Schutzbedarfsfeststellung
Die Schutzbedarfsfeststellung ermittelt für jeden Informationswert, wie hoch der Schutzbedarf in den Grundwerten Vertraulichkeit, Integrität und Verfügbarkeit ist, und bildet so die Grundlage für die Auswahl angemessener Sicherheitsmaßnahmen.
Die Schutzbedarfsfeststellung ist ein zentraler Schritt im Informationssicherheitsmanagement und ordnet jedem schützenswerten Wert (Asset) wie Informationen, IT-Systemen, Anwendungen, Räumen oder Kommunikationsverbindungen einen Schutzbedarf zu. Bewertet wird dieser getrennt für die drei klassischen Grundwerte der Informationssicherheit: Vertraulichkeit (Schutz vor unbefugter Kenntnisnahme), Integrität (Schutz vor unbefugter oder unbemerkter Veränderung) und Verfügbarkeit (rechtzeitige Nutzbarkeit für berechtigte Zwecke). Üblich ist eine Einstufung in Kategorien wie "normal", "hoch" und "sehr hoch", abgeleitet aus den potenziellen Schadensauswirkungen.
Methodisch stützt sich die Schutzbedarfsfeststellung im BSI IT-Grundschutz auf zuvor definierte Schadensszenarien, etwa Verstöße gegen Gesetze und Verträge, Beeinträchtigung des informationellen Selbstbestimmungsrechts, Gefahr für Leib und Leben, beeinträchtigte Aufgabenerfüllung, negative Außenwirkung sowie finanzielle Auswirkungen. Bei zusammengesetzten Werten greifen Vererbungsprinzipien: Das Maximumprinzip überträgt den höchsten Schutzbedarf der verarbeiteten Informationen auf das System, das Kumulationsprinzip berücksichtigt die Häufung mehrerer Werte und das Verteilungsprinzip kann den Schutzbedarf senken, wenn Funktionen redundant verteilt sind.
Das Ergebnis der Schutzbedarfsfeststellung steuert unmittelbar die Auswahl und Tiefe der Sicherheitsmaßnahmen sowie das nachgelagerte Risikomanagement: Werte mit hohem oder sehr hohem Schutzbedarf erfordern eine ergänzende Risikoanalyse, während für normalen Schutzbedarf die Standard-Absicherung nach IT-Grundschutz oder gleichwertige Maßnahmen genügen. Eine dokumentierte und regelmäßig aktualisierte Schutzbedarfsfeststellung ist damit ein wesentlicher Baustein eines wirksamen ISMS und unterstützt den Nachweis angemessener technischer und organisatorischer Maßnahmen, wie ihn ISO/IEC 27001 und die NIS2-Richtlinie verlangen.
Rechtliche Grundlage
BSI-Standard 200-2 (IT-Grundschutz-Methodik); ISO/IEC 27001 (insb. Anhang A.5.12 Informationsklassifizierung); Art. 21 NIS2-Richtlinie (EU) 2022/2555
Praxisbeispiel
Ein Stadtwerk als Betreiber kritischer Infrastruktur führt für sein Abrechnungssystem eine Schutzbedarfsfeststellung durch. Da das System personenbezogene Verbrauchsdaten verarbeitet, wird die Vertraulichkeit als "hoch" eingestuft; weil fehlerhafte Abrechnungen erhebliche finanzielle und rechtliche Folgen hätten, gilt für die Integrität ebenfalls "hoch". Die Verfügbarkeit wird zunächst als "normal" bewertet, da ein Ausfall von wenigen Stunden tolerierbar ist. Aufgrund der Hoch-Einstufung löst die Informationssicherheitsbeauftragte eine ergänzende Risikoanalyse aus und dokumentiert die Begründungen revisionssicher für das nächste TISAX- bzw. ISO-27001-Audit.
Häufige Fragen
So unterstützt preeco Sie
Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.
Mehr erfahren