Risikomanagement nach §30 BSIG: Was Unternehmen wirklich führen müssen
§30 BSIG wird oft als Einkaufsliste für Security-Maßnahmen gelesen: zehn Punkte, abhaken, fertig. So funktioniert die Norm nicht. Maßgeblich ist nicht, ob ein Unternehmen Werkzeuge besitzt. Maßgeblich ist, ob ein Unternehmen seine Risiken erkennt, priorisiert, behandelt, überprüft und dokumentiert.
Der praktische Kern liegt in der Kette: Risiko → Maßnahme → Owner → Nachweis → Review → Entscheidung.
Können Sie für Ihre wichtigsten Risiken jeweils benennen: betroffenes System, Maßnahme, Owner, Nachweis, Reviewdatum und offene Entscheidung? Wenn nicht, fehlt selten eine weitere Policy. Es fehlt ein geführter Arbeitsstand, der diese sechs Angaben zusammenhält.
Was die Norm verlangt
Vier Anforderungen, kein fester Katalog
Nach §30 Abs. 1 BSIG müssen betroffene Unternehmen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen treffen. Das Ziel ist klar benannt: Störungen der Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität vermeiden und die Auswirkungen von Sicherheitsvorfällen begrenzen.
Jedes dieser vier Wörter trägt Gewicht. Geeignet heißt, die Maßnahme passt zum konkreten Risiko. Verhältnismäßig heißt, Aufwand und Risiko stehen in einem nachvollziehbaren Verhältnis. Wirksam heißt, die Maßnahme funktioniert im Betrieb tatsächlich, nicht nur auf dem Papier. Technisch und organisatorisch heißt, es reicht weder reine Technik noch reine Dokumentation.
Der häufigste Denkfehler
Die zehn Bereiche in Abs. 2 sind Themenfelder, die abgedeckt sein sollen — keine Pflicht-Checkliste mit fester Tiefe. Welche Maßnahme in welcher Tiefe nötig ist, ergibt sich aus der Risikobetrachtung des einzelnen Unternehmens.
§30 Abs. 2 BSIG
Die zehn Maßnahmenbereiche, praktisch übersetzt
Die Norm benennt zehn Bereiche. Entscheidend ist die Frage, die jeder Bereich im Arbeitsalltag stellt — weniger die juristische Formulierung.
Nr.
Maßnahmenbereich
Praktische Frage
01
Risikoanalyse & IT-Sicherheitskonzepte
Welche Risiken betreffen Systeme, Prozesse, Daten und Dienste?
02
Bewältigung von Sicherheitsvorfällen
Wie wird ein Vorfall erkannt, bewertet, eskaliert und dokumentiert?
03
Aufrechterhaltung des Betriebs
Backup, Wiederanlauf, Krisenmanagement — funktioniert die Rückkehr in den Betrieb?
04
Lieferkettensicherheit
Welche Anbieter haben Wirkung auf Daten, Systeme oder Verfügbarkeit?
05
Sicherheit bei Beschaffung, Entwicklung, Wartung
Schwachstellen, Updates, sichere Entwicklung — über den ganzen Lebenszyklus?
06
Wirksamkeitsbewertung
Funktionieren die getroffenen Maßnahmen tatsächlich?
07
Schulung & Sensibilisierung
Wissen die relevanten Rollen, was im Ernstfall zu tun ist?
08
Kryptografie
Wo braucht es Verschlüsselung, Schlüsselmanagement, sichere Verfahren?
09
Personal, Zugriff, IKT-Verwaltung
Rollen, Rechte, Adminzugriffe, Joiner/Mover/Leaver — wer darf was?
10
MFA & sichere Kommunikation
Zugriffsabsicherung und Notfallkommunikation — auch wenn Systeme ausfallen?
Priorisierung
Welche Maßnahmen welches Gewicht haben
Alle zehn Bereiche sind relevant. Aber sie wirken nicht gleich. Wer §30 als Arbeitsstand führt, sortiert nach Betriebswirkung, Nachweiswirkung und Governance-Wirkung — nicht nach der Reihenfolge im Gesetzestext.
Einordnung
Diese Gewichtung ist keine gesetzliche Rangfolge. Sie ordnet die Maßnahmen nach typischer Betriebswirkung, Nachweiswirkung und Steuerungswirkung — als Hilfe für die Priorisierung im Arbeitsalltag.
Hoch
Risikoanalyse, Asset-/Prozessbezug, Zugriffskontrolle, MFA, Patch- und Schwachstellenmanagement, Incident-Prozess, Backup/Wiederanlauf
Direkt wirksam im Betrieb. Reduziert Eintrittswahrscheinlichkeit oder Schadensausmaß unmittelbar. Hier entsteht der eigentliche Schutz.
Genau hier wird sichtbar, ob Risikomanagement geführt oder nur beschrieben wird. Diese Schicht trennt einen echten Arbeitsstand von einer Sammlung guter Absichten.
Kernpunkt
Eine Maßnahme ohne Owner und ohne Review ist kein Risikomanagement. Sie ist eine Momentaufnahme, die ab dem nächsten Tag veraltet.
Reihenfolge in der Umsetzung
Was sofort, was später?
§30 muss nicht in voller Tiefe gleichzeitig erfüllt werden. Verhältnismäßigkeit heißt auch: zuerst das, was bei einem Vorfall am meisten wiegt. Die linke Spalte schützt unmittelbar, die rechte vertieft, sobald die Grundlage steht.
Sofort prüfen
Zentrale Systeme und kritische Prozesse
Adminrechte, MFA, Zugriffskontrolle
Patch- und Schwachstellenstand
Technische Ersteinschätzung und Meldeweg
Backup und Wiederanlauffähigkeit
Kritische Lieferanten mit Systemzugriff
Danach vertiefen
Detailkonzepte je System
Umfassende IAM-Reife
Tooling- und Prozessoptimierung
Vollständiges Incident-Response-Playbook
Ausbau des Business-Continuity-Managements
Vollständige Lieferantenklassifikation
Außensicht
Was Prüfer, Kunden und Geschäftsführung sehen wollen
Die häufigste Fehlannahme: Wer mehr Dokumente vorlegt, steht besser da. Tatsächlich wollen Prüfer, Kunden und die eigene Geschäftsführung eine nachvollziehbare Risikologik — keine Dokumentenflut. Acht Elemente bilden einen belastbaren Anfangspunkt.
Risikoliste oder erkennbare Risikologik — nicht jedes Einzelrisiko, aber die Systematik
Betroffene Systeme und Prozesse je Risiko
Maßnahme je Risiko — was wird konkret getan?
Owner — wer verantwortet die Maßnahme?
Status — offen, in Umsetzung, wirksam geprüft
Nachweisquelle — wo liegt der Beleg?
Offene Punkte und Reviewdatum — was fehlt, wann wird geprüft?
Entscheidung oder Kenntnisnahme der Geschäftsführung bei relevanten Risiken
Wer diese acht Elemente je relevantem Risiko führen kann, schafft eine nachvollziehbare Arbeitsgrundlage für §30 BSIG — unabhängig davon, wie viele Einzeldokumente daneben existieren.
Anwendungsfall · §30 Abs. 2 Nr. 4
Lieferantenrisiko ist Teil von §30, nicht daneben
Lieferkettensicherheit wird oft als eigenes Thema behandelt. Tatsächlich ist sie ein Teilaspekt des Risikomanagements: ein Lieferant ist dann relevant, wenn er Wirkung auf Daten, Systeme oder Verfügbarkeit hat. Nicht der Vertragstitel entscheidet, sondern der Zugriff.
Unmittelbare Anbieter und Diensteanbieter mit Systemzugriff
Datenbezug — welche Daten verlassen das Haus oder werden eingesehen?
Verfügbarkeitswirkung — was passiert, wenn der Anbieter ausfällt?
Cloud- und Subdienstleister hinter dem direkten Anbieter
Meldewege — wie erfährt das Unternehmen von einem Vorfall beim Lieferanten?
Re-Qualifizierung — wann wird die Bewertung erneuert?
Wenn ein Kunde Nachweise fordert
Fordert ein Kunde oder Ausschreibungsportal Nachweise zu Ihrer Lieferantensteuerung, wird aus der internen Risikobetrachtung eine externe Antwort. Den geführten Weg dafür beschreibt die Situation Kundenanfrage beantworten. Die operative Detailtiefe für einzelne Zugriffe steht in Lieferant mit Systemzugriff.
Belastungstest
Ein Sicherheitsvorfall testet das Risikomanagement
Ob Risikomanagement nach §30 trägt, zeigt sich nicht in der ruhigen Phase, sondern im Ereignis. Ein Sicherheitsvorfall macht in wenigen Stunden sichtbar, was vorher nur behauptet wurde.
Funktioniert die Risikoanalyse, war das betroffene System bekannt und eingeordnet. Funktionieren die Rollen, weiß jeder, wer entscheidet. Funktioniert der Meldeweg, läuft die Bewertung strukturiert. Funktioniert die Nachweisführung, entsteht eine Akte statt einer E-Mail-Kette. Und funktioniert die Governance, wird die Geschäftsführung zum richtigen Zeitpunkt befasst — nicht erst, wenn es eskaliert.
Wenn ein Ereignis vorliegt
Liegt ein konkreter Vorfall vor und ist unklar, ob eine Meldepflicht nach §32 BSIG besteht, beginnt die strukturierte Einordnung. Den Weg beschreibt Sicherheitsvorfall einordnen.
Arbeitsstand statt Projekt
§30 als geführten Stand begreifen, nicht als Projekt
Ein Projekt hat ein Ende. Risikomanagement nicht. Wer §30 als einmaliges Projekt behandelt, hat nach Projektabschluss einen Ordner — und ein Jahr später einen veralteten Ordner. Wer §30 als Arbeitsstand führt, behält den Überblick über fünf einfache Fragen.
1
Welche Maßnahmen existieren?
Bestandsaufnahme über die zehn Bereiche — was ist bereits vorhanden?
2
Welche fehlen?
Lücken sichtbar machen, ohne sie sofort schließen zu müssen.
3
Welche sind dokumentiert?
Existenz und Nachweis sind zwei verschiedene Dinge.
4
Welche sind wirksam geprüft?
Der Schritt, der am häufigsten fehlt — und am meisten zählt.
5
Welche brauchen Owner, Wiedervorlage oder Geschäftsführungsbefassung?
Die Steuerungsschicht, die aus Maßnahmen einen geführten Stand macht.
Nächster Schritt
Vom Maßnahmenkatalog zum geführten Stand
§30 wird durch eine nachvollziehbare Risikologik erfüllt — mit Ownern, Nachweisen und Wiedervorlagen, nicht durch mehr Dokumente. Der passende Einstieg hängt davon ab, was bei Ihnen gerade Arbeit auslöst.
Nein. §30 nennt zehn Maßnahmenbereiche, verlangt aber geeignete, verhältnismäßige und wirksame Maßnahmen. Welche Maßnahmen ein Unternehmen führt und in welcher Tiefe, ergibt sich aus seinen Risiken — nicht aus einer festen Liste zum Abhaken.
Maßnahmen mit direkter Betriebswirkung: Risikoanalyse, Zugriffskontrolle, MFA, Patch- und Schwachstellenmanagement, Incident-Prozess und Backup. Sie reduzieren unmittelbar Eintrittswahrscheinlichkeit oder Schadensausmaß. Schulung und Policies sind notwendig, bleiben aber schwach, wenn keine operative Umsetzung folgt.
Wirksamkeitsprüfung, Wiedervorlagen, Owner, Rest-Risiko und Geschäftsführungsbefassung. Genau diese Steuerungsschicht entscheidet, ob Risikomanagement geführt oder nur beschrieben wird. Sie kostet wenig, wird aber am häufigsten ausgelassen.
Keine Dokumentenflut, sondern eine Risikologik: betroffene Systeme und Prozesse, Maßnahme je Risiko, Owner, Status, Nachweisquelle, offene Punkte, Reviewdatum und die Kenntnisnahme der Geschäftsführung bei relevanten Risiken.
Lieferanten mit Systemzugriff, Datenbezug oder Verfügbarkeitswirkung sind Teil der Risikobetrachtung nach §30 Abs. 2 Nr. 4. Gefordert ist, solche Abhängigkeiten zu bewerten, abzusichern, Meldewege zu klären und regelmäßig zu re-qualifizieren.