nicht ausreicht: bei Zielobjekten mit hohem oder sehr hohem Schutzbedarf. SECURAM führt die Gefährdungsmodellierung durch, bewertet Risiken und leitet Maßnahmen ab. Von der Erstanalyse bis zum laufenden Betrieb mit RMaaS.

Erstgespräch vereinbaren Leistungsumfang ↓

200-3 Risk Analysis

Ausgangslage

Warum die Standard-Absicherung allein nicht reicht

BSI 200-3 schließt die Lücke zwischen IT-Grundschutz und erhöhtem Schutzbedarf.

Die IT-Grundschutz-Methodik nach BSI 200-2 arbeitet mit vordefinierten Bausteinen und Maßnahmenempfehlungen. Für den Normalfall der Standard-Absicherung reicht dieser Ansatz aus. Sobald einzelne Zielobjekte einen hohen oder sehr hohen Schutzbedarf aufweisen, fehlt der Standard-Absicherung jedoch die Tiefe: Die Baustein-Maßnahmen decken zwar typische Gefährdungen ab, berücksichtigen aber nicht die spezifischen Risiken, die aus dem erhöhten Schutzbedarf resultieren.

BSI-Standard 200-3 füllt diese Lücke mit einer strukturierten Risikoanalyse. Die Methodik nutzt die Kreuzreferenztabellen des IT-Grundschutz-Kompendiums, die jedem Baustein die zugehörigen Gefährdungen zuordnen, und ergänzt sie um organisationsspezifische Gefährdungen. In unseren Projekten sehen wir, dass viele Organisationen die Schutzbedarfsfeststellung korrekt durchführen, die nachgelagerte Risikoanalyse nach BSI 200-3 aber entweder auslassen oder nur oberflächlich umsetzen. Bei KRITIS-Betreibern kann diese Lücke bei Audits nach §8a BSIG zum Problem werden.

Die Methodik aus BSI 200-3 ist komplementär zur internationalen ISO 27005. Während ISO 27005 methodisch offener ist und Asset-basierte oder Szenario-basierte Ansätze erlaubt, arbeitet BSI 200-3 präskriptiver mit den vordefinierten Gefährdungskatalogen des BSI. Organisationen, die bereits im IT-Grundschutz-Kontext arbeiten, profitieren von der direkten Integration beider Standards. SECURAM berät an dieser Schnittstelle und integriert beide Methoden in ein konsistentes Risikomanagement.

Leistungsumfang

BSI 200-3: Von der Gefährdungsmodellierung bis zum Betrieb

Sechs Leistungsbausteine decken die ergänzende Risikoanalyse nach BSI 200-3 ab.

Schutzbedarfsfeststellung

Überprüfung der Schutzbedarfsfeststellung aus der IT-Grundschutz-Modellierung. Identifikation der Zielobjekte mit hohem oder sehr hohem Schutzbedarf, für die eine ergänzende Risikoanalyse erforderlich ist.

Gefährdungsübersicht

Erstellung der Gefährdungsübersicht auf Basis der Kreuzreferenztabellen des IT-Grundschutz-Kompendiums. Zuordnung der relevanten Gefährdungen zu den identifizierten Zielobjekten mit erhöhtem Schutzbedarf.

Zusätzliche Gefährdungen

Ermittlung organisationsspezifischer Gefährdungen, die über die Standardkataloge des BSI hinausgehen. Berücksichtigung branchenspezifischer Bedrohungsszenarien und aktueller Gefährdungslagen.

Risikobewertung

Bewertung von Eintrittswahrscheinlichkeit und Schadenshöhe für jede identifizierte Gefährdung. Priorisierung der Risiken und Entscheidung über Risikobehandlungsoptionen durch die Geschäftsleitung.

Maßnahmenableitung

Ableitung zusätzlicher Sicherheitsmaßnahmen über die Baustein-Empfehlungen hinaus. Dokumentation im IT-Grundschutz-Kontext und Integration in den bestehenden Maßnahmenplan.

RMaaS-Übergang

Strukturierte Übergabe an den laufenden Betrieb im RMaaS-Modell. Der externe Risikomanager aktualisiert die Risikoanalyse bei neuen Kompendiums-Versionen und veränderten Gefährdungslagen.

Ablauf

Risikoanalyse nach BSI 200-3 in 5 Phasen

Gefährdungsübersicht erstellen

Woche 1–2

Zusammenstellung der relevanten Gefährdungen aus den Kreuzreferenztabellen des IT-Grundschutz-Kompendiums für alle Zielobjekte mit erhöhtem Schutzbedarf. Abstimmung mit dem IT-Grundschutz-Verantwortlichen.

Ergebnis: Gefährdungsübersicht, Zielobjekt-Liste

Zusätzliche Gefährdungen ermitteln

Woche 3–4

Identifikation organisationsspezifischer und branchenspezifischer Gefährdungen, die über die BSI-Standardkataloge hinausgehen. Interviews mit Fachverantwortlichen und Analyse aktueller Bedrohungslagen.

Ergebnis: Erweiterte Gefährdungsübersicht

Gefährdungen bewerten

Woche 4–6

Bewertung von Eintrittswahrscheinlichkeit und Schadenshöhe für jede Gefährdung. Erstellung der Risikomatrix und Identifikation der Risiken, die eine zusätzliche Behandlung erfordern.

Ergebnis: Risikomatrix, priorisierte Gefährdungsliste

Risikobehandlung und Maßnahmenableitung

Woche 6–9

Auswahl der Risikobehandlungsoptionen und Ableitung konkreter Maßnahmen über die Baustein-Empfehlungen hinaus. Management-Genehmigung der Restrisiko-Akzeptanz und Integration in den IT-Grundschutz-Maßnahmenplan.

Ergebnis: Risikobehandlungsplan, Maßnahmenliste

Konsolidierung und RMaaS-Übergang

Fortlaufend

Zusammenführung der Risikoanalyse-Ergebnisse mit der IT-Grundschutz-Dokumentation. Übergabe an den laufenden Betrieb im RMaaS-Modell für kontinuierliche Aktualisierung bei neuen Kompendiums-Versionen.

Ergebnis: Konsolidierte Dokumentation, Review-Kalender

Zeitangaben beziehen sich auf ein Erstprojekt im Mittelstand (100–500 Mitarbeiter). Bei bestehenden Managementsystemen oder erfahrenen Organisationen verkürzen sich die Phasen entsprechend.

Erfahrung und Qualifikation

Worauf SECURAM aufbaut

SECURAM Consulting wurde in Hamburg gegründet und berät seit mehr als 20 Jahren mittelständische Unternehmen in der DACH-Region. Die Kombination aus ISMS, BCMS, KI-Governance und Risikomanagement unter einem Dach unterscheidet SECURAM von spezialisierten Einzelnorm-Beratungen, weil Überschneidungen zwischen Standards systematisch genutzt werden.

30+

Implementierte Managementsysteme

50+

Durchgeführte interne Audits

15+

Betreute Organisationen (aaS)

20+

Jahre Beratungserfahrung

Skalierung

Vom IT-Grundschutz zur internationalen RM-Methodik

BSI 200-3 als nationale Methodik ergänzt den internationalen ISO-27005-Ansatz.

Organisationen, die beide Methoden beherrschen, erfüllen sowohl internationale als auch nationale Anforderungen an Risikomanagement und reduzieren den Aufwand bei NIS-2 und DORA.

Weitere Standards in der RMS-Säule

MaRisk

Laufender Betrieb

RMaaS — Externer Risikomanager

Nach Abschluss der BSI-200-3-Risikoanalyse übernimmt das RMaaS-Modell den laufenden Betrieb. Ein externer Risikomanager aktualisiert die Risikoanalyse bei neuen Versionen des IT-Grundschutz-Kompendiums, veränderten Gefährdungslagen und organisatorischen Änderungen.

BSI 200-3 verlangt eine regelmäßige Überprüfung der Risikoanalyse. Das RMaaS-Modell stellt diese Kontinuität sicher und integriert neue Bausteine und Gefährdungen aus dem BSI-Kompendium in die bestehende Analyse.

Risikoanalyse-Aktualisierung bei Kompendiums-Updates
Gefährdungsmonitoring und Neubewertung
Management-Reporting und Review-Vorbereitung
KRITIS-Nachweisdokumentation nach §8a BSIG

Mehr zu RMaaS →

SECURAM Consulting ist Mitglied der BSI-Allianz für Cybersicherheit, bei ISACA, Bitkom, der IHK Kiel und im Netzwerk Hamburg@work.

Häufige Fragen

FAQ — BSI 200-3

+ Was ist BSI-Standard 200-3?

BSI-Standard 200-3 beschreibt die Risikoanalyse auf Basis von IT-Grundschutz. Der Standard ergänzt BSI 200-2 (IT-Grundschutz-Methodik) um eine systematische Risikoanalyse für Zielobjekte mit erhöhtem Schutzbedarf. Während die Standard-Absicherung nach BSI 200-2 auf vordefinierten Bausteinen basiert, ermöglicht BSI 200-3 eine vertiefte Analyse einzelner Zielobjekte, bei denen die Standard-Absicherung nicht ausreicht.

+ Wann brauche ich BSI 200-3?

BSI 200-3 wird dann relevant, wenn die Standard-Absicherung nach BSI 200-2 für einzelne Zielobjekte nicht ausreicht. Das ist typischerweise der Fall bei Systemen mit hohem oder sehr hohem Schutzbedarf, bei kritischen Geschäftsprozessen und bei KRITIS-relevanten Infrastrukturen. Die Schutzbedarfsfeststellung im Rahmen der IT-Grundschutz-Modellierung identifiziert die Zielobjekte, für die eine ergänzende Risikoanalyse nach BSI 200-3 erforderlich ist.

+ Was kostet die BSI-200-3-Beratung?

Der Beratungsaufwand richtet sich nach der Anzahl der Zielobjekte mit erhöhtem Schutzbedarf und dem Reifegrad der bestehenden IT-Grundschutz-Implementierung. Typischerweise umfasst eine ergänzende Risikoanalyse nach BSI 200-3 fünf bis zehn Personentage als Teil eines IT-Grundschutz-Projekts. Im Erstgespräch schätzt SECURAM den konkreten Aufwand auf Basis der identifizierten Zielobjekte.

+ Wie hängen BSI 200-3 und ISO 27005 zusammen?

BSI 200-3 und ISO 27005 sind komplementäre Methoden für Informationssicherheits-Risikomanagement. BSI 200-3 arbeitet im Kontext von IT-Grundschutz mit vordefinierten Gefährdungskatalogen und Kreuzreferenztabellen, ist also präskriptiver. ISO 27005 ist der internationale Leitfaden mit methodischer Offenheit und eignet sich für Organisationen, die nicht im IT-Grundschutz-Kontext arbeiten. Beide Methoden erfüllen die Risikomanagement-Anforderungen aus ISO 27001 Abschnitt 6.1.

+ Was unterscheidet SECURAM bei BSI 200-3?

SECURAM verbindet BSI-200-3-Beratung mit der Integration in die RMS-Säule und bietet damit eine Perspektive, die über den reinen IT-Grundschutz-Kontext hinausgeht. Die Kombination aus BSI 200-3, ISO 27005 und MaRisk-Kompetenz ermöglicht integrierte Risikoanalysen über verschiedene Regelwerke hinweg. Das RMaaS-Modell sichert nach der Implementierung den laufenden Betrieb als externer Risikomanager.

+ Was ist eine Gefährdungsmodellierung?

Die Gefährdungsmodellierung ist der zentrale Schritt in BSI 200-3. Für jedes Zielobjekt mit erhöhtem Schutzbedarf werden systematisch relevante Gefährdungen identifiziert. Das BSI stellt dafür Gefährdungskataloge bereit, die an die Bausteine des IT-Grundschutz-Kompendiums gekoppelt sind. Die Kreuzreferenztabelle ordnet jedem Baustein die zugehörigen Gefährdungen zu. Zusätzlich werden organisationsspezifische Gefährdungen ermittelt, die über die Standardkataloge hinausgehen.

+ Brauche ich BSI 200-3 für KRITIS?

Für KRITIS-Betreiber ist eine ergänzende Risikoanalyse nach BSI 200-3 in der Regel erforderlich. §8a BSIG fordert angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen. Bei kritischen Infrastrukturen liegt der Schutzbedarf typischerweise im Bereich hoch oder sehr hoch, sodass die Standard-Absicherung nach BSI 200-2 allein nicht ausreicht. Die Risikoanalyse nach BSI 200-3 dokumentiert den erhöhten Schutzbedarf und die daraus abgeleiteten Maßnahmen nachweisbar.

+ Was ist RMaaS?

RMaaS steht für Risikomanagement as a Service. SECURAM übernimmt die Rolle des externen Risikomanagers und kümmert sich um Risikoregister-Pflege, regelmäßige Risikobewertungen, Management-Reporting und die Integration neuer Gefährdungsszenarien aus dem BSI-Kompendium. Das Modell eignet sich für Organisationen, die kein eigenes RM-Team aufbauen oder ihre bestehende Funktion durch externe Expertise ergänzen möchten.

Risikoanalyse nach BSI 200-3 durchführen

Sprechen Sie mit unseren Beraterinnen über Gefährdungsmodellierung, Risikobewertung und IT-Grundschutz-Integration.

Erstgespräch vereinbaren →

Nächster Schritt

Ihr Einstieg in BSI 200-3

GAP-Analyse

BSI 200-3 GAP-Analyse

Wie vollständig ist Ihre ergänzende Risikoanalyse? Die GAP-Analyse bewertet Ihre bestehende Methodik gegen die BSI-200-3-Anforderungen und identifiziert fehlende Zielobjekt-Analysen.

GAP-Analyse anfragen →

Internes Audit

Risikoanalyse-Audit

Prüfung der bestehenden Risikoanalyse auf Vollständigkeit und Nachvollziehbarkeit. Das Audit bewertet die Methodik, die Gefährdungsabdeckung und die Dokumentationsqualität.

Audit anfragen →

Implementierung

BSI 200-3 implementieren

Durchführung der vollständigen ergänzenden Risikoanalyse nach BSI 200-3. Von der Gefährdungsmodellierung über die Risikobewertung bis zur Maßnahmenableitung.

Implementierung anfragen →