Schutzbedarfsfeststellung: Kronjuwelen erkennen und Informationssicherheit gezielt steuern

von Jörg Apel


Schutzbedarfsfeststellung: Warum Unternehmen zuerst ihre Kronjuwelen kennen müssen

1. Management-Zusammenfassung

Informationssicherheit beginnt nicht mit Technik. Sie beginnt mit einer einfachen Managementfrage: Welche Informationen, Prozesse und Systeme sind für unser Unternehmen wirklich kritisch?

Die Schutzbedarfsfeststellung liefert genau diese Antwort. Sie zeigt, welche Unternehmenswerte besonders geschützt werden müssen, weil ihr Verlust, ihre Manipulation oder ihr Ausfall erhebliche geschäftliche Schäden verursachen würde. Im BSI IT-Grundschutz wird dabei der mögliche Schaden für die Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit betrachtet.

Für Geschäftsführer und Führungskräfte ist die Schutzbedarfsfeststellung deshalb kein technisches Detail, sondern ein strategisches Steuerungsinstrument. Sie macht sichtbar, wo die „Kronjuwelen“ des Unternehmens liegen: Kundendaten, Produktionssysteme, Rezepturen, Vertragsdaten, ERP-Systeme, Finanzinformationen, Entwicklungsunterlagen oder zentrale Cloud-Dienste.

Ohne diese Klarheit werden Sicherheitsbudgets häufig nach Bauchgefühl verteilt. Mit einer strukturierten Schutzbedarfsfeststellung entsteht dagegen eine belastbare Grundlage für Risikomanagement, NIS2-Umsetzung, Lieferantenbewertung, Notfallmanagement und ISO-27001-Projekte. ISO 27001 beschreibt ein Informationssicherheitsmanagementsystem als systematischen Rahmen zur Einführung, Umsetzung, Aufrechterhaltung und Verbesserung von Informationssicherheit.

2. Warum das Thema wichtig ist: Die Kronjuwelen kennen

Viele Unternehmen schützen zu viel an der falschen Stelle und zu wenig dort, wo es wirklich kritisch wird. Genau das ist gefährlich.

Ein mittelständischer Produktionsbetrieb kann beispielsweise viel Aufwand in den Schutz allgemeiner Office-Systeme investieren, während die Produktionssteuerung, die Maschinenanbindung oder die Verfügbarkeit des ERP-Systems nur unzureichend betrachtet werden. Ein IT-Dienstleister kann seine interne Büro-IT gut absichern, aber unterschätzen, dass Administrationszugänge zu Kundensystemen das eigentliche Kronjuwel darstellen.

Die Schutzbedarfsfeststellung zwingt Unternehmen zu einer klaren Priorisierung. Sie beantwortet nicht abstrakt die Frage, ob Informationssicherheit wichtig ist. Sie beantwortet konkret, was geschützt werden muss und wie stark.

Das ist besonders wichtig, weil nicht jede Information denselben Schutzbedarf hat. Eine öffentlich zugängliche Marketingbroschüre ist anders zu bewerten als eine Kundenliste, ein Angebot mit vertraulichen Preisen oder ein Systemzugang mit Administrationsrechten. Erst wenn diese Unterschiede nachvollziehbar bewertet sind, können Sicherheitsmaßnahmen wirtschaftlich angemessen geplant werden.

Aus meiner Sicht ist die Schutzbedarfsfeststellung einer der besten Einstiege in ein wirksames Informationssicherheitsmanagement. Sie ist verständlich, praxisnah und liefert schnell Ergebnisse, die auch außerhalb der IT verstanden werden.

3. Welche Risiken reduziert werden

Die Schutzbedarfsfeststellung reduziert vor allem ein zentrales Managementrisiko: Fehlsteuerung.

Ohne klare Schutzbedarfsbewertung werden Risiken häufig gleichbehandelt. Das führt entweder zu Überregulierung oder zu gefährlichen Lücken. Beides ist problematisch. Überregulierung bindet Ressourcen, erzeugt Frust und macht Informationssicherheit unnötig teuer. Unterregulierung lässt kritische Systeme, Daten oder Dienstleister ungeschützt.

Eine saubere Schutzbedarfsfeststellung hilft dabei, Sicherheitsentscheidungen nachvollziehbar zu treffen. Sie macht sichtbar, welche Prozesse für Umsatz, Lieferfähigkeit, Kundenvertrauen, regulatorische Anforderungen oder Betriebsfähigkeit besonders wichtig sind. Daraus lassen sich Prioritäten für Risikomanagement, Notfallplanung und Investitionen ableiten.

Damit wird die Schutzbedarfsfeststellung zur Vorstufe des Risikomanagements. Zuerst wird geklärt, welche Werte besonders schützenswert sind. Danach wird analysiert, welche Bedrohungen und Schwachstellen diese Werte gefährden. Erst anschließend werden Maßnahmen ausgewählt.

Diese Reihenfolge ist entscheidend. Wer direkt mit einer Risikoanalyse beginnt, ohne den Schutzbedarf zu kennen, bewertet Risiken oft ohne tragfähige Geschäftsgrundlage. ISO 27001 verlangt eine strukturierte Bewertung und Behandlung von Informationssicherheitsrisiken im Kontext der Organisation. Die Schutzbedarfsfeststellung liefert dafür eine sehr praktikable Vorarbeit.

4. Revisionssichere Dokumentation: Warum Nachvollziehbarkeit zählt

Eine Schutzbedarfsfeststellung ist nur dann belastbar, wenn sie dokumentiert ist. Nicht übertrieben bürokratisch, aber nachvollziehbar.

In der Praxis reicht es nicht aus, dass einzelne Personen „ungefähr wissen“, welche Systeme wichtig sind. Dieses Wissen muss so festgehalten werden, dass es auch bei Audits, Managementbewertungen, Personalwechseln oder Sicherheitsvorfällen verfügbar ist.

Revisionssichere Dokumentation bedeutet in diesem Zusammenhang vor allem: Die Bewertung muss nachvollziehbar, versioniert, freigegeben und begründet sein. Es sollte erkennbar sein, welches Objekt bewertet wurde, welcher Schutzbedarf für Vertraulichkeit, Integrität und Verfügbarkeit festgestellt wurde, welche Begründung dahintersteht und wer die Bewertung fachlich bestätigt hat.

Ein praxistauglicher Dokumentationssatz besteht aus Geschäftsprozessen, zugeordneten Informationen, Anwendungen, IT-Systemen, Dienstleistern, Verantwortlichen und Schutzbedarfsbewertungen. Wichtig ist dabei nicht die perfekte Tool-Landschaft, sondern die Konsistenz der Bewertung.

Für Audits ist diese Nachvollziehbarkeit besonders wertvoll. Sie zeigt, dass Sicherheitsmaßnahmen nicht zufällig entstanden sind, sondern aus einer strukturierten Bewertung abgeleitet wurden. Genau das unterscheidet ein reaktives Sicherheitsniveau von einem steuerbaren Informationssicherheitsmanagement.

5. Lieferkettensicherheit: Welche Lieferanten geprüft werden sollten

Unter NIS2 und durch die zunehmende Abhängigkeit von Cloud-, IT- und Dienstleistungspartnern wird Lieferkettensicherheit zur Führungsaufgabe. Die NIS2-Richtlinie zielt auf ein höheres Cybersicherheitsniveau in kritischen Sektoren und adressiert dabei ausdrücklich Risikomanagement und die Sicherheit von Lieferkettenbeziehungen.

Die Schutzbedarfsfeststellung hilft dabei, Lieferanten nicht pauschal, sondern risikoorientiert zu bewerten. Entscheidend ist die Frage: Welcher Lieferant hat Einfluss auf unsere Kronjuwelen?

Ein externer IT-Dienstleister mit Administrationsrechten ist anders zu bewerten als ein Büroartikellieferant. Ein Cloud-Anbieter, der personenbezogene Daten oder geschäftskritische Anwendungen verarbeitet, verdient eine deutlich intensivere Prüfung als ein Dienstleister ohne Zugriff auf kritische Informationen. Ein Softwareanbieter, dessen Lösung für Produktion, Logistik oder Abrechnung unverzichtbar ist, muss ebenfalls besonders betrachtet werden.

In der Praxis sollten vor allem Lieferanten geprüft werden, die Zugriff auf sensible Daten haben, kritische Systeme betreiben, privilegierte Zugänge besitzen, zentrale Geschäftsprozesse unterstützen oder im Notfallbetrieb eine Rolle spielen.

Damit wird Lieferantenmanagement deutlich effizienter. Das Unternehmen prüft nicht „alle irgendwie“, sondern konzentriert Aufwand, Zeit und Budget auf diejenigen Partner, deren Ausfall oder Sicherheitsmangel echte Geschäftsrisiken erzeugt.

6. Ressourcenplanung: Wie viel Zeit und Budget sind realistisch?

Viele Geschäftsleitungen befürchten, dass eine Schutzbedarfsfeststellung ein großes, teures Projekt wird. Diese Sorge ist verständlich, aber oft unbegründet.

Für ein KMU ist eine erste belastbare Schutzbedarfsfeststellung meist mit überschaubarem Aufwand möglich. Entscheidend ist, den Einstieg pragmatisch zu wählen. Es muss nicht sofort jedes einzelne Asset bis ins letzte Detail bewertet werden. Sinnvoller ist es, zunächst die wichtigsten Geschäftsprozesse, Informationen, Anwendungen und Dienstleister zu betrachten.

Bei kleineren Unternehmen kann ein erster Durchlauf oft in wenigen Workshops erfolgen. Bei mittelständischen Unternehmen ist ein Aufwand von mehreren Personentagen realistisch, abhängig von Anzahl der Standorte, Prozessvielfalt, IT-Landschaft und regulatorischer Relevanz. Der größte Aufwand liegt erfahrungsgemäß nicht in der Dokumentation, sondern im gemeinsamen Verständnis: Welche Prozesse sind wirklich kritisch? Welche Informationen dürfen keinesfalls verloren gehen? Welche Systeme müssen im Ernstfall zuerst wieder verfügbar sein?

Budgetär sollte die Schutzbedarfsfeststellung nicht als isolierter Kostenblock betrachtet werden. Sie spart später Aufwand, weil Risikoanalysen, Lieferantenaudits, Notfallplanung und Sicherheitsinvestitionen gezielter durchgeführt werden können. Eine gute Schutzbedarfsfeststellung verhindert teure Fehlpriorisierungen.

Meine klare Einschätzung: Für KMU gehört sie zu den wirtschaftlichsten Maßnahmen im Informationssicherheitsmanagement. Der Nutzen entsteht schnell, ist managementfähig erklärbar und wirkt in viele Folgeprozesse hinein.

7. Welche Sofortmaßnahmen sinnvoll sind

Der beste Einstieg ist ein konzentrierter Management-Workshop mit IT, Geschäftsleitung und ausgewählten Fachbereichen. Ziel ist nicht technische Vollständigkeit, sondern ein gemeinsames Bild der kritischen Unternehmenswerte.

Im ersten Schritt sollten die wichtigsten Geschäftsprozesse identifiziert werden. Danach wird betrachtet, welche Informationen, Anwendungen, Systeme, Räume und Dienstleister diese Prozesse unterstützen. Anschließend wird bewertet, welcher Schaden entstehen kann, wenn Vertraulichkeit, Integrität oder Verfügbarkeit verletzt werden.

Ein Beispiel aus dem KMU-Alltag: Fällt das ERP-System aus, betrifft das häufig Auftragsbearbeitung, Einkauf, Lager, Rechnungsstellung und Kundenkommunikation. Der Schutzbedarf liegt dann meist nicht nur in der Vertraulichkeit, sondern vor allem in der Verfügbarkeit und Integrität. Werden dort Daten manipuliert oder stehen sie nicht zur Verfügung, entsteht schnell ein geschäftlicher Schaden.

Parallel sollte festgelegt werden, wer Bewertungen freigibt und wie Änderungen gepflegt werden. Schutzbedarf ist nicht statisch. Neue Cloud-Dienste, neue Kundenanforderungen, neue regulatorische Pflichten oder geänderte Lieferketten können Bewertungen verändern.

8. Wie eine erfolgreiche Umsetzung erreicht wird

Erfolgreich wird die Schutzbedarfsfeststellung dann, wenn sie nicht als IT-Übung verstanden wird. Die IT kann moderieren, strukturieren und technische Zusammenhänge erklären. Die Bewertung des geschäftlichen Schadens muss jedoch aus den Fachbereichen und der Geschäftsleitung kommen.

Ein bewährtes Vorgehen besteht darin, mit den wichtigsten Geschäftsprozessen zu beginnen. Daraus werden Informationen, Anwendungen, Systeme und Lieferanten abgeleitet. Für jedes Zielobjekt wird der Schutzbedarf nach Vertraulichkeit, Integrität und Verfügbarkeit bewertet. Die Einstufung sollte kurz begründet und durch den jeweiligen Verantwortlichen bestätigt werden.

Wichtig ist außerdem eine klare Sprache. Begriffe wie „hoch“ oder „sehr hoch“ müssen im Unternehmen einheitlich verstanden werden. Idealerweise werden Schadensszenarien hinterlegt: finanzieller Schaden, Betriebsunterbrechung, Vertragsverletzung, Reputationsschaden, Datenschutzverletzung oder regulatorische Folgen.

So entsteht kein Papiertiger, sondern ein belastbares Steuerungsinstrument. Die Ergebnisse können direkt in Risikoanalysen, Maßnahmenplanung, Notfallkonzepte, Lieferantenbewertungen und Managementberichte übernommen werden.

Fazit

Die Schutzbedarfsfeststellung ist einer der wichtigsten ersten Schritte zu wirksamer Informationssicherheit.

Sie schafft Klarheit darüber, welche Informationen, Prozesse, Systeme und Lieferanten wirklich kritisch sind. Damit hilft sie Geschäftsleitungen, Sicherheitsbudgets gezielt einzusetzen, Risiken nachvollziehbar zu priorisieren und regulatorische Anforderungen belastbar zu erfüllen.

Der entscheidende Punkt lautet: Unternehmen müssen nicht alles gleich stark schützen. Aber sie müssen wissen, was besonders schützenswert ist.

Wer seine Kronjuwelen kennt, kann Informationssicherheit wirtschaftlich, risikoorientiert und managementfähig steuern. Wer sie nicht kennt, entscheidet im Zweifel nach Bauchgefühl. Und genau das ist in Zeiten von NIS2, Cyberangriffen und komplexen Lieferketten kein tragfähiges Führungsmodell mehr. 

Kommentare

Kommentar veröffentlichen

Beliebte Posts aus diesem Blog

BSI C5:2026

von Jörg Apel
Bild
Cloud-Sicherheit verständlich gemacht Was KMU und Entscheider jetzt wissen sollten 1. Executive Summary (Zusammenfassung) Mit der Veröffentlichung des aktualisierten Kriterienkatalogs C5:2026 am 7. April 2026 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den maßgeblichen Rahmen für sicheres Cloud-Computing neu definiert. Diese Fassung löst den bisherigen Standard C5:2020 ab und adressiert die rasanten technologischen Fortschritte sowie die verschärfte Bedrohungslage der letzten Jahre. Der Katalog wurde von 121 auf nunmehr 168 Kriterien in 17 Kontrollbereichen erweitert. Die Neuerungen umfassen zukunftsweisende Technologien wie Post-Quanten-Kryptografie (PQK), Confidential Computing und Container-Management sowie eine signifikante Schärfung der Anforderungen an die Lieferkettensicherheit und die Mandantentrennung.
Weiter lesen »

Datensicherung im KMU

von Jörg Apel
Bild
Warum Backup kein IT-Detail, sondern Geschäftsabsicherung ist Management Summary Datensicherung ist eine der wirksamsten und zugleich am häufigsten unterschätzten Sicherheitsmaßnahmen in kleinen und mittleren Unternehmen. Sie entscheidet im Ernstfall darüber, ob ein Betrieb nach einem Cyberangriff, einem Systemausfall oder einem Bedienfehler innerhalb weniger Stunden wieder handlungsfähig ist oder tagelang stillsteht.
Weiter lesen »

Incident Response in KMU

von Jörg Apel
Bild
Warum Incident Response als Prozess zur modernen Unternehmensführung gehört Management-Zusammenfassung Cyberangriffe gehören für kleine und mittlere Unternehmen längst zu den realen Geschäftsrisiken. Ransomware, Social Engineering, Business Email Compromise und gezielte Angriffe auf Lieferketten können nicht nur IT-Systeme beeinträchtigen, sondern unmittelbar Produktion, Lieferfähigkeit, Liquidität und Reputation gefährden. Damit wird Incident Response von einer rein technischen Reaktion zu einer zentralen Managementaufgabe.
Weiter lesen »