Warum die Schutzbedarfsfeststellung der erste Schritt ist
Immer noch oft unterbewertet: Informationssicherheit und Datenschutz sind heute Grundvoraussetzung für den Betrieb jeder Organisation. Unternehmen müssen sicherstellen, dass Informationen korrekt, vollständig und vertraulich behandelt werden. Gleichzeitig ist es unverzichtbar, dass die technischen Systeme, auf denen diese Informationen gespeichert, verarbeitet oder übertragen werden, zuverlässig funktionieren und wirksam gegen eine Vielzahl an Gefährdungen geschützt sind – von klassischen Angriffen bis zu immer neu entstehenden Bedrohungen.
Um dies leisten zu können, genügt es nicht, einzelne technische Maßnahmen einzuführen oder Dokumente zu erstellen. Der erste Schritt muss sein, die Kenntnis über die vorhandenen Informationen und deren Schutzbedarf zu gewinnen. Erst daraus lassen sich Risiken ableiten und fundierte Entscheidungen treffen. Wer diesen Weg konsequent beschreitet, baut die Grundlage für ein Informationssicherheits-Managementsystem (ISMS), das nicht nur auf Standards verweist, sondern auf einer soliden Analyse des eigenen Unternehmens beruht.
1) Ausgangspunkt: Die Werte im Unternehmen
Wir beginnen immer mit den Informationswerten – nicht mit Tools, nicht mit Policies. Bevor wir Prozesse prüfen oder Unterlagen erstellen, klären wir, welche Informationen, Daten und Systeme im Unternehmen tatsächlich vorhanden sind und wofür sie genutzt werden. Ohne diese Transparenz bleibt jede Maßnahme Zufall.
Was meinen wir mit Informationswerten?
-
Daten: personenbezogen, unternehmensintern, vertraulich, öffentlich
-
Dokumente und Datensätze: Verträge, Konstruktionsdaten, Forschungsergebnisse, Produktionspläne, Finanzdaten
-
Anwendungen und Services: ERP, DMS, M365-Dienste, Branchensoftware
-
Technische Ressourcen: Server, Cloud-Dienste, Netzsegmente
-
Geschäftsprozesse, die diese Informationen erzeugen, verarbeiten oder benötigen
In der Praxis arbeiten wir mit Gruppierungen statt mit Inventarlisten: Prozesse werden zu sinnvollen Clustern zusammengefasst. Jede Gruppe wird als ein Objekt behandelt – schneller, klarer und auditfähig.
2) Schutzbedarf als Fundament
Die Schutzbedarfsfeststellung beantwortet die Frage: Wie schwerwiegend wären die Schäden für unsere Organisation, wenn bestimmte Informationen oder Systeme beeinträchtigt würden?
Dazu nutzen wir standardisierte Schadensszenarien:
-
Recht & Verträge
-
Persönlichkeitsrechte
-
Gesundheit & Unversehrtheit
-
Aufgabenerfüllung
-
Reputation & Außenwirkung
-
Finanzielle Auswirkungen
Das Vorgehen ist dabei immer gleich: Wir nehmen ein Informationsobjekt und prüfen es nacheinander gegen alle Schadensszenarien. Für jedes Szenario durchlaufen wir die drei Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit.
Beispiel: Finanzielle Auswirkungen
-
Vertraulichkeit: Werden Daten an unbefugte Empfänger übermittelt, drohen Bußgelder oder Vertragsstrafen.
-
Integrität: Werden Kundendaten verfälscht, entstehen Kosten durch fehlerhafte Rechnungen oder aufwändige Korrekturen.
-
Verfügbarkeit: Fällt das System für mehrere Tage aus, können keine Aufträge mehr bearbeitet werden – die Folge sind entgangene Umsätze und hohe Wiederanlaufkosten.
Beispiel: Reputation & Außenwirkung
-
Vertraulichkeit: Veröffentlichung vertraulicher Geschäftskorrespondenz schädigt das Vertrauen massiv.
-
Integrität: Manipulierte Inhalte zerstören die Glaubwürdigkeit von Kommunikation.
-
Verfügbarkeit: Ein Ausfall des E-Mail-Systems führt zu gravierenden Problemen und negativem Echo bei Kunden und Partnern.
Diese Schleifenlogik – Objekt × Szenario × Schutzziel – macht die Bewertung nachvollziehbar, reproduzierbar und auditfest.
3) Von Schutzbedarf zu Risiken
Schutzbedarf beantwortet die Frage „Wie schlimm wäre es?“. Risiken beantworten „Wie wahrscheinlich ist es – und warum?“.
Dazu trennen wir drei Faktoren:
-
Gefahr: mögliche Ursache eines Schadens (z. B. Ransomware, Fehlbedienung, Lieferantenausfall)
-
Exposition: wie stark Objekt/Prozess betroffen ist (z. B. Angriffsfläche, Schnittstellen, Abhängigkeiten)
-
Verwundbarkeit: Reifegrad und Lücken der bestehenden Kontrollen (technisch, organisatorisch, vertraglich)
Risiko = Gefahr × Exposition × Verwundbarkeit.
So entsteht eine fokussierte Risikolandschaft, in der klar wird: Was muss behandelt werden, was kann behandelt werden, was akzeptiert wird – bewusst und dokumentiert.
4) Praxisgerechte Vorgehensweise für KMU
Viele Unternehmen empfinden die BSI-Vorgaben als zu schwergewichtig. Deshalb nutzen wir ein vereinfachtes, auditfestes Vorgehen, das pragmatisch bleibt:
-
Management einbinden und Risikobereitschaft klären
-
Überblick schaffen, Komplexität reduzieren
-
Schutzbedarf strukturiert bestimmen
-
Detaillierte Risikoanalysen nur bei hohem Bedarf durchführen
-
Maßnahmen priorisieren und realistisch umsetzen
-
Kontinuierliche Verbesserung (PDCA) etablieren
So bleibt der Prozess überschaubar – und dennoch fundiert.
5) Verantwortung der Geschäftsleitung
Informationssicherheit und Datenschutz sind Leitungsaufgaben. Die Geschäftsführung muss auf Basis einer klaren Analyse entscheiden, wo sie investiert, welche Risiken sie akzeptiert und wie sie ihre Organisation schützt.
Dokumentierte Entscheidungen schaffen Transparenz, Nachweisbarkeit und Rechtssicherheit – und schützen so nicht nur das Unternehmen, sondern auch die Verantwortlichen selbst.
6) Fazit: Erst Struktur, dann Maßnahmen
Die Kette lautet: Werte → Schutzbedarf → Risiken → Maßnahmen → Betrieb.
Das ist kein Selbstzweck, sondern der einzige Weg zu wirksamer, wirtschaftlicher und auditfester Informationssicherheit. Unser Anspruch ist die Beinahe-Goldrand-Lösung: tragfähig, pragmatisch, transparent.
7) Der nächste Schritt: Vom Schutzbedarf zur Umsetzung
Schutzbedarfsfeststellung und Risikoanalyse sind kein Endpunkt, sondern der eigentliche Startpunkt. Erst hier beginnt der Aufbau eines ISMS oder DSMS: Anforderungen werden in technische, organisatorische und vertragliche Maßnahmen übersetzt – und in den Betrieb integriert.
Die Arbeit fängt hier erst richtig an. Wer aber mit Struktur beginnt, baut auf einem soliden Fundament.
Lassen Sie uns Ihre Schutzbedarfsfeststellung strukturiert angehen. Gemeinsam schaffen wir Transparenz, priorisieren Risiken und definieren wirksame Maßnahmen – nachvollziehbar, dokumentiert und umsetzbar.