§30 Risikoanalyse-Workflow für NIS2

Security
NIS2-Praxis Serie · Teil 1 von 6

§30 Risikoanalyse-Workflow für NIS2

Methodik, Templates und Tool-Stack für ein revisionssicheres Risikoregister

§ 30 BSIG-neu beginnt mit dem Wort „Risikoanalyse“. Ohne dokumentierte Risikoanalyse ist alles, was danach kommt, bloße Behauptung. Für BSI-Prüfer ist das das erste Dokument, das auf den Tisch kommt – und gleichzeitig das, an dem die meisten Unternehmen scheitern. Dieser Artikel zeigt einen pragmatischen Workflow, der ohne Beraterheer auskommt und trotzdem auditierbar ist.

Was § 30 konkret verlangt

Der Paragraph fordert „geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen“ – auf Basis eines gefahrenübergreifenden Ansatzes. Im Klartext: Erst die Risiken kennen, dann passende Maßnahmen ableiten. Die Bewertung muss regelmäßig aktualisiert werden, mindestens jährlich und nach jedem erheblichen Vorfall.

Anlehnung an etablierte Standards
Das BSI legt sich nicht auf eine Methode fest, akzeptiert aber explizit BSI IT-Grundschutz (Risikoanalyse nach BSI-Standard 200-3), ISO/IEC 27005 und NIST SP 800-30. Für den deutschen Mittelstand ist BSI 200-3 die naheliegende Wahl – deutschsprachig, kostenlos, BSI-konform.

Der vierstufige Workflow

Risikoanalyse muss kein Sechsmonatsprojekt sein. Für einen typischen Mittelständler mit 50–500 Mitarbeitern reicht ein strukturiertes Vorgehen in vier Phasen, das in drei bis vier Arbeitswochen einen ersten vollwertigen Stand erzeugt.

Phase 1 · Asset-Inventur Welche IT-Assets gibt es, wer ist verantwortlich, welche Daten sind im Spiel?
Phase 2 · Bedrohungsanalyse Welche Bedrohungen sind realistisch? Standard-Bedrohungskatalog des BSI als Basis.
Phase 3 · Risikobewertung Eintrittswahrscheinlichkeit × Schadenshöhe → Risiko-Matrix mit Priorisierung.
Phase 4 · Maßnahmenkatalog Für jedes Risiko: vermeiden, mindern, übertragen oder akzeptieren – mit Verantwortlichem und Termin.

Phase 1: Asset-Inventur

Ein vollständiges, aktuelles Asset-Inventar ist der häufigste Stolperstein. Niemand weiß auf Anhieb, wie viele Server, Anwendungen, Datenbanken und Cloud-Dienste im Einsatz sind. Für die NIS2-Risikoanalyse ist eine grobgranulare Liste ausreichend – pro Asset reichen folgende Spalten:

Asset-ID Eindeutiger Schlüssel (z. B. SRV-DC01, APP-ERP-PROD)
Typ Server, Anwendung, Datenbank, Netz, Cloud-Dienst, Endgerät
Verantwortlich Person / Rolle
Schutzbedarf Normal / Hoch / Sehr hoch – in den Kategorien Vertraulichkeit, Integrität, Verfügbarkeit
Datenkategorie Personenbezogen, Geschäftsgeheimnis, öffentlich
Standort On-Premise / Cloud / Hybrid, ggf. Region
Pragma-Tipp für KMU
Eine sauber gepflegte Excel-Tabelle mit diesen sechs Spalten ist völlig ausreichend für den Start. Die teuren GRC-Plattformen rechnen sich erst ab vierstelliger Assetzahl. Was wirklich zählt: Die Tabelle muss jemandem gehören und mindestens quartalsweise aktualisiert werden.

Phase 2: Bedrohungsanalyse

Für jedes Asset werden relevante Bedrohungen zugeordnet. Das BSI publiziert mit dem Bausteinkatalog des IT-Grundschutz-Kompendiums über 47 Bausteine mit insgesamt mehreren hundert vordefinierten Gefährdungen. Für den Mittelstand reicht eine pragmatische Auswahl auf die wichtigsten 15–20 Bedrohungskategorien:

  • Ransomware / Crypto-Trojaner
  • Phishing und Social Engineering
  • Insider-Bedrohung (vorsätzlich oder fahrlässig)
  • Schwachstellen in Software (ungepatchte CVEs)
  • Schwache oder kompromittierte Authentifizierung
  • Misskonfiguration (Cloud, AD, Firewall)
  • DDoS-Angriffe
  • Lieferketten-Kompromittierung
  • Datendiebstahl über kompromittierte Accounts
  • Hardware-Ausfall ohne Redundanz
  • Backup-Verlust / Backup-Korruption
  • Brand, Wasser, Stromausfall
  • Verlust mobiler Endgeräte
  • Schatten-IT / unautorisierte Cloud-Dienste
  • Verlust von Schlüsselpersonal

Phase 3: Die Risiko-Matrix

Jede Asset-Bedrohung-Kombination wird auf zwei Dimensionen bewertet: Eintrittswahrscheinlichkeit und Schadenshöhe. Eine 4×4-Matrix ist für KMU ausreichend, eine 5×5-Matrix nuancierter. Wichtig: Die Bewertungs-Skalen müssen schriftlich definiert sein, sonst kommt jedes Audit-Gespräch ins Stolpern.

Eintrittswahrscheinlichkeit (Beispiel-Definition)
1 · Selten Weniger als alle 5 Jahre zu erwarten
2 · Möglich Einmal in 2–5 Jahren
3 · Wahrscheinlich Mindestens einmal im Jahr
4 · Häufig Mehrfach pro Jahr / kontinuierlich
Schadenshöhe (Beispiel-Definition)
1 · Gering < 10.000 € Schaden, kein Betriebsausfall über 1 Tag
2 · Spürbar 10.000–100.000 €, bis 1 Woche Ausfall einzelner Systeme
3 · Erheblich 100.000–1 Mio. €, Kernprozesse 1–2 Wochen beeinträchtigt
4 · Existenzgefährdend > 1 Mio. €, Reputationsverlust, regulatorische Verfahren

Das Produkt aus beiden Achsen ergibt den Risiko-Score. Werte ab 9 (z. B. Wahrscheinlich × Erheblich) sind nicht akzeptabel und brauchen zwingend eine Behandlung. Werte zwischen 4 und 8 werden mit Maßnahmen reduziert. Werte unter 4 können meist akzeptiert werden – dokumentiert, mit Begründung.

Phase 4: Maßnahmenkatalog

Pro Risiko entscheidet die Geschäftsleitung über eine der vier Risikostrategien. Wichtig: Diese Entscheidung muss dokumentiert sein, idealerweise mit Unterschrift.

Vermeiden Aktivität einstellen, die das Risiko verursacht
Mindern Technische oder organisatorische Maßnahmen umsetzen
Übertragen Cyber-Versicherung, Outsourcing mit SLA
Akzeptieren Risiko bewusst tragen, schriftlich begründet

Datengrundlage: Wo die Tools helfen

Eine Risikoanalyse ist nur so gut wie die zugrundeliegende Datenbasis. Wer behauptet, ein Risiko sei „niedrig“, weil „wir alle Patches eingespielt haben“, sollte das belegen können. Hier kommen die technischen Audit-Tools ins Spiel:

Bedrohung Ransomware
Datengrundlage		 ISW CVE Vulnerability Scanner für aktuelle Schwachstellen, ISW Windows Patch Compliance Analyzer für Patch-Stand
Bedrohung Misskonfiguration AD
Datengrundlage		 ISW GPO Analyzer Pro mit BSI-Mapping, ISW AD ACL Auditor für Berechtigungen
Bedrohung schwache Authentifizierung
Datengrundlage		 ISW Kerberos Audit Analyzer, ISW NTLM Event Analyzer, ISW SMB Security Analyzer
Bedrohung Insider
Datengrundlage		 ISW Windows Live-Ereignismonitor für kontinuierliche Überwachung privilegierter Aktionen
Häufiger Fehler
Risikoanalyse als einmaliges Projekt behandeln. Ein Risikoregister, das vor 18 Monaten erstellt und seitdem nicht aktualisiert wurde, ist nicht nur wertlos – es ist im Auditgespräch schlimmer als gar kein Register, weil es dokumentiert, dass Risikomanagement nicht gelebt wird. Mindestens quartalsweise reviewen, jährlich vollumfänglich aktualisieren.

Das Mindest-Dokumentenset

Für das BSI-Auditgespräch sollten am Ende dieses Workflows folgende Dokumente vorliegen:

  • Risikomanagement-Richtlinie – 2–3 Seiten, von der Geschäftsleitung unterzeichnet, mit Skalen-Definitionen
  • Asset-Inventar – aktuelle Excel/CSV mit Datum der letzten Aktualisierung
  • Risikoregister – pro Eintrag: Asset, Bedrohung, Bewertung, Strategie, Maßnahme, Verantwortlicher, Termin, Status
  • Maßnahmenplan – Status der Umsetzung, mit Zeitstempeln
  • Audit-Reports der technischen Tools als Anlagen (CVE-Status, Patch-Stand, AD-ACL, GPO-Compliance)
Fazit Teil 1
Die NIS2-Risikoanalyse ist keine Doktorarbeit, sondern ein strukturierter Prozess, der mit Excel und einer Handvoll guter Tools in wenigen Wochen aufgebaut werden kann. Entscheidend sind drei Punkte: dokumentierte Skalen-Definitionen, vollständiges Asset-Inventar und ein Risikoregister mit Verantwortlichkeiten und Terminen. Wer diese drei Bausteine sauber hat, hat die Grundlage für alle weiteren NIS2-Pflichten. Im nächsten Teil schauen wir uns die konkrete technische Umsetzung der zehn § 30-Maßnahmen am Beispiel von Active Directory an.
Nächster Teil
Tier-Modell, LAPS, NTLM-Restriction, Kerberos-AES, LDAP Channel Binding
© IT-Service Walter · Der Windows Papst · der-windows-papst.de