Risikomanagement: ISO 27005 vs. BSI 200-3 im Vergleich
Risikoanalyse für Ihr ISMS: ISO 27005 oder BSI-Standard 200-3? Methoden, Vorgehensweisen und Entscheidungshilfe für Ihr Risikomanagement.
Risikomanagement ist das Herzstück jedes Informationssicherheits-Managementsystems (ISMS). Ohne eine systematische Analyse und Bewertung von Risiken fehlt die Grundlage für fundierte Entscheidungen über Schutzmaßnahmen. Doch welche Methodik ist die richtige? In diesem Artikel vergleichen wir die beiden wichtigsten Ansätze für das Risikomanagement in der Informationssicherheit: ISO/IEC 27005 und den BSI-Standard 200-3. Sie erfahren, wie beide Methoden funktionieren, wo sie sich unterscheiden und wie Sie die passende Vorgehensweise für Ihre Organisation wählen.
Was ist Risikomanagement in der Informationssicherheit?
Risikomanagement in der Informationssicherheit bezeichnet den systematischen Prozess zur Identifikation, Analyse, Bewertung und Behandlung von Risiken, die die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen gefährden können.
Ein Risiko entsteht, wenn eine Bedrohung auf eine Schwachstelle trifft und dadurch ein Schaden eintreten kann. Die Höhe des Risikos ergibt sich aus der Kombination von Eintrittswahrscheinlichkeit und potenziellem Schadensausmaß.
Das Ziel des Risikomanagements ist nicht die vollständige Eliminierung aller Risiken – das wäre weder möglich noch wirtschaftlich sinnvoll. Vielmehr geht es darum, Risiken auf ein für die Organisation akzeptables Niveau zu reduzieren und informierte Entscheidungen über den Umgang mit verbleibenden Risiken zu treffen.
Warum ist Risikomanagement unverzichtbar?
Anforderung aus ISO 27001
ISO 27001 fordert in Klausel 6.1 explizit einen risikobasierten Ansatz. Organisationen müssen Risiken und Chancen bestimmen, die das ISMS beeinflussen können, und einen Prozess zur Risikobeurteilung und -behandlung etablieren. Die Auswahl der Sicherheitsmaßnahmen aus Anhang A muss auf einer dokumentierten Risikoanalyse basieren.
Anforderung aus NIS-2
Das NIS-2-Umsetzungsgesetz nennt in den zehn Mindestmaßnahmen nach § 30 BSIG an erster Stelle „Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme". Risikomanagement ist damit auch gesetzliche Pflicht für alle betroffenen Unternehmen.
Anforderung aus BSI IT-Grundschutz
Der BSI IT-Grundschutz setzt bei der Standard- und Kern-Absicherung eine Risikoanalyse nach BSI-Standard 200-3 voraus. Nur bei der Basis-Absicherung kann zunächst auf eine vollständige Risikoanalyse verzichtet werden.
Wirtschaftlicher Nutzen
Über die Compliance-Anforderungen hinaus bietet systematisches Risikomanagement handfeste wirtschaftliche Vorteile: gezielte Investitionen in Sicherheitsmaßnahmen, Vermeidung von Über- oder Unterabsicherung, fundierte Argumente für Budgetentscheidungen und Nachweis der Sorgfaltspflicht gegenüber Stakeholdern.
Der Risikomanagement-Prozess im Überblick
Unabhängig von der gewählten Methodik folgt Risikomanagement einem etablierten Prozess. Die übergeordnete Norm ISO 31000 definiert einen allgemeinen Rahmen, der auf Informationssicherheit übertragen wird.
Die fünf Kernphasen
| Phase | Beschreibung | Ergebnis |
|---|---|---|
| 1. Kontext etablieren | Rahmenbedingungen, Kriterien und Scope definieren | Risikomanagement-Rahmenwerk |
| 2. Risiken identifizieren | Bedrohungen, Schwachstellen und Assets erfassen | Risikoregister |
| 3. Risiken analysieren | Eintrittswahrscheinlichkeit und Auswirkung bestimmen | Risikobewertung |
| 4. Risiken bewerten | Risiken priorisieren und mit Akzeptanzkriterien abgleichen | Priorisierte Risikoliste |
| 5. Risiken behandeln | Maßnahmen auswählen und umsetzen | Risikobehandlungsplan |
Ergänzt werden diese Phasen durch kontinuierliche Kommunikation und Konsultation sowie regelmäßige Überwachung und Überprüfung.
ISO 27005: Der flexible internationale Standard
Was ist ISO 27005?
ISO/IEC 27005 ist ein Leitfaden (keine zertifizierbare Norm) für das Management von Informationssicherheitsrisiken. Die aktuelle Version aus 2022 ist speziell auf das ISMS nach ISO 27001 zugeschnitten und orientiert sich am allgemeinen Risikorahmen der ISO 31000.
Die Norm beschreibt, wie Risiken systematisch identifiziert, analysiert, bewertet, behandelt, überwacht und kommuniziert werden – ohne jedoch eine spezifische Methodik vorzuschreiben.
Zentrale Merkmale
Methodenoffenheit: ISO 27005 erlaubt qualitative Bewertungen (niedrig/mittel/hoch), semiquantitative Ansätze (Skalenwerte 1-5) oder vollständig quantitative Methoden (monetäre Schadenshöhen). Die Organisation wählt den Ansatz, der zu ihrem Kontext passt.
Asset-basierter Ansatz: Die Risikoidentifikation beginnt bei den schützenswerten Informationswerten (Assets). Für jedes Asset werden Bedrohungen und Schwachstellen ermittelt.
Flexibilität: Die Norm lässt Spielraum bei der Detailtiefe und Formalisierung. Kleine Organisationen können mit einfacheren Verfahren arbeiten als Großunternehmen.
Der ISO 27005-Prozess im Detail
Phase 1 – Kontext etablieren: Hier werden Geltungsbereich, Risikokriterien, Bewertungsskalen und organisatorische Rahmenbedingungen definiert. Die Risikotoleranz der Geschäftsführung wird festgelegt.
Phase 2 – Risikoidentifikation:
- Identifikation der Assets und ihrer Eigentümer
- Ermittlung von Bedrohungen für jedes Asset
- Identifikation von Schwachstellen, die Bedrohungen ausnutzen könnten
- Bestimmung bestehender Kontrollen
Phase 3 – Risikoanalyse: Für jedes identifizierte Risiko wird die Eintrittswahrscheinlichkeit und das potenzielle Schadensausmaß bestimmt. Die Kombination ergibt das Risikoniveau.
Phase 4 – Risikobewertung: Die analysierten Risiken werden mit den definierten Akzeptanzkriterien verglichen und priorisiert. Welche Risiken erfordern sofortiges Handeln? Welche sind akzeptabel?
Phase 5 – Risikobehandlung: Für nicht akzeptable Risiken werden Behandlungsoptionen ausgewählt:
- Vermeiden: Risikoquelle eliminieren (z.B. Dienst abschalten)
- Modifizieren: Risiko durch Maßnahmen reduzieren
- Teilen: Risiko übertragen (z.B. Versicherung)
- Akzeptieren: Risiko bewusst tragen (mit Dokumentation)
Stärken und Grenzen von ISO 27005
Stärken:
- International anerkannt und weit verbreitet
- Hohe Flexibilität bei Methoden und Detailtiefe
- Gute Integration mit ISO 27001
- Skalierbar für unterschiedliche Organisationsgrößen
Grenzen:
- Keine konkreten Gefährdungskataloge enthalten
- Erfordert Expertise bei der Methodenauswahl
- Kann ohne Erfahrung zu inkonsistenten Ergebnissen führen
BSI-Standard 200-3: Der praxisnahe deutsche Ansatz
Was ist BSI 200-3?
Der BSI-Standard 200-3 ist Teil der BSI IT-Grundschutz-Methodik und beschreibt ein strukturiertes Vorgehen zur Risikoanalyse. Er baut auf dem BSI-Standard 200-2 (IT-Grundschutz-Methodik) auf und setzt dessen Anwendung voraus.
Der Standard wurde speziell für den deutschsprachigen Raum entwickelt und bietet konkrete Umsetzungshinweise mit vordefinierten Katalogen.
Zentrale Merkmale
Gefährdungsorientierter Ansatz: BSI 200-3 arbeitet mit einem Katalog von 47 elementaren Gefährdungen, die alle relevanten Bedrohungsszenarien abdecken.
Integration in IT-Grundschutz: Die Risikoanalyse baut auf der Modellierung und den IT-Grundschutz-Checks auf. Bereits umgesetzte Bausteine reduzieren den Analyseaufwand.
Strukturierte Methodik: Der Standard gibt konkrete Schritte und Dokumentationsvorlagen vor, was die Umsetzung erleichtert.
Die 47 elementaren Gefährdungen
Das BSI gruppiert Gefährdungen in Kategorien:
| Kategorie | Beispiele |
|---|---|
| Höhere Gewalt | Feuer, Wasser, Naturkatastrophen |
| Organisatorische Mängel | Fehlende Regelungen, unzureichende Dokumentation |
| Menschliche Fehlhandlungen | Fehlbedienung, Social Engineering |
| Technisches Versagen | Hardware-Defekte, Software-Fehler |
| Vorsätzliche Handlungen | Sabotage, Spionage, Manipulation |
Dieser Katalog deckt die wesentlichen Bedrohungsszenarien ab und kann bei Bedarf um organisationsspezifische Gefährdungen ergänzt werden.
Der BSI 200-3-Prozess im Detail
Schritt 1 – Gefährdungsübersicht erstellen: Für die relevanten Zielobjekte (aus der IT-Grundschutz-Modellierung) wird geprüft, welche elementaren Gefährdungen relevant sind. Zusätzliche, nicht im Katalog enthaltene Gefährdungen werden ergänzt.
Schritt 2 – Risiken einstufen: Jede relevante Gefährdung wird hinsichtlich Eintrittshäufigkeit und Schadenshöhe bewertet. Die Kombination ergibt die Risikokategorie.
Eintrittshäufigkeit:
- Selten (seltener als alle 5 Jahre)
- Mittel (einmal in 1-5 Jahren)
- Häufig (mehrmals pro Jahr)
- Sehr häufig (mehrmals pro Monat)
Schadenshöhe:
- Vernachlässigbar (kaum Auswirkung)
- Begrenzt (überschaubare Auswirkungen)
- Beträchtlich (erhebliche Auswirkungen)
- Existenzbedrohend (Fortbestand gefährdet)
Schritt 3 – Risiken behandeln: Basierend auf der Einstufung werden Behandlungsoptionen ausgewählt:
- Risikovermeidung
- Risikoreduktion durch zusätzliche Maßnahmen
- Risikotransfer
- Risikoakzeptanz
Schritt 4 – Konsolidierung: Die Ergebnisse werden dokumentiert und in das Gesamtsicherheitskonzept integriert.
Stärken und Grenzen von BSI 200-3
Stärken:
- Konkrete Gefährdungskataloge und Umsetzungshinweise
- Praxisnahe Methodik, auch für KMU geeignet
- Gute Integration mit IT-Grundschutz-Kompendium
- Bewährte, vom BSI gepflegte Methodik
Grenzen:
- Setzt Kenntnis des IT-Grundschutzes voraus
- Primär im deutschsprachigen Raum etabliert
- Weniger flexibel als ISO 27005
ISO 27005 vs. BSI 200-3: Der direkte Vergleich
| Kriterium | ISO 27005 | BSI 200-3 |
|---|---|---|
| Typ | Leitfaden (nicht zertifizierbar) | Methodenstandard des BSI |
| Ansatz | Asset-basiert | Gefährdungsbasiert |
| Methodik | Methodenoffenheit | Strukturierte Vorgaben |
| Gefährdungskatalog | Nicht enthalten | 47 elementare Gefährdungen |
| Detailtiefe | Flexibel wählbar | Vorgegeben |
| Voraussetzungen | Keine | BSI-Standard 200-2 |
| Verbreitung | International | DACH-Region |
| Integration | ISO 27001 | IT-Grundschutz-Kompendium |
| Aufwand | Abhängig von Methode | Strukturiert, planbar |
Wann welche Methode wählen?
Die Wahl der Risikomanagement-Methode hängt oft mit der grundsätzlichen Entscheidung für ein ISMS-Framework zusammen. Eine detaillierte Entscheidungshilfe zur Wahl zwischen ISO 27001 und BSI IT-Grundschutz finden Sie im Artikel ISO 27001 vs. BSI IT-Grundschutz: Welcher Standard passt?.
ISO 27005 eignet sich besonders wenn:
- Internationale Anerkennung wichtig ist
- Flexibilität bei der Methodenwahl gewünscht ist
- Bereits ein ISO-27001-ISMS ohne IT-Grundschutz besteht
- Quantitative Risikoanalysen durchgeführt werden sollen
BSI 200-3 eignet sich besonders wenn:
- IT-Grundschutz als Methodik genutzt wird
- Konkrete Anleitungen und Kataloge gewünscht sind
- Ressourcen für Methodenentwicklung begrenzt sind
- Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz angestrebt wird
Kombinationsmöglichkeit
Beide Ansätze schließen sich nicht aus. Der BSI-Standard 200-3 erfüllt die Anforderungen der ISO 27001 an das Risikomanagement. Eine Organisation kann den strukturierten Ansatz des BSI nutzen und gleichzeitig die Terminologie der ISO 27005 verwenden.
Praktische Umsetzung: Risikomanagement einführen
Schritt 1: Rahmenbedingungen klären
Bevor Sie mit der Risikoanalyse beginnen, klären Sie folgende Fragen:
- Welcher Zertifizierungspfad wird angestrebt (ISO 27001 oder IT-Grundschutz)?
- Welche Ressourcen stehen für das Risikomanagement zur Verfügung?
- Welche Risikotoleranz hat die Geschäftsführung?
- Gibt es regulatorische Anforderungen (z.B. NIS-2)? Mit der NIS-2-Betroffenheitsanalyse können Sie dies schnell klären.
Schritt 2: Bewertungskriterien definieren
Legen Sie fest, wie Sie Risiken bewerten wollen:
Beispiel Risikomatrix:
| Vernachlässigbar | Begrenzt | Beträchtlich | Existenzbedrohend | |
|---|---|---|---|---|
| Sehr häufig | Mittel | Hoch | Sehr hoch | Sehr hoch |
| Häufig | Niedrig | Mittel | Hoch | Sehr hoch |
| Mittel | Niedrig | Niedrig | Mittel | Hoch |
| Selten | Niedrig | Niedrig | Niedrig | Mittel |
Definieren Sie auch, welche Risikostufen akzeptabel sind und welche Maßnahmen erfordern.
Schritt 3: Assets oder Zielobjekte erfassen
Identifizieren Sie die schützenswerten Informationswerte:
- Informationen und Daten
- IT-Systeme und Anwendungen
- Geschäftsprozesse
- Standorte und Infrastruktur
- Personal und Know-how
Schritt 4: Bedrohungen und Schwachstellen analysieren
Nutzen Sie den Gefährdungskatalog des BSI oder entwickeln Sie eine eigene Bedrohungsliste. Prüfen Sie für jedes Asset, welche Bedrohungen relevant sind und welche Schwachstellen ausgenutzt werden könnten.
Schritt 5: Risiken bewerten und dokumentieren
Dokumentieren Sie jedes identifizierte Risiko mit:
- Beschreibung des Risikos
- Betroffene Assets
- Bewertung (Wahrscheinlichkeit × Auswirkung)
- Bestehende Kontrollen
- Risikoeigentümer
Schritt 6: Maßnahmen planen
Für Risiken oberhalb der Akzeptanzschwelle:
- Maßnahme auswählen
- Verantwortlichen benennen
- Umsetzungszeitraum festlegen
- Restrisiko nach Umsetzung bewerten
Schritt 7: Regelmäßig überprüfen
Risikomanagement ist keine einmalige Übung. Etablieren Sie einen Zyklus für:
- Jährliche vollständige Überprüfung
- Anlassbezogene Aktualisierung bei Änderungen
- Kontinuierliche Überwachung kritischer Risiken
Typische Fehler vermeiden
Risiken zu abstrakt formulieren
Falsch: „Cyberangriff auf das Unternehmen"
Richtig: „Ransomware-Verschlüsselung des ERP-Systems durch Phishing-Angriff auf Mitarbeiter der Buchhaltung"
Konkrete Formulierungen ermöglichen gezielte Maßnahmen.
Eintrittswahrscheinlichkeit überschätzen
Viele Organisationen bewerten seltene, aber medienwirksame Risiken höher als alltägliche Bedrohungen. Stützen Sie Ihre Einschätzung auf Statistiken und Erfahrungswerte.
Risikoakzeptanz nicht dokumentieren
Bewusst akzeptierte Risiken müssen dokumentiert und von der Geschäftsführung freigegeben werden. Sonst fehlt der Nachweis der informierten Entscheidung.
Risikomanagement als Einmalübung
Ein veraltetes Risikoregister ist wertlos. Integrieren Sie Risikomanagement in Ihre laufenden Prozesse und aktualisieren Sie es regelmäßig.
Werkzeuge und Hilfsmittel
Dokumentation
- Risikoregister (Tabellenkalkulation oder spezialisiertes Tool)
- Risikomatrix zur Visualisierung
- Risikobehandlungsplan
- Statement of Applicability (SoA) für ISO 27001
Spezialisierte Software
Verschiedene GRC-Tools (Governance, Risk, Compliance) unterstützen das Risikomanagement:
- Verinice (Open Source, IT-Grundschutz-orientiert)
- ISMS-Tools verschiedener Anbieter
- Integrierte GRC-Plattformen
Die Wahl des Werkzeugs hängt von der Organisationsgröße und den Anforderungen ab. Für kleine Organisationen reicht oft eine strukturierte Tabellenkalkulation.
Fazit: Risikomanagement als kontinuierlicher Prozess
Risikomanagement ist das Fundament jedes wirksamen ISMS. Ohne systematische Risikoanalyse bleiben Sicherheitsmaßnahmen willkürlich und möglicherweise an den falschen Stellen investiert.
ISO 27005 und BSI 200-3 bieten zwei bewährte Ansätze mit unterschiedlichen Schwerpunkten: ISO 27005 punktet mit Flexibilität und internationaler Anerkennung, BSI 200-3 überzeugt durch Praxisnähe und konkrete Umsetzungshilfen. Beide Methoden erfüllen die Anforderungen der ISO 27001 und können je nach Kontext gewählt oder kombiniert werden.
Entscheidend ist nicht die perfekte Methode, sondern die konsequente Umsetzung: Risiken identifizieren, bewerten, behandeln und regelmäßig überprüfen. Ein gelebtes Risikomanagement macht Informationssicherheit steuerbar und nachvollziehbar.
Ihr nächster Schritt: Beginnen Sie mit der Definition Ihrer Risikobewertungskriterien und der Identifikation Ihrer kritischen Assets. Eine Gap-Analyse kann Ihnen zeigen, wo Ihr aktuelles Risikomanagement steht und welche Lücken zu schließen sind. Wir unterstützen Sie bei der Implementierung – ob ISO 27001 oder BSI IT-Grundschutz. Ein externer ISB kann das Risikomanagement professionell begleiten.