In einem Satz. Der BSI-Standard 200-3 liefert eine vereinfachte Risikoanalyse-Methodik, die immer dann verpflichtend wird, wenn der Schutzbedarf “hoch” oder “sehr hoch” ist, der IT-Grundschutz keinen passenden Baustein bietet oder die Standardanforderungen für den konkreten Einsatzbereich nicht ausreichen — vier Schritte: Gefährdungsübersicht, Risikoeinstufung, Risikobehandlung, Konsolidierung.
200-3 ist die Brücke zwischen pauschaler Grundschutz-Modellierung und individueller Risikobewertung. Wer DSGVO Artikel 32 nachweisen will, kommt bei sensiblen Daten (Gesundheit, Finanzen, KRITIS) ohne 200-3 nicht aus. Für den Methodik-Überblick siehe BSI-Grundschutz-Methodik und DSGVO Artikel 32.
Wichtige Punkte
- BSI 200-3 ist vereinfachte Risikoanalyse, ergänzt 200-2 — keine vollständige ISO/IEC 27005.
- Drei Auslöser: hoher Schutzbedarf, atypische Komponenten, hoher Schutzbedarf trotz Standardanforderungen.
- Elementare Gefährdungen-Katalog (G 0.1 bis G 0.47) als Basis.
- Risikomatrix mit Eintrittswahrscheinlichkeit x Schadenshöhe.
- Vier Behandlungsoptionen: Vermeidung, Reduktion, Transfer, Akzeptanz.
1. Wann ist 200-3 Pflicht?
Drei Auslöser nach BSI-Methodik:
- Schutzbedarf “hoch” oder “sehr hoch” bei einem Zielobjekt
- Kein passender Baustein im IT-Grundschutz-Kompendium
- Einsatzbereich ist atypisch (z.B. besondere Bedrohungslage)
Beispiel: Krankenhaus-IT mit Patientendaten → Schutzbedarf “sehr hoch” Vertraulichkeit → 200-3 Pflicht.
2. Erstellung der Gefährdungsübersicht
Auswahl relevanter Gefährdungen aus dem Katalog der elementaren Gefährdungen (47 Einträge, G 0.1 bis G 0.47). Beispiele:
- G 0.14 Ausspähen von Informationen (Spionage)
- G 0.18 Fehlplanung oder fehlende Anpassung
- G 0.23 Unbefugtes Eindringen in IT-Systeme
- G 0.36 Identitätsdiebstahl
- G 0.40 Verhinderung von Diensten (DoS)
Pro Zielobjekt werden alle einschlägigen Gefährdungen erfasst, ggf. ergänzt durch organisationsspezifische.
3. Risikoeinstufung
Bewertung jeder Gefährdung in zwei Dimensionen:
| Eintrittshäufigkeit | Bedeutung |
|---|---|
| selten | alle 5+ Jahre |
| mittel | alle 1-5 Jahre |
| häufig | mehrmals jährlich |
| sehr häufig | mehrmals monatlich |
| Schadensauswirkung | Bedeutung |
|---|---|
| vernachlässigbar | <10k Euro |
| begrenzt | 10-100k Euro |
| beträchtlich | 100k-1M Euro |
| existenzbedrohend | >1M Euro |
Kombination ergibt vier Risikokategorien: gering, mittel, hoch, sehr hoch.
4. Risikomatrix
| vernachlässigbar | begrenzt | beträchtlich | existenzbedrohend | |
|---|---|---|---|---|
| selten | gering | gering | mittel | hoch |
| mittel | gering | mittel | hoch | hoch |
| häufig | mittel | hoch | hoch | sehr hoch |
| sehr häufig | hoch | hoch | sehr hoch | sehr hoch |
5. Risikobehandlung
Vier Optionen pro Risiko:
- Vermeidung — Aktivität einstellen, Komponente entfernen
- Reduktion — zusätzliche Maßnahmen (Verschlüsselung, MFA, Monitoring)
- Transfer — Cyberversicherung, Outsourcing an zertifizierten Dienstleister
- Akzeptanz — bewusste Restrisikoübernahme mit Begründung und Genehmigung Leitung
Bei “hoch” und “sehr hoch” ist Akzeptanz nur in begründeten Ausnahmefällen zulässig.
6. Konsolidierung im Sicherheitskonzept
Ergänzende Maßnahmen werden in das bestehende Sicherheitskonzept aus 200-2 integriert. Restrisiken werden dokumentiert und von der Leitung formal akzeptiert. Output: aktualisiertes Sicherheitskonzept inklusive Risikoregister.
7. Unterschied zu ISO/IEC 27005
| Aspekt | BSI 200-3 | ISO 27005 |
|---|---|---|
| Komplexität | vereinfacht | vollständig |
| Methodik | qualitativ | qualitativ + quantitativ |
| Voraussetzung | IT-Grundschutz | beliebiges ISMS |
| Zielgruppe | DE-Behörden, KRITIS | international |
200-3 ist pragmatischer, ISO 27005 flexibler — beide sind ISMS-tauglich.
8. Beispiel: Risikoanalyse Webshop
Zielobjekt: Webshop-Anwendung, Schutzbedarf hoch (Kundendaten + Zahlungsdaten).
- G 0.23 Unbefugtes Eindringen → mittel x beträchtlich = hoch → WAF, Pentest, Monitoring
- G 0.40 DoS → häufig x begrenzt = hoch → CDN, Rate-Limiting
- G 0.14 Ausspähen → selten x existenzbedrohend = hoch → Verschlüsselung, Zugriffslogs
9. 200-3 und DSGVO Artikel 32
Artikel 32 verlangt risikobasierte TOMs. Eine dokumentierte 200-3-Analyse liefert genau diesen Nachweis — inkl. Begründung, warum welche Maßnahmen “angemessen” sind. Dies entlastet bei Datenpannen-Meldungen und Aufsichtskontrollen erheblich.
10. Häufige Fehler
- Risikobewertung “aus dem Bauch” ohne Datengrundlage
- Akzeptanz hoher Risiken ohne formale Geschäftsführungsfreigabe
- Vergessene Aktualisierung bei Systemänderungen
- Kein Risikoregister → keine Nachvollziehbarkeit im Audit
11. Tool-Unterstützung
Legiscope führt das Risikoregister, verlinkt es mit DSFA (DSGVO Artikel 35) und TOMs nach Artikel 32 — Single Source of Truth für 200-3-Konformität.
Fazit
200-3 ist die Pflichtkür für Hochrisiko-Werte. Wer sie konsequent dokumentiert, hat im Auditgespräch und bei Aufsichtsanfragen das stärkste Argument: “Wir haben das Risiko analysiert, bewertet, behandelt — hier ist die Doku.”
FAQ
Ist BSI 200-3 verpflichtend für jede Risikoanalyse?
Nein, nur bei IT-Grundschutz-Anwendern mit hohem Schutzbedarf oder Bausteinlücke. Alternativ ISO 27005 oder eigene Methodik.
Wie oft muss 200-3 aktualisiert werden?
Mindestens jährlich und bei wesentlichen Änderungen (neue Systeme, neue Bedrohungslage, Incidents).
Kann ich Restrisiken einfach akzeptieren?
Ja, aber dokumentiert und mit Geschäftsführungsfreigabe. Bei “hoch”/“sehr hoch”-Risiken nur in Ausnahmefällen.
Welche Tools unterstützen 200-3?
verinice, GRC-Plattformen wie Legiscope, spezialisierte ISMS-Tools wie HiScout oder OneTrust.
Reicht 200-3 für eine ISO-27001-Zertifizierung?
In Kombination mit 200-1 und 200-2 ja, im Rahmen einer IT-Grundschutz-basierten ISO-27001-Zertifizierung durch BSI-akkreditierte Auditoren.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial