- Die Schutzbedarfsfeststellung bewertet systematisch, wie hoch der Schutzbedarf jedes Assets bezüglich Vertraulichkeit, Integrität und Verfügbarkeit ist.
- Das BSI definiert drei Schutzbedarfskategorien: normal (begrenzte Auswirkungen), hoch (beträchtliche Auswirkungen) und sehr hoch (existenzbedrohende Auswirkungen).
- Der Schutzbedarf vererbt sich: Wenn ein niedrig eingestuftes System ein hochkritisches System trägt, übernimmt es dessen Schutzbedarf.
- Jede Bewertung basiert auf konkreten Schadensszenarien in sechs Kategorien: Verstoß gegen Gesetze, Beeinträchtigung der Aufgabenerfüllung, finanzielle Auswirkungen, Beeinträchtigung der persönlichen Unversehrtheit, negative Außenwirkung und Beeinträchtigung der informationellen Selbstbestimmung.
- Die Ergebnisse der Schutzbedarfsfeststellung fließen direkt in die Risikobewertung ein und bestimmen, welche Schutzmaßnahmen angemessen und verhältnismäßig sind.
Was ist die Schutzbedarfsfeststellung?
Die Schutzbedarfsfeststellung ist eine strukturierte Methode, um für jedes Asset im Unternehmen zu ermitteln, wie schützenswert es tatsächlich ist. Sie beantwortet die Frage: Welchen Schaden erleidet unsere Organisation, wenn die Vertraulichkeit, Integrität oder Verfügbarkeit dieses Assets verletzt wird?
Das Konzept stammt aus dem BSI-Standard 200-2 (IT-Grundschutz-Methodik) und ist dort ein zentraler Baustein des Sicherheitsprozesses. Aber auch wenn du kein BSI-Grundschutz-Zertifikat anstrebst, sondern dein ISMS nach ISO 27001 aufbaust oder NIS2-Anforderungen umsetzt, ist die Schutzbedarfsfeststellung eine bewährte Methode, um den Schutzbedarf systematisch und nachvollziehbar zu bestimmen.
Der entscheidende Unterschied zur informellen Einschätzung "das ist halt wichtig" liegt in der Nachvollziehbarkeit. Die Schutzbedarfsfeststellung zwingt dich, für jedes Asset und jedes Schutzziel konkret zu begründen, warum du es in eine bestimmte Kategorie einordnest. Diese Begründung basiert auf Schadensszenarien, nicht auf Bauchgefühl. Und genau das ist es, was ein Auditor bei der Zertifizierungsprüfung oder das BSI bei einer NIS2-Überprüfung sehen will.
Die drei Schutzziele: CIA im Detail
Die drei Schutzziele der Informationssicherheit bilden das Fundament jeder Schutzbedarfsfeststellung. Sie sind unter dem englischen Akronym CIA bekannt (Confidentiality, Integrity, Availability) und werden im deutschsprachigen Raum oft als "die drei Säulen der Informationssicherheit" bezeichnet.
Vertraulichkeit (Confidentiality)
Vertraulichkeit bedeutet, dass Informationen nur den Personen oder Systemen zugänglich sind, die dazu berechtigt sind. Ein Verlust der Vertraulichkeit liegt vor, wenn Unbefugte Zugang zu Informationen erhalten, die nicht für sie bestimmt sind.
Das klingt abstrakt, wird aber schnell konkret: Wenn ein Angreifer die Kundendatenbank kopiert, ist die Vertraulichkeit verletzt. Wenn ein Mitarbeiter eine E-Mail mit Gehaltsdaten an den falschen Verteiler schickt, ebenfalls. Wenn ein Laptop mit unverschlüsselter Festplatte gestohlen wird, auf dem Vertragsentwürfe gespeichert sind, genauso.
Die Bewertung der Vertraulichkeit hängt stark davon ab, welche Art von Informationen ein Asset verarbeitet oder speichert. Personenbezogene Daten unterliegen der DSGVO und haben allein deshalb einen erhöhten Schutzbedarf. Die richtige Klassifizierung dieser Daten ist dabei die Grundlage. Geschäftsgeheimnisse, Finanzdaten und strategische Planungen sind ebenfalls typische Kandidaten für einen hohen Vertraulichkeitsschutzbedarf.
Integrität (Integrity)
Integrität stellt sicher, dass Informationen korrekt, vollständig und unverändert sind. Ein Verlust der Integrität bedeutet, dass Daten unbemerkt verfälscht wurden oder ihre Korrektheit nicht mehr gewährleistet werden kann.
Integritätsverletzungen sind oft gefährlicher als Vertraulichkeitsverletzungen, weil sie schwerer zu erkennen sind. Wenn jemand deine Kundendaten stiehlt, merkst du das unter Umständen schnell (Lösegeldforderung, Datenleck im Darknet). Wenn jemand aber einen einzelnen Wert in deiner Buchhaltungsdatenbank ändert, einen Preis in einem Angebot manipuliert oder einen DNS-Eintrag umleitet, kann das monatelang unentdeckt bleiben und erheblichen Schaden anrichten.
Die Integrität ist besonders relevant für Systeme, in denen Daten als Entscheidungsgrundlage dienen: Finanzsysteme, Produktionsdaten, Mess- und Prüfergebnisse, Audit-Logs und Konfigurationsdaten.
Verfügbarkeit (Availability)
Verfügbarkeit bedeutet, dass Systeme und Informationen bei Bedarf zugänglich und nutzbar sind. Ein Verlust der Verfügbarkeit liegt vor, wenn ein System ausfällt, zu langsam reagiert oder Daten nicht abrufbar sind.
Die Verfügbarkeit ist das Schutzziel, bei dem die Auswirkungen am unmittelbarsten spürbar werden. Die Frage, wie lange ein System maximal ausfallen darf, wird systematisch in der Business Impact Analyse beantwortet. Wenn der E-Mail-Server ausfällt, merkt das jeder Mitarbeiter innerhalb von Minuten. Wenn das ERP-System nicht erreichbar ist, stehen Auftragsabwicklung, Einkauf und Buchhaltung still. Wenn die Produktionssteuerung ausfällt, steht im schlimmsten Fall die gesamte Fertigung.
Die Bewertung der Verfügbarkeit dreht sich um zwei zentrale Fragen: Wie lange darf das Asset maximal ausfallen (Maximum Tolerable Downtime)? Und wie aktuell müssen die Daten nach einer Wiederherstellung sein (Recovery Point Objective)?
Warum die getrennte Betrachtung wichtig ist
Ein häufiger Anfängerfehler ist, ein Asset pauschal als "kritisch" oder "unkritisch" einzustufen. Die getrennte Betrachtung nach den drei Schutzzielen ist aber essenziell, weil ein Asset bei jedem Schutzziel einen unterschiedlichen Schutzbedarf haben kann und weil unterschiedliche Schutzziele unterschiedliche Maßnahmen erfordern.
Nehmen wir das Beispiel einer öffentlichen Website: Die Vertraulichkeit ist gering, weil alle Inhalte ohnehin öffentlich sind. Die Integrität ist hoch, weil eine Manipulation der Website (Defacement, Einschleusung von Malware) erheblichen Reputationsschaden verursacht. Die Verfügbarkeit hängt davon ab, ob die Website nur Informationen bereitstellt oder Umsatz generiert.
Aus diesen unterschiedlichen Schutzbedarfen leiten sich unterschiedliche Maßnahmen ab: Für die Integrität brauchst du Web Application Firewall, Content Security Policy, File Integrity Monitoring und Change-Management. Für die Verfügbarkeit brauchst du Redundanz, CDN, Monitoring und einen Notfallplan. Für die Vertraulichkeit brauchst du bei einer öffentlichen Website dagegen kaum spezielle Maßnahmen.
Die Schutzbedarfskategorien nach BSI
Das BSI definiert drei Schutzbedarfskategorien, die jeweils durch die Schwere der möglichen Auswirkungen bestimmt werden.
Normal
Der Schutzbedarf ist "normal", wenn die Schadensauswirkungen begrenzt und überschaubar sind. Das bedeutet nicht, dass kein Schutz nötig wäre. Es bedeutet, dass die Standard-Schutzmaßnahmen (die sogenannten Basis- und Standard-Anforderungen des IT-Grundschutzes) ausreichen, um das Risiko auf ein akzeptables Niveau zu bringen.
Typische Formulierung: "Die möglichen Schäden sind begrenzt und überschaubar. Es drohen keine existenzbedrohenden Konsequenzen."
Beispiele für den Schutzbedarf "normal":
- Allgemeine interne Informationen, die bei Bekanntwerden keinen wesentlichen Schaden verursachen
- Systeme, deren Ausfall für bis zu 24 Stunden tolerierbar ist, ohne dass der Geschäftsbetrieb wesentlich beeinträchtigt wird
- Daten, deren Verfälschung zwar ärgerlich, aber leicht erkennbar und korrigierbar wäre
Hoch
Der Schutzbedarf ist "hoch", wenn die Schadensauswirkungen beträchtlich sind. Standard-Schutzmaßnahmen reichen nicht aus; es müssen zusätzliche, über den Grundschutz hinausgehende Maßnahmen ergriffen werden.
Typische Formulierung: "Die Schadensauswirkungen können beträchtlich sein. Es drohen erhebliche finanzielle Verluste, spürbare Beeinträchtigungen der Aufgabenerfüllung oder Verstöße gegen Vorschriften mit ernsthaften Konsequenzen."
Beispiele für den Schutzbedarf "hoch":
- Personenbezogene Daten, deren Offenlegung Betroffene erheblich schädigen könnte
- Geschäftskritische Systeme, deren Ausfall innerhalb weniger Stunden zu spürbaren Umsatzverlusten führt
- Finanzdaten, deren Manipulation zu fehlerhaften Buchungen und falschen Geschäftsentscheidungen führen könnte
Sehr hoch
Der Schutzbedarf ist "sehr hoch", wenn die Schadensauswirkungen ein existenziell bedrohliches, katastrophales Ausmaß erreichen können. Hier sind individuell konzipierte Schutzmaßnahmen erforderlich, die über Standard- und erhöhte Anforderungen hinausgehen.
Typische Formulierung: "Die Schadensauswirkungen können ein existenziell bedrohliches Ausmaß erreichen. Es drohen existenzgefährdende finanzielle Verluste, schwerwiegende Verstöße gegen Gesetze oder Gefährdung der persönlichen Unversehrtheit."
Beispiele für den Schutzbedarf "sehr hoch":
- Gesundheitsdaten, deren Offenlegung existenzielle Konsequenzen für Betroffene hätte
- Produktionssteuerungssysteme, deren Manipulation Personenschäden verursachen könnte
- Systeme, deren Ausfall den gesamten Geschäftsbetrieb zum Stillstand bringt und innerhalb von Stunden sechsstellige Schäden verursacht
Schadensszenarien: Die Basis der Bewertung
Die Zuordnung eines Assets zu einer Schutzbedarfskategorie erfolgt nicht willkürlich, sondern anhand konkreter Schadensszenarien. Das BSI definiert sechs Schadenskategorien, die bei der Bewertung herangezogen werden.
Die sechs Schadenskategorien
1. Verstoß gegen Gesetze, Vorschriften oder Verträge Welche rechtlichen Konsequenzen drohen? Bußgelder nach DSGVO (bis 4 % des Jahresumsatzes), Strafen nach NIS2 (bis 10 Mio. Euro oder 2 % des Umsatzes), Vertragsstrafen gegenüber Kunden, Haftungsansprüche. Ein System, das personenbezogene Daten verarbeitet, hat allein durch die DSGVO mindestens einen hohen Schutzbedarf bei der Vertraulichkeit.
2. Beeinträchtigung des informationellen Selbstbestimmungsrechts Sind personenbezogene Daten betroffen? Wie sensibel sind diese Daten? Gesundheitsdaten, Religionszugehörigkeit oder biometrische Daten (besondere Kategorien nach Art. 9 DSGVO) führen zu einem sehr hohen Schutzbedarf. Kontaktdaten von Geschäftskunden rechtfertigen dagegen oft nur einen normalen bis hohen Schutzbedarf.
3. Beeinträchtigung der persönlichen Unversehrtheit Können Personen zu Schaden kommen, wenn das Schutzziel verletzt wird? Bei IT-Systemen im Büroumfeld ist das selten relevant. Bei Produktionssteuerungen, medizinischen Geräten oder Gebäudeautomation kann ein Integritäts- oder Verfügbarkeitsverlust aber durchaus Personenschäden verursachen.
4. Beeinträchtigung der Aufgabenerfüllung Wie stark wird der Geschäftsbetrieb beeinträchtigt? Ein Ausfall des Archivs ist ärgerlich, aber die Kernprozesse laufen weiter. Ein Ausfall des ERP-Systems legt dagegen Einkauf, Produktion, Vertrieb und Buchhaltung lahm. Die Frage ist: Welche Geschäftsprozesse sind betroffen und wie lange kann das Unternehmen ohne dieses Asset arbeiten?
5. Negative Auswirkungen auf die Außenwirkung (Reputation) Welchen Reputationsschaden verursacht ein Vorfall? Ein Datenleck bei einem IT-Dienstleister, der mit Informationssicherheit wirbt, ist verheerender als bei einem Handwerksbetrieb. Aber auch für kleinere Unternehmen kann ein öffentlich bekannt gewordener Sicherheitsvorfall das Vertrauen der Kunden nachhaltig beschädigen.
6. Finanzielle Auswirkungen Was kostet der Schaden direkt und indirekt? Direkte Kosten umfassen Wiederherstellung, forensische Untersuchung, Rechtsberatung, Benachrichtigung betroffener Personen und mögliche Bußgelder. Indirekte Kosten entstehen durch Produktionsausfall, entgangenen Umsatz, Kundenabwanderung und erhöhte Versicherungsprämien.
Wie du die Szenarien durchspielst
Für jedes Asset und jedes Schutzziel formulierst du konkret, was passieren würde. Nicht abstrakt ("könnte zu Schäden führen"), sondern mit Bezug auf dein Unternehmen und deine Situation.
Anstatt zu schreiben "Ein Ausfall des ERP-Systems hätte beträchtliche Auswirkungen" formulierst du besser: "Ein Ausfall des ERP-Systems bedeutet, dass keine Aufträge erfasst, keine Lieferscheine erstellt und keine Rechnungen geschrieben werden können. Bei einem durchschnittlichen Tagesumsatz von 85.000 Euro und einer geschätzten Wiederherstellungszeit von 8 Stunden ergibt sich ein direkter Umsatzausfall von circa 35.000 Euro, zuzüglich Überstundenkosten für die Nacharbeit."
Diese Konkretisierung hat zwei Vorteile: Sie macht die Bewertung nachvollziehbar (für dich selbst, für die Geschäftsführung, für den Auditor), und sie verhindert, dass du den Schutzbedarf aus Vorsicht pauschal zu hoch ansetzt. In ISMS Lite werden Schadensszenarien direkt am Asset hinterlegt und automatisch mit der Risikobewertung verknüpft, sodass die Begründungen jederzeit abrufbar sind. Denn ein zu hoher Schutzbedarf führt zu überdimensionierten Maßnahmen, die Ressourcen binden, die anderswo fehlen.
Vererbung des Schutzbedarfs
Die Vererbung ist eines der wichtigsten Konzepte der Schutzbedarfsfeststellung und gleichzeitig eines der am häufigsten übersehenen. Die Grundidee: Der Schutzbedarf eines Assets wird an die Assets vererbt, die es benötigt, um zu funktionieren.
So funktioniert die Vererbung
Wenn dein ERP-System einen sehr hohen Verfügbarkeitsschutzbedarf hat, dann braucht auch der Server, auf dem es läuft, mindestens denselben Verfügbarkeitsschutzbedarf. Denn was nützt ein hochverfügbares ERP-System, wenn der Server, auf dem es läuft, nur mit normalen Schutzmaßnahmen abgesichert ist?
Die Vererbung funktioniert in der Regel nach unten in der Infrastrukturschicht:
Geschäftsprozess (Auftragsabwicklung)
└── Anwendung (ERP-System) → Verfügbarkeit: sehr hoch
└── Datenbank (PostgreSQL) → erbt: Verfügbarkeit sehr hoch
└── Server (Produktiv-Server) → erbt: Verfügbarkeit sehr hoch
└── Netzwerk (Core-Switch) → erbt: Verfügbarkeit sehr hoch
└── Infrastruktur (USV, Klima) → erbt: Verfügbarkeit sehr hoch
Maximumprinzip
Wenn mehrere Anwendungen auf demselben Server laufen, gilt das Maximumprinzip: Der Server erbt den höchsten Schutzbedarf aller Anwendungen, die er hostet.
Angenommen, auf einem Server laufen drei Anwendungen:
- Anwendung A: Vertraulichkeit hoch, Integrität normal, Verfügbarkeit hoch
- Anwendung B: Vertraulichkeit normal, Integrität hoch, Verfügbarkeit normal
- Anwendung C: Vertraulichkeit sehr hoch, Integrität hoch, Verfügbarkeit normal
Der Server erbt: Vertraulichkeit sehr hoch (von C), Integrität hoch (von B und C), Verfügbarkeit hoch (von A).
Dieses Maximumprinzip zeigt auch, warum eine Segmentierung sinnvoll sein kann: Wenn du die Anwendung mit dem sehr hohen Vertraulichkeitsschutzbedarf auf einen eigenen Server verschiebst, müssen die anderen Server nicht mit sehr hohen Vertraulichkeitsmaßnahmen geschützt werden. Das spart Aufwand und Kosten.
Kumulationseffekt
Es gibt eine Ausnahme vom reinen Vererbungsprinzip: den Kumulationseffekt. Er tritt ein, wenn auf einem System viele einzelne Assets mit normalem Schutzbedarf gebündelt werden und die Summe der Einzelrisiken ein höheres Gesamtrisiko ergibt.
Ein einzelner Arbeitsplatzrechner hat vielleicht einen normalen Schutzbedarf. Aber ein Terminalserver, auf dem 50 Mitarbeiter gleichzeitig arbeiten, verdient allein durch die Kumulation einen höheren Schutzbedarf bei der Verfügbarkeit, weil sein Ausfall 50 Arbeitsplätze gleichzeitig betrifft.
Verteilungseffekt
Das Gegenstück zum Kumulationseffekt ist der Verteilungseffekt. Er reduziert den vererbten Schutzbedarf, wenn das Risiko durch Redundanz verteilt wird.
Wenn dein E-Mail-System auf zwei redundanten Servern läuft, die sich gegenseitig ersetzen können, dann ist der Verfügbarkeitsschutzbedarf für den einzelnen Server niedriger als für das E-Mail-System insgesamt. Fällt ein Server aus, übernimmt der andere. Der einzelne Server muss also nicht die volle Verfügbarkeitsanforderung des Gesamtsystems tragen.
Wichtig: Der Verteilungseffekt gilt nur für die Verfügbarkeit. Bei der Vertraulichkeit tritt sogar das Gegenteil ein: Zwei Server mit denselben Daten verdoppeln die Angriffsfläche, weil ein Angreifer nur einen der beiden kompromittieren muss.
Praxisbeispiele: Schutzbedarfsfeststellung durchführen
Die Theorie wird greifbar, wenn wir sie an konkreten Systemen durchspielen. Die folgenden Beispiele zeigen die Schutzbedarfsfeststellung für typische Assets eines mittelständischen Unternehmens.
Beispiel 1: ERP-System
| Schutzziel | Schutzbedarf | Begründung |
|---|---|---|
| Vertraulichkeit | Hoch | Das ERP-System enthält Kundendaten, Lieferantenkonditionen, Einkaufspreise und Kalkulationen. Eine Offenlegung würde Wettbewerbsnachteile verursachen und gegen vertragliche Vertraulichkeitsvereinbarungen verstoßen. Personenbezogene Daten (Kundenkontakte, Mitarbeiterdaten) unterliegen der DSGVO. |
| Integrität | Sehr hoch | Manipulierte Daten im ERP-System führen zu falschen Rechnungen, fehlerhaften Bestellungen und unrichtiger Buchführung. Fehler in der Finanzbuchhaltung können steuerrechtliche Konsequenzen haben. Die Korrektheit der Daten ist Grundlage aller kaufmännischen Entscheidungen. |
| Verfügbarkeit | Sehr hoch | Ein Ausfall des ERP-Systems legt Auftragsabwicklung, Einkauf, Lagerverwaltung und Buchhaltung lahm. Bei einem Tagesumsatz von 85.000 Euro und einer Wiederherstellungszeit von 8 Stunden entsteht ein direkter Umsatzausfall von circa 35.000 Euro. Lieferverzögerungen verursachen zusätzlich Vertragsstrafen. |
Abgeleitete Maßnahmen: Verschlüsselung der Datenbank, feingranulare Zugriffssteuerung, Protokollierung aller Änderungen, automatisierte Integritätsprüfungen, High-Availability-Cluster, Backup mit RPO unter 1 Stunde, dokumentierter Wiederherstellungsplan mit regelmäßigen Tests.
Beispiel 2: E-Mail-System (Microsoft 365)
| Schutzziel | Schutzbedarf | Begründung |
|---|---|---|
| Vertraulichkeit | Hoch | E-Mails enthalten regelmäßig vertrauliche Geschäftsinformationen, Angebote, Vertragsverhandlungen und personenbezogene Daten. Ein unbefugter Zugriff auf Postfächer der Geschäftsführung oder des Vertriebs könnte erheblichen wirtschaftlichen Schaden verursachen. |
| Integrität | Hoch | Manipulierte E-Mails können zu Fehlentscheidungen führen (z.B. gefälschte Zahlungsanweisungen bei CEO-Fraud). Die Integrität der E-Mail-Kommunikation ist Grundlage für das Vertrauen in geschäftliche Vereinbarungen. |
| Verfügbarkeit | Hoch | E-Mail ist das zentrale Kommunikationsmedium. Ein Ausfall betrifft alle 100 Mitarbeiter und beeinträchtigt die Kommunikation mit Kunden und Lieferanten. Durch den SaaS-Betrieb bei Microsoft liegt die Verfügbarkeitsverantwortung teilweise beim Anbieter (SLA: 99,9 %), aber das Unternehmen bleibt für den Zugang und die Konfiguration verantwortlich. |
Abgeleitete Maßnahmen: Multi-Faktor-Authentifizierung für alle Postfächer, Conditional Access Policies, E-Mail-Verschlüsselung für sensible Kommunikation (S/MIME oder Verschlüsselungsgateway), Anti-Phishing-Maßnahmen, regelmäßige Awareness-Schulungen, Backup der Postfächer (Microsoft garantiert keine vollständige Datenwiederherstellung).
Beispiel 3: Fileserver / SharePoint
| Schutzziel | Schutzbedarf | Begründung |
|---|---|---|
| Vertraulichkeit | Hoch | Der Fileserver enthält Dokumente aller Abteilungen, darunter Verträge, Personalunterlagen, technische Dokumentation und Strategiepapiere. Einzelne Bereiche (Geschäftsführung, HR) enthalten besonders schützenswerte Informationen. |
| Integrität | Hoch | Verfälschte Dokumente auf dem Fileserver könnten als Grundlage für Geschäftsentscheidungen dienen und zu Fehlern führen. Die Versionierung ist wichtig, um unbeabsichtigte oder böswillige Änderungen nachvollziehen zu können. |
| Verfügbarkeit | Normal bis hoch | Ein Ausfall des Fileservers ist für die meisten Abteilungen innerhalb eines Arbeitstages tolerierbar, wenn E-Mail und ERP weiterhin funktionieren. Für Abteilungen, die permanent auf Dokumente zugreifen müssen (z.B. Projektmanagement, Konstruktion), kann ein Ausfall allerdings schon nach wenigen Stunden kritisch werden. |
Abgeleitete Maßnahmen: Berechtigungskonzept mit Abteilungsstrukturen und Need-to-know-Prinzip, Versionierung und Papierkorb-Funktion, regelmäßige Berechtigungsreviews, tägliches Backup, Verschlüsselung sensibler Bereiche.
Beispiel 4: Produktionssteuerung (OT-System)
| Schutzziel | Schutzbedarf | Begründung |
|---|---|---|
| Vertraulichkeit | Normal bis hoch | Die Produktionsdaten selbst sind selten hochvertraulich, können aber Rückschlüsse auf Fertigungsverfahren, Auslastung und Kapazitäten erlauben, die wettbewerbsrelevant sind. |
| Integrität | Sehr hoch | Manipulierte Steuerungsdaten können zu fehlerhaften Produkten, Maschinenschäden oder im schlimmsten Fall zu Personenschäden führen. Die Korrektheit der Steuerungsparameter ist sicherheitskritisch. |
| Verfügbarkeit | Sehr hoch | Ein Ausfall der Produktionssteuerung führt zum sofortigen Stillstand der Fertigung. Bei einer Tagesproduktion im Wert von 150.000 Euro verursacht jede Stunde Stillstand circa 19.000 Euro direkten Verlust, zuzüglich möglicher Ausschussproduktion beim Wiederanlauf. |
Abgeleitete Maßnahmen: Strikte Netzwerksegmentierung (IT/OT-Trennung), Integritätsüberwachung der Steuerungssoftware, Whitelisting erlaubter Anwendungen, physische Zugangskontrollen, redundante Steuerungssysteme, spezialisierte Backup-Lösung für OT-Systeme, Notfallpläne für manuelle Fertigung.
Dokumentation der Schutzbedarfsfeststellung
Die Schutzbedarfsfeststellung ist nur so gut wie ihre Dokumentation. Im Audit musst du nicht nur zeigen, dass du eine Bewertung durchgeführt hast, sondern auch nachvollziehbar belegen, wie du zu den Ergebnissen gekommen bist.
Was dokumentiert werden muss
Für jedes bewertete Asset dokumentierst du:
Asset-Referenz: Verweis auf das Asset im Inventar (Asset-ID, Name, Kategorie).
Bewertung je Schutzziel: Für Vertraulichkeit, Integrität und Verfügbarkeit jeweils die Schutzbedarfskategorie (normal, hoch, sehr hoch).
Begründung: Für jedes Schutzziel eine konkrete, auf dein Unternehmen bezogene Begründung. Welche Schadensszenarien hast du betrachtet? Welche Schadenskategorien sind relevant? Warum hast du diese Einstufung gewählt und nicht eine höhere oder niedrigere?
Vererbungshinweise: Wenn der Schutzbedarf durch Vererbung, Kumulation oder Verteilung angepasst wurde, muss das nachvollziehbar dokumentiert sein. Beispiel: "Der Schutzbedarf für Verfügbarkeit wurde von 'normal' auf 'hoch' angehoben, da das Asset als Infrastrukturkomponente den Schutzbedarf des ERP-Systems (sehr hoch) teilweise erbt. Durch die redundante Auslegung (zwei Server im Cluster) greift der Verteilungseffekt, sodass der einzelne Server mit 'hoch' bewertet wird."
Verantwortlich: Wer hat die Bewertung durchgeführt, wer hat sie freigegeben?
Datum: Wann wurde die Bewertung durchgeführt, wann die letzte Überprüfung?
Formale Gestaltung
Es gibt kein vorgeschriebenes Format für die Dokumentation. Bewährt hat sich eine tabellarische Übersicht, ergänzt durch ausführlichere Begründungen in einem Begleitdokument. Die Übersichtstabelle könnte so aussehen:
| Asset-ID | Asset-Name | C | I | A | Gesamtbewertung | Vererbung | Letzte Prüfung |
|---|---|---|---|---|---|---|---|
| SW-ERP-001 | ERP-System | Hoch | Sehr hoch | Sehr hoch | Sehr hoch | Nein (originär) | 2026-01-15 |
| SW-DB-001 | ERP-Datenbank | Hoch | Sehr hoch | Sehr hoch | Sehr hoch | Ja (von ERP) | 2026-01-15 |
| HW-SRV-001 | Produktiv-Server | Hoch | Sehr hoch | Hoch | Sehr hoch | Ja (von DB), Verteilung (Cluster) | 2026-01-15 |
| SV-MAIL-001 | E-Mail (M365) | Hoch | Hoch | Hoch | Hoch | Nein (originär) | 2026-01-20 |
Die Gesamtbewertung ergibt sich aus dem höchsten Einzelwert der drei Schutzziele (Maximumprinzip). Sie dient als schnelle Orientierung, ersetzt aber nicht die differenzierte Betrachtung je Schutzziel.
Zusammenhang mit der Risikobewertung
Die Schutzbedarfsfeststellung ist kein isolierter Schritt, sondern Teil einer Kette, die vom Asset-Inventar über den Schutzbedarf zur Risikoanalyse und schließlich zur Maßnahmenplanung führt.
Von der Schutzbedarfsfeststellung zur Risikoanalyse
Die Schutzbedarfsfeststellung liefert die Schadensseite der Risikogleichung. Sie sagt dir: Wenn die Vertraulichkeit dieses Assets verletzt wird, ist der Schaden "hoch". Die Risikoanalyse ergänzt die Bedrohungs- und Schwachstellenseite: Wie wahrscheinlich ist es, dass diese Verletzung eintritt?
Das Risiko ergibt sich aus dem Zusammenspiel beider Dimensionen:
Risiko = Eintrittswahrscheinlichkeit x Schadenshöhe (aus Schutzbedarf)
Ein Asset mit sehr hohem Schutzbedarf bei der Verfügbarkeit und einer hohen Eintrittswahrscheinlichkeit für einen Verfügbarkeitsverlust (z.B. weil es keine Redundanz gibt und die Hardware veraltet ist) ergibt ein kritisches Risiko, das sofortige Maßnahmen erfordert.
Dasselbe Asset mit niedriger Eintrittswahrscheinlichkeit (weil es bereits redundant ausgelegt ist und regelmäßig gewartet wird) ergibt trotz des hohen Schutzbedarfs ein akzeptables Restrisiko.
Maßnahmen ableiten
Der Schutzbedarf bestimmt auch die Angemessenheit der Maßnahmen. Für Assets mit normalem Schutzbedarf reichen die Standardmaßnahmen: regelmäßige Updates, Basisabsicherung, Standard-Backup. Für Assets mit hohem Schutzbedarf kommen erweiterte Maßnahmen hinzu: Verschlüsselung, verstärkte Zugangskontrollen, kürzere Backup-Intervalle, Monitoring. Für Assets mit sehr hohem Schutzbedarf sind individuelle, auf das spezifische Risiko zugeschnittene Maßnahmen nötig: High-Availability-Cluster, dedizierte Sicherheitszonen, Echtzeitüberwachung, engmaschige Kontrollen. Die Risikobehandlung dokumentiert dann, welche Option du für jedes identifizierte Risiko wählst.
Diese Verhältnismäßigkeit ist wichtig, weil Sicherheitsmaßnahmen Geld kosten und Ressourcen binden. Ein Asset mit normalem Schutzbedarf verdient keinen Hochsicherheitsschutz, und ein Asset mit sehr hohem Schutzbedarf darf nicht mit Standardmaßnahmen abgespeist werden.
Regelmäßige Überprüfung
Die Schutzbedarfsfeststellung ist keine einmalige Übung. Sie muss regelmäßig überprüft und bei Bedarf aktualisiert werden. Typische Anlässe für eine Neubeurteilung sind:
- Neue Assets kommen hinzu oder bestehende werden außer Betrieb genommen
- Geschäftsprozesse ändern sich und damit die Bedeutung bestimmter Assets
- Neue gesetzliche Anforderungen entstehen (NIS2 hat den Schutzbedarf vieler Assets nach oben verschoben)
- Sicherheitsvorfälle zeigen, dass eine Bewertung zu niedrig war
- Organisatorische Änderungen (Fusionen, Ausgliederungen, neue Standorte) verschieben Abhängigkeiten
- Das jährliche Management-Review als fester Termin für die Gesamtüberprüfung
Typische Fehler bei der Schutzbedarfsfeststellung
Aus der Praxis kennen wir wiederkehrende Probleme, die du von Anfang an vermeiden kannst:
Alles ist "hoch" oder "sehr hoch". Wenn du aus Vorsicht alles maximal einstufst, verliert die Bewertung ihren Wert. Du kannst nicht alles mit Höchstaufwand schützen, und die Priorisierung geht verloren. Sei ehrlich und differenziert. Ein Testsystem hat nun einmal einen anderen Schutzbedarf als die Produktionsdatenbank.
Begründungen fehlen oder sind generisch. "Hoher Schutzbedarf wegen Datenschutz" ist keine Begründung. Eine Begründung beschreibt das konkrete Schadensszenario für dein Unternehmen und quantifiziert den Schaden, soweit möglich.
Vererbung wird ignoriert. Der Datenbankserver hat Schutzbedarf "normal", obwohl er die hochkritische ERP-Datenbank hostet. Das ist ein Widerspruch, der im Audit sofort auffällt und der im Ernstfall dazu führt, dass die Schutzmaßnahmen für den Server nicht ausreichen.
Einmalige Bewertung ohne Review-Zyklus. Die Schutzbedarfsfeststellung vom letzten Jahr spiegelt nicht die heutige Realität wider, wenn seitdem Cloud-Dienste eingeführt, Standorte konsolidiert oder neue Geschäftsfelder erschlossen wurden.
Nur die IT bewertet. Die Schutzbedarfsfeststellung erfordert fachliches Wissen über den Wert der verarbeiteten Informationen. Die IT-Abteilung kennt die technischen Abhängigkeiten, aber die Fachabteilungen kennen den geschäftlichen Wert. Beide Perspektiven müssen zusammenfließen.
So gehst du vor: Schritt für Schritt
Wenn du die Schutzbedarfsfeststellung in deinem Unternehmen einführen willst, orientiere dich an folgender Vorgehensweise:
Schritt 1: Vorbereitung. Stelle sicher, dass ein aktuelles Asset-Inventar vorliegt. Ohne Inventar keine Schutzbedarfsfeststellung. Definiere die Schutzbedarfskategorien und die Schadensszenarien, die du verwenden willst. Das BSI liefert gute Vorlagen, die du an dein Unternehmen anpassen kannst.
Schritt 2: Informations-Assets zuerst. Beginne mit den Informations-Assets (Kundendaten, Finanzdaten, Personaldaten), weil deren Schutzbedarf die Basis für die Bewertung der verarbeitenden Systeme bildet.
Schritt 3: Anwendungen und Dienste. Bewerte die Geschäftsanwendungen und Dienste, die diese Informationen verarbeiten. Beziehe die Asset-Owner aus den Fachabteilungen ein.
Schritt 4: Infrastruktur. Bewerte Server, Netzwerkkomponenten und Cloud-Dienste. Wende hier die Vererbung an: Die Infrastruktur erbt den Schutzbedarf der Anwendungen, die sie trägt.
Schritt 5: Plausibilitätsprüfung. Überprüfe die Gesamtbewertung auf Konsistenz. Gibt es Widersprüche? Ist die Verteilung plausibel (nicht alles "sehr hoch")? Sind die Vererbungen korrekt?
Schritt 6: Dokumentation und Freigabe. Dokumentiere die Ergebnisse mit Begründungen, lege sie der Geschäftsführung zur Freigabe vor und definiere den nächsten Review-Termin.
Der gesamte Prozess dauert für ein Unternehmen mit 50 bis 250 Mitarbeitern typischerweise zwei bis vier Wochen, wenn ein aktuelles Asset-Inventar vorliegt. Ohne Inventar kommt die Inventarisierung noch hinzu, was den Zeitrahmen auf sechs bis acht Wochen verlängert.
Dein nächster Schritt
Die Schutzbedarfsfeststellung verbindet dein Asset-Inventar mit der Risikobewertung und gibt dir eine belastbare Grundlage für die Priorisierung von Schutzmaßnahmen. Wenn du mit deinem ISMS gerade erst startest, konzentriere dich zuerst auf die 15 bis 20 wichtigsten Assets. Eine saubere Schutzbedarfsfeststellung für die kritischen Assets ist wertvoller als eine oberflächliche Bewertung für 200 Assets.
Weiterführende Artikel
- IT-Asset-Management für das ISMS: Inventar, Kritikalität und Klassifizierung
- Risikobewertung im ISMS: Methodik, Matrix und Praxisbeispiel
- Business Impact Analyse (BIA) durchführen: Geschäftsprozesse bewerten
- Risikobehandlung: Mitigieren, Akzeptieren, Transferieren oder Vermeiden
- ISMS aufbauen: Der komplette Leitfaden für Unternehmen mit 50 bis 500 Mitarbeitern
Und denke daran: Die Schutzbedarfsfeststellung ist ein Werkzeug, kein Selbstzweck. Ihr Wert liegt nicht in der Tabelle, die am Ende herauskommt, sondern in den Gesprächen, die du auf dem Weg dorthin führst. Wenn der Vertriebsleiter zum ersten Mal darüber nachdenkt, welchen Schaden ein CRM-Ausfall tatsächlich verursacht, und die HR-Leiterin realisiert, was eine Offenlegung der Personaldaten für die Betroffenen bedeuten würde, dann hat die Schutzbedarfsfeststellung ihren Zweck erfüllt.