Schutzbedarfsfeststellung als Grundlage eines Sicherheitskonzepts

Die Vorgehensweise bei der Schutzbedarfsfeststellung folgt einem systematischen Schema, das sicherstellt, dass alle relevanten Risiken und Schutzgüter berücksichtigt werden. Zunächst werden Schutzbedarfskategorien definiert, um den Grad der Schutzwürdigkeit einordnen zu können. Darauf aufbauend erfolgt eine Risikoanalyse mit typischen Bedrohungsszenarien und der Bewertung möglicher Schadensausmaße. Schließlich werden Verantwortlichkeiten festgelegt, um die Umsetzung der identifizierten Anforderungen zu gewährleisten. Im Detail umfasst die Methodik folgende Schritte:

In Deutschland haben sich – insbesondere angelehnt an die BSI-Grundschutz-Methodik – drei zentrale Schutzbedarfskategorien etabliert: „normal“, „hoch“ und „sehr hoch“. Teilweise wird noch eine unterste Stufe „gering“ hinzugefügt, um Bagatellrisiken abzubilden.

• Gering: keine nennenswerten Auswirkungen (vernachlässigbares Schadensausmaß)

• Normal: begrenzte, überschaubare Auswirkungen (spürbare, aber verkraftbare Schäden)

• Hoch: beträchtliche Auswirkungen (erhebliche Schäden, die aber nicht existenzbedrohend sind)

• Sehr hoch: katastrophale Auswirkungen bis hin zu existenziell bedrohlichen Folgen für das Unternehmen

Die Einordnung eines Geschäftsprozesses, einer Information oder Anlage in diese Kategorien erfolgt durch Betrachtung typischer Schadensszenarien. Man fragt sich: „Was wäre, wenn...?“ – z.B. „Was wäre die Folge, wenn System X komplett ausfällt oder kompromittiert wird?“. Dabei ist es wichtig, verschiedene Dimensionen des Schadens zu betrachten (nicht nur finanzielle Verluste).

• Personenbezogener Schaden: Betrifft die persönliche Unversehrtheit oder das Recht auf informationelle Selbstbestimmung. Etwa: Könnten Menschen verletzt werden oder Leben gefährdet sein? Würde die Verletzung der Vertraulichkeit Persönlichkeitsrechte verletzen? (Beispiel: Verlust von personenbezogenen Daten, Gesundheitsdaten-Leak).

• Wirtschaftlicher Schaden: Finanzielle Verluste oder betriebswirtschaftliche Auswirkungen. Etwa: Umsatzeinbußen, Vertragsstrafen, Produktionsausfälle, Wiederherstellungs- und Incident-Kosten.

• Rechtlicher Schaden: Verstöße gegen Gesetze, Vorschriften oder Verträge mit daraus resultierenden Konsequenzen. Dazu zählen Geldstrafen, behördliche Sanktionen (z.B. DSGVO-Bußgelder) oder Vertragsstrafen sowie Haftungsansprüche.

• Reputationsschaden: Negative Außenwirkung und Vertrauensverlust bei Kunden, Partnern oder Öffentlichkeit. Ein Imageverlust kann langfristig Marktanteile kosten oder den Unternehmenswert mindern.

• Schaden für die Aufgabenerfüllung: **Beeinträchtigung der Geschäftsprozesse oder der öffentlichen Aufgabenerfüllung】. Hierunter fällt z.B., wenn ein kritischer Prozess ausfällt und das Unternehmen seinen Versorgungsauftrag oder seine Dienstleistung nicht mehr erbringen kann (besonders bedeutsam bei KRITIS: z.B. Ausfall einer Energieversorgung).

Anhand solcher Szenarien wird abgeschätzt, ob ein Vorfall geringe, spürbare, gravierende oder existentielle Folgen hätte – und entsprechend wird das Schutzgut in normal, hoch oder sehr hoch eingestuft. Wichtig ist die Nachvollziehbarkeit: Die Bewertung muss begründet werden (z.B. durch Angabe, welches Gesetz verletzt würde oder wie viele Millionen Euro Schaden entstehen könnten). Oft werden für einzelne Schadenskategorien Schwellenwerte definiert, um die Einstufung zu erleichtern (etwa: reputationskritisch, wenn >100.000 Kunden betroffen; wirtschaftlich existenzbedrohend, wenn > x % vom Jahresumsatz Verlust).

Die genannten Schadenskategorien dienen dazu, das Schadenspotenzial systematisch zu bewerten. Dabei kommt es auf zwei Parameter an: die Eintrittswahrscheinlichkeit eines Szenarios und das Schadenausmaß im Fall des Eintritts. Streng genommen fließt die Wahrscheinlichkeit erst im nächsten Schritt (Risikoanalyse) ein – zunächst wird beim Schutzbedarf oft vom Worst-Case ausgegangen, d.h. man beurteilt die maximal denkbaren Schäden unter der Annahme, dass ein gravierender Vorfall eintritt.

Hier werden pro Kategorie (personell, wirtschaftlich, rechtlich, reputativ etc.) jeweils qualitative Stufen definiert, die mit den Schutzbedarfskategorien korrespondieren. Ein Beispiel nach BSI-Standard 100-4: „hoch“ entspricht erheblichen Auswirkungen, „sehr hoch“ steht für existenzbedrohliche Auswirkungen, während „normal“ spürbare, aber begrenzte Auswirkungen meint. Wenn nun z.B. ein Szenario den Tod oder die schwere Verletzung von Personen beinhalten könnte, wäre in der Kategorie persönliche Unversehrtheit das Schadensausmaß als sehr hoch (untragbar) zu bewerten. Ähnlich, ein denkbarer Gesetzesverstoß mit Strafbarkeit würde in der Kategorie rechtlich ein hohes Ausmaß darstellen, während ein kleiner Vertragsverstoß ein normales Ausmaß sein mag.

Es hat sich bewährt, Tabellen oder Matrizen zu verwenden, in denen für jede Schadenskategorie Schwellen definiert sind. Diese werden individuell ans Unternehmen angepasst (z.B. was ist für eine große Behörde finanziell erheblich vs. für ein KMU?). Wichtig: Nicht jede Schadensart ist für jede Organisation gleich relevant – daher kann man Schadenskategorien auch gewichten. Beispielsweise mag ein Behörden-IT-System weniger auf Umsatzschaden fokussiert sein, dafür aber enorm auf Aufgabenerfüllung. Die Methodik bleibt aber konsistent: Der höchste Schutzbedarf in einer der Kategorien gibt in der Regel den Gesamt-Schutzbedarf für das betrachtete Objekt vor. Wenn also eine Information z.B. geringe finanzielle Bedeutung hat, aber hoch sensible persönliche Daten enthält (rechtlich/personenbezogen sehr kritisch), so ist insgesamt mit „sehr hoch“ zu schützen.

Nach der qualitativen Bewertung kann – insbesondere für Risikobetrachtungen – die Eintrittswahrscheinlichkeit ins Spiel kommen. Ein Risiko ergibt sich klassisch aus Schadenshöhe × Eintretenswahrscheinlichkeit. Doch bei der Schutzbedarfsfeststellung im engeren Sinne konzentriert man sich meist auf die Schadenshöhe (weil Sicherheitsmaßnahmen vorrangig an den potenziellen Folgen ausgerichtet werden). Die Wahrscheinlichkeiten werden dann bei der konkreten Risikoanalyse genutzt, um zu entscheiden, welche Bedrohungen zuerst adressiert werden. So oder so ist das Endergebnis dieses Schritts eine Klassifizierung aller relevanten Objekte (Informationen, Systeme, Gebäude, Prozesse) in eine Schutzbedarfsklasse.

Grundlage der Schutzbedarfsfeststellung ist eine klare Definition der Schutzgüter und des Untersuchungsbereichs. Als Schutzgut (auch Zielobjekt oder Asset) kommt alles in Betracht, was für das Unternehmen einen Wert darstellt und durch Sicherheitsmaßnahmen geschützt werden soll.

• Menschen: Mitarbeiter, Kunden, Besucher – ihr Leben, ihre Gesundheit und ihr Wohlbefinden. Auch das Wissen und die Erfahrung (Know-how) von Schlüsselpersonen kann als schutzbedürftiges Gut gelten.

• Informationen und Daten: Geschäftsgeheimnisse, Kundendaten, Produktionspläne, personenbezogene Daten, Forschungsresultate usw. – sowohl in elektronischer Form (IT-Systeme, Datenbanken) als auch in Papierform.

• Infrastrukturen und Anlagen: Physische Einrichtungen wie Gebäude, Fabrikanlagen, Rechenzentren, Serverräume, Energieanlagen, Transportmittel. Bei KRITIS insbesondere die Anlagen, deren Ausfall die Versorgung der Allgemeinheit beeinträchtigen würde (z.B. Stromnetz-Komponenten, Krankenhausequipment).

• Geschäftsprozesse und Dienstleistungen: Die Abläufe und Prozessketten, die für die Erfüllung des Unternehmenszwecks nötig sind (z.B. Fertigungsprozesse, Logistik, IT-Services, Finanztransaktionen). Gerade Prozesse haben oft Abhängigkeiten: Ein Prozess kann unkritisch erscheinen, aber ein vor- oder nachgelagerter Prozess hat hohen Schutzbedarf – dann erbt der Gesamtprozess ggf. einen höheren Schutzbedarf, um die Kette nicht zu gefährden.

Bei der Schutzbedarfsanalyse muss der gesamte Informationsverbund betrachtet werden. Praktisch bedeutet dies, dass man oft zuerst eine Inventarisierung durchführt: Welche Assets und Prozesse gibt es überhaupt? Diese werden dann strukturiert (z.B. in Kategorien wie oben) und priorisiert analysiert. Häufig ist es sinnvoll, gleichartige Objekte zu Gruppen zusammenzufassen, um den Aufwand zu reduzieren – z.B. kann man alle Arbeitsplatzrechner pauschal als eine Gruppe betrachten, alle Mitarbeiterdaten als ein Informationsverbund etc., solange deren Schutzbedarf vergleichbar ist.

Eine tragende Rolle in der Methodik spielt die Zuordnung von Verantwortlichkeiten. Sicherheit ist kein rein technisches Thema, sondern erfordert organisatorische Verankerung. Gemäß Best Practices (u.a. BSI-Standard 200-2) muss die oberste Leitungsebene die Verantwortung für die Schutzbedarfsfeststellung und das gesamte Sicherheitsmanagement übernehmen. Die Geschäftsführung bzw. Behördeleitung hat den Sicherheitsprozess zu initiieren, zu steuern und zu kontrollieren und die Entscheidungen über den Umgang mit identifizierten Risiken zu treffen. Insbesondere obliegt es der Leitung, die nötigen Ressourcen bereitzustellen – Budget, Personal, Zeit – um Schutzmaßnahmen entsprechend dem festgestellten Bedarf umzusetzen.

Allerdings kann und soll die operative Durchführung delegiert werden. In vielen Unternehmen existieren dazu definierte Rollen: etwa ein Informationssicherheitsbeauftragter (CISO) für IT-Risiken, ein Sicherheitsmanager/Werkschutzleiter für physische Sicherheit, ein Datenschutzbeauftragter für DSGVO-Themen etc. Diese verantwortlichen Personen oder Gremien koordinieren die Schutzbedarfsfeststellung in ihren Bereichen, führen die Risikoanalysen durch und überwachen die Umsetzung der Maßnahmen. Wichtig ist die Einbindung aller relevanten Bereiche: IT, Gebäudemanagement, Personalabteilung, Rechtsabteilung, Fachabteilungen – sie alle liefern Input, welche Werte schützenswert sind und welche Bedrohungen bestehen.

Auch Mitarbeiter selbst tragen Verantwortung: Sicherheitsbewusstsein und Melden von Auffälligkeiten gehören zur Sicherheitskultur. Letztlich muss der Sicherheitsprozess von allen mitgetragen werden; die Leitung hat dafür Sorge zu tragen, dass alle Beschäftigten sensibilisiert und ihren Aufgaben entsprechend geschult sind.

Die Dokumentation der Verantwortlichkeiten erfolgt meist in Form von Sicherheitsrichtlinien oder Organigrammen. So wird z.B. festgelegt, wer für die Aktualisierung der Schutzbedarfsanalyse zuständig ist, wer Risikoentscheide freigibt (oft das Management bei hohen Risiken) und wer im Fall eines Sicherheitsvorfalls agiert (Notfallteam etc.). Klare Verantwortlichkeiten sind auch aus Haftungssicht zentral: Nur wenn Aufgaben definiert sind, kann man prüfen, ob die Verantwortlichen ihren Pflichten nachkommen (Stichwort Übertragung von Pflichten im Arbeitsschutz: der Arbeitgeber kann Pflichten delegieren, muss aber Eignung und Kontrolle sicherstellen).

Nach der methodischen Analyse stellt sich die Frage, wie die ermittelten Schutzbedarfe im Unternehmensalltag umgesetzt werden. Dies betrifft die Integration in Managementsysteme, die Umsetzung konkreter Schutzmaßnahmen – insbesondere im Bereich Bewachung und Objektschutz – sowie die fortlaufende Dokumentation und Anpassung. Auch externe Sicherheitsdienstleister spielen oft eine Rolle. Im Folgenden werden diese Aspekte beleuchtet.

Eine Schutzbedarfsfeststellung entfaltet ihren Nutzen erst dann voll, wenn sie Teil eines ganzheitlichen Sicherheitsmanagements wird. In vielen Unternehmen existieren Management-Systeme, die Sicherheit strukturieren, z.B. ein Information Security Management System (ISMS) nach ISO 27001 oder ein betriebliches Sicherheitsmanagement nach branchenspezifischen Standards. Die Ergebnisse der Schutzbedarfsanalyse fließen hier direkt ein: Im ISMS bilden sie die Grundlage für das Risikomanagement nach ISO 27005 – d.h. identifizierte Risiken (basierend auf Schutzbedarf und Bedrohungen) werden bewertet und behandelt (Akzeptieren, Transfer, Minderungsmaßnahmen etc.).

Auch im Notfall- und Kontinuitätsmanagement (Business Continuity Management, BCM) ist die Schutzbedarfsfeststellung ein zentraler Input. Sie definiert z.B., welche Prozesse maximal tolerierbare Ausfallzeiten haben (RTO/RPO) und daher im Notfallplan ganz oben stehen. BSI-Standards wie der 100-4 (Notfallmanagement) empfehlen, für die Notfallvorsorge ebenfalls Schadenskategorien zu nutzen, die konsistent mit der vorangegangenen Schutzbedarfsbewertung sind. So werden Notfallpläne für hoch oder sehr hoch eingestufte Prozesse priorisiert erstellt und regelmäßig geübt.

Im physischen Sicherheitsmanagement (z.B. Security Management Systems nach VdS oder internationalen Standards) dienen die Schutzbedarfsergebnisse dazu, Schutzklassen für Objekte/Anlagen festzulegen. Beispielsweise könnte man Liegenschaften je nach Kritikalität in Sicherheitsstufen einteilen: Stufe 1 normaler Schutz, Stufe 3 Hochsicherheitsbereich mit verstärkten Kontrollen. Entsprechend werden dann Sicherheitszonen eingerichtet, Zugangskontrollstufen definiert etc. Auch bei der Investitionsplanung hilft die frühzeitige Bedarfsfeststellung: Hoch kritische Systeme werden ggf. redundant ausgelegt (Stichwort Resilienz), es werden Back-up-Rechenzentren betrieben, zusätzliche Schutztechnologien angeschafft usw., während bei weniger kritischen Bereichen kostengünstigere Lösungen genügen.

Schließlich ist auch die Verzahnung mit Compliance-Management und Auditprozessen wichtig. Viele Regelwerke fordern explizit eine Risiko- oder Schutzbedarfsanalyse (z.B. TISAX in der Automobilindustrie, BAIT in Banken). Die praktische Umsetzung bedeutet hier, dass die Schutzbedarfsfeststellung periodisch durchgeführt und von der Internen Revision oder externen Prüfern nachvollzogen werden kann. Die Einbindung in ein formelles Managementsystem erleichtert diese Nachweisführung erheblich.

Im Bereich der physischen Sicherheit (Werkschutz, Objektschutz, Zugangskontrollen) manifestiert sich der festgestellte Schutzbedarf sehr konkret in Sicherheitsmaßnahmen vor Ort.

• Zutrittskontrollen: Je nach Schutzbedarf sind Zugänge strikt zu regeln. Bei normalem Schutzbedarf reicht evtl. eine Ausweiskontrolle am Empfang; bei hohem Bedarf kommen elektronische Zugangssysteme (Karten, biometrische Scanner) zum Einsatz, Schleusen oder Vereinzelungsanlagen. Sehr hohe Schutzbereiche (z.B. Rechenzentrum, Chemielabor) erfordern meist Mehr-Faktor-Authentifizierung, Besucherbegleitung und klare Zonierung (Außenhaut, Innenzone, Hochsicherheitsbereich).

• Objektschutz und Streifen: Der Werkschutz führt präventive Überwachungsrundgänge und Gelände-Patrouillen durch. Die Frequenz und Intensität richtet sich nach dem Gefährdungsgrad: In kritischen Bereichen 24/7-Bewachung mit engmaschigen Rundgängen, Einsatz von Wachhunden oder spezielle Interventionskräfte. Bei geringerem Schutzbedarf evtl. nur stichprobenartige Kontrollgänge oder Technikeinsatz statt Personal.

• Technische Sicherheitseinrichtungen: Innovative Sicherheitstechnik ist integraler Bestandteil moderner Sicherheitskonzepte. Dazu gehören z.B. Videoüberwachungssysteme (Kameras mit Videoanalyse, teils fernüberwacht durch Leitstellen), Einbruchmeldeanlagen (EMA) mit Sensoren an Fenstern/Türen, Brandmeldeanlagen und Zutrittssensorik. Bei hohem Schutzbedarf werden diese Systeme redundant ausgelegt und direkt auf eine 24h-Notruf- und Serviceleitstelle (NSL) geschaltet. Auch Spezialtechnik wie Drohnendetektion, Sprengstoffscanner oder Metall-Detektoren können je nach Szenario zum Einsatz kommen. Die Kombination von geschultem Personal und neuester Technik verspricht das höchste Maß an Sicherheit.

• Personelle Maßnahmen: Qualifikation und Anzahl des Sicherheits-personals werden an den Bedarf angepasst. Hochprofessionelles, geschultes Personal ist unabdingbar für die Betreuung von Objekten mit hohem Risiko. Schulungen in Deeskalation, Erste Hilfe, Brandschutz, IT-Notfallverfahren etc. gehören dazu. Oft wird ein Schichtsystem mit ausreichender Personalstärke eingerichtet, um auch bei Urlaub/Krankheit die Sicherheit nonstop zu gewährleisten. Zusätzlich können bewaffnete Sicherheitskräfte oder Zusammenarbeit mit der Polizei erforderlich sein, wenn das Bedrohungsszenario (z.B. Terrorgefahr) dies nahelegt.

• Schutz von Personen & Wissen: Bei sehr hohem Schutzbedarf kann auch der Personenschutz für Schlüsselpersonen (z.B. Vorstände, Wissenschaftler in Rüstungsbetrieben) ein Thema sein. Ebenso zählen zum Objektschutz ggf. Begleitschutz von Transporten (Geld, Wertgegenstände, Gefahrgut) und Maßnahmen der Spionageabwehr (abschirmende Räume, Handyverbote, sichere Konferenzräume).

All diese Maßnahmen werden im Sicherheitskonzept dokumentiert und sollten eng an der vorangegangenen Schutzbedarfsermittlung ausgerichtet sein. So wird sichtbar begründet, warum bspw. ein Standort eine Videoüberwachung und 24h-Wachschutz hat (etwa weil dort ein sehr hohes Schutzgut – z.B. eine KRITIS-Anlage – betrieben wird). Regelmäßig arbeiten Unternehmen mit externen Sicherheitsdienstleistern zusammen, um diese Maßnahmen umzusetzen (siehe 4.4). Wichtig ist, klare Verträge und Leistungsbeschreibungen zu haben, die die erkannten Sicherheitsanforderungen abdecken – z.B. vorgeschriebene Rundgangintervalle, Reaktionszeiten im Alarmfall, Mindestqualifikation der Mitarbeiter etc.

Die Dokumentation ist ein essenzieller Bestandteil der Schutzbedarfsfeststellung und ihrer Umsetzung. Jedes Unternehmen sollte einen schriftlichen Bericht oder eine Datenbank führen, in der für alle wichtigen Schutzgüter der festgestellte Schutzbedarf, die maßgeblichen Szenarien und die daraus abgeleiteten Maßnahmen festgehalten sind. Dieser Schutzbedarfskatalog bildet die Grundlage für Audits und ist ein lebendiges Dokument.

Regelmäßige Überprüfung bedeutet: Die Schutzbedarfsfeststellung ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Mindestens in regelmäßigen Abständen (typisch jährlich oder alle zwei Jahre) sowie anlassbezogen (bei wesentlichen Änderungen oder Sicherheitsvorfällen) muss die Analyse aktualisiert werden. Änderungen im Unternehmen – neue Geschäftsprozesse, neue Bedrohungslagen, organisatorische Änderungen – können den Schutzbedarf beeinflussen. Beispiel: Einführung einer neuen Technologie (z.B. IoT-Geräte in der Produktion) kann neue Angriffsflächen schaffen, die vorher nicht bewertet waren; oder eine Verschärfung der Gesetzeslage (etwa Höherstufung von zuvor unkritischen Daten durch neue DSGVO-Auslegung) kann den Schutzbedarf erhöhen.

Viele Standards (BSI, ISO) fordern explizit eine Kontrollschleife: Plan – Do – Check – Act (PDCA). Im Kontext Schutzbedarf heißt dies: Plan = Feststellen, Do = Maßnahmen umsetzen, Check = Wirksamkeit prüfen, Act = bei Abweichungen nachsteuern. Die Wirksamkeitsprüfung der Sicherheitsmaßnahmen ist dabei ebenso wichtig wie die initiale Bedarfsermittlung. So verlangt z.B. Art. 32 DSGVO ausdrücklich, dass die getroffenen technischen und organisatorischen Maßnahmen auch regelmäßig auf Wirksamkeit geprüft werden müssen (Penetrationstests, Notfallübungen etc.). Wenn Prüfungen oder Audits Lücken offenbaren, ist die Dokumentation zu aktualisieren und der Schutzbedarf ggf. neu zu bewerten.

Ein weiterer Aspekt der Überprüfung ist die Nachweispflicht gegenüber Dritten (siehe Abschnitt 6): Viele Unternehmen unterliegen Auditpflichten durch Behörden oder Kunden. Eine sauber dokumentierte Schutzbedarfsfeststellung mit Historie (Versionsständen, Verantwortlichen, Genehmigungen) zeigt im Ernstfall, dass man seinen Sorgfaltspflichten systematisch nachkommt.

Externe Dienstleister können in zweifacher Hinsicht eine Rolle spielen: (a) als Berater/Auditoren bei der Erstellung der Schutzbedarfsfeststellung, und (b) als Leistungserbringer von Sicherheitsmaßnahmen (z.B. Bewachungsunternehmen, IT-Security-Provider).

• Beratungsdienstleister: Gerade kleinere Unternehmen holen sich häufig externe Expertise, um eine professionelle Risiko- und Schutzbedarfsermittlung durchzuführen. Sicherheitsberatungen oder Zertifizierer (TÜV, ISO-Auditoren) kennen Best Practices und helfen bei der Einhaltung von Standards. Wichtig ist hier, dass trotz externer Zuarbeit die Verantwortung im Unternehmen verbleibt – d.h. interne Verantwortliche müssen die Ergebnisse nachvollziehen und tragen können. Oft werden externe Beratungen auch herangezogen, um Security Assessments oder Penetrationstests durchzuführen, deren Ergebnisse dann in die Schutzbedarfsanalyse einfließen (z.B. Erkenntnis über verwundbare Systeme -> höherer Bedarf).

• Sicherheitsdienstleister: Im Bereich Werkschutz/Bewachung ist es üblich, dass Firmen einen externen Wachdienst nach § 34a GewO beauftragen. Diese Dienstleister müssen behördlich zugelassen sein und ihr Personal geschult haben. Für die Qualität der Sicherheitsleistung bleibt jedoch das Auftraggeber-Unternehmen mitverantwortlich. Praktisch bedeutet das: Die Schutzbedarfsfeststellung sollte den Dienstleister anleiten. Man muss vertraglich sicherstellen, dass der Dienstleister die erforderlichen Sicherheitsniveaus einhält (z.B. Alarmverfolgung in max. 5 Minuten, Videoüberwachung durch qualifizierte NSL-Mitarbeiter etc.). Auch regelmäßige Abstimmungen und Reporting (Wachdienstberichte, Vorfallsprotokolle) sind wichtig, damit das Unternehmen die Wirksamkeit der outgesourcten Maßnahme prüfen kann. In KRITIS-Bereichen fordern Aufsichtsbehörden zunehmend den Nachweis, dass Outsourcing-Partner den gleichen Sicherheitsstandards genügen wie interne Einheiten.

Ein Spezialfall externer Einbindung sind Notfall- und Krisendienste: Hier zählen z.B. externe Computer Emergency Response Teams (CERTs) oder Incident-Response-Anbieter, mit denen vorab Service Level Agreements getroffen werden, um im Ernstfall schnell reagieren zu können. Deren Einbindung basiert ebenfalls auf identifizierten Schutzbedarfen – etwa ein SOC (Security Operations Center) für 24/7 Monitoring wird man nur für hochkritische Infrastrukturen betreiben (intern oder extern), während ein normaler Betrieb vielleicht kein eigenes SOC benötigt.

Die Grundprinzipien der Schutzbedarfsfeststellung gelten universell, jedoch gibt es zwischen Branchen teils erhebliche Unterschiede in Fokus und Ausgestaltung. Kritische Infrastrukturen etwa unterliegen branchenspezifischen Vorgaben, während andere Unternehmen mehr Freiraum haben.

• Energie- und Wasserversorgung: Hier liegt der Schwerpunkt auf der Aufrechterhaltung der Versorgung. Die Schutzbedarfsanalyse fokussiert stark auf Verfügbarkeitsrisiken (Blackout-Szenarien, Sabotage von Netzsteuerung). Branchenspezifische Sicherheitsstandards (B3S Energie, Wasser) definieren konkrete Maßnahmen, z.B. physische Absicherung von Umspannwerken oder Redundanz in der Netzleittechnik. Eine Herausforderung ist die geografische Verteilung – Anlagen über Land verteilt erfordern abgestufte Schutzkonzepte (nicht jeder Strommast kann bewacht werden, aber Knotenpunkte sehr wohl). Zudem greift hier oft Sektorenregulierung durch Aufsichtsbehörden (z.B. die Bundesnetzagentur verlangt IT-Sicherheitskataloge nach EnWG für Energieanlagen).

• Gesundheitswesen: Krankenhäuser und pharmazeutische Einrichtungen müssen sowohl personenschutz (Patientenwohl) als auch Datenschutz (Patientendaten) hoch priorisieren. Die Schutzbedarfsfeststellung in Kliniken ergibt fast immer für Leben und Gesundheit sehr hohen Schutzbedarf – Notfallstromversorgung, funktionierende OPs etc. sind kritisch. Gleichzeitig sind Patientendaten nach DSGVO hochsensibel. Hier existiert ein B3S für die medizinische Versorgung, der als Stand der Technik gilt. Eine besondere Herausforderung ist die Verzahnung von IT und Medizingeräten (Stichwort IoMT): Ein infizierter medizintechnischer Rechner kann Leben gefährden, was interdisziplinäre Risikoteams erfordert.

• Finanzsektor: Banken und Versicherungen haben von Natur aus hohen Schutzbedarf bei Integrität und Verfügbarkeit von Daten. Reputationsschäden sind ebenfalls extrem kritisch – ein gehacktes Online-Banking kann zu massivem Vertrauensverlust führen. Regulatorisch gibt es neben BSIG/KRITIS auch Vorgaben der Finanzaufsicht (BaFin), z.B. die BAIT (Bankaufsichtliche Anforderungen an die IT). Diese fordern u.a. ein Risikomanagement-System, das sehr vergleichbar zur Schutzbedarfsfeststellung agiert. Eine Herausforderung im Finanzsektor ist die Internationalität: Institute müssen oft globale Standards (z.B. NIST, PCI-DSS) zusätzlich beachten und die Schutzbedarfe verschiedener Jurisdiktionen abgleichen.

• Industrie/Produktion: Je nach Industriezweig variieren die Risiken. In der Chemie etwa steht der Katastrophenschutz im Vordergrund (Störfallverordnung, Explosionsschutz): Die Schutzbedarfsanalyse muss Explosionen, Giftgaswolken etc. als Szenarien berücksichtigen – hier verschwimmen Safety und Security. In der Automobil- oder High-Tech-Produktion sind wiederum Betriebsgeheimnisse (Rezepte, Designs) das Kronjuwel – Spionageabwehr und Know-how-Schutz prägen dort die Sicherheitskonzepte. Branchenspezifisch gibt es Initiativen wie TISAX (Automotive), welche standardisierte Schutzstufen für Informationen definieren, um zwischen Partnern einheitliche Sicherheit zu gewährleisten.

• Behörden und öffentliche Verwaltung: Neben dem Schutz sensibler Daten (Bürgerregister, Polizeiakten etc.) tritt hier das Thema Geheimschutz hinzu, sofern VS-NfD oder höhere Geheimhaltungsgrade berührt sind. Behörden nutzen das SÜG und die Allgemeine Verwaltungsvorschrift zum materiellen Geheimschutz. Die Schutzbedarfsfeststellung im Behördenumfeld ist oft formalisiert durch Regelwerke (z.B. IT-Grundschutz-Profil für Bundesbehörden) und muss politische Implikationen beachten (z.B. Ausfall einer Verwaltung in Krisenzeiten). Herausforderungen sind begrenzte Budgets und die Notwendigkeit, Sicherheitsmaßnahmen mit dem Grundsatz der Wirtschaftlichkeit im öffentlichen Dienst zu vereinbaren.

• KMU und andere Branchen: In weniger regulierten Branchen (Handel, Handwerk, Dienstleistung ohne kritische Größe) ist die Herangehensweise freier. Hier zeigt sich die Herausforderung, angemessenen Aufwand zu betreiben: Kleine Unternehmen haben oft begrenzte Ressourcen für ausführliche Schutzbedarfsanalysen. Dennoch gelten natürlich DSGVO und Arbeitsschutz gleichermaßen. Oft fehlen KMU branchenspezifische Leitfäden; sie können aber auf allgemeine Standards (ISO 27001, BSI IT-Grundschutz) zurückgreifen, um ihren Schutzbedarf systematisch zu ermitteln.

Wo spezielle gesetzliche Vorgaben existieren, sollten diese in die Schutzbedarfsfeststellung einfließen. Beispiel: Für KRITIS-Betreiber sind branchenspezifische Sicherheitsstandards (B3S) verfügbar; setzt ein Betreiber diese um, wird gesetzlich angenommen, dass die Anforderungen des § 8a BSIG erfüllt sind. Dadurch entfällt eine aufwändige Einzelprüfung jeder Maßnahme – man verlässt sich darauf, dass der B3S die typischen Schutzbedarfe des Sektors abgedeckt hat. Für Unternehmen ist es daher vorteilhaft, sich an solchen sektoralen Best Practices zu orientieren, um nichts Wesentliches zu übersehen.

Herausforderungen entstehen zudem aus neuen branchentypischen Risiken: So sieht sich etwa der Lebensmittelsektor (nicht klassisch IT-KRITIS) vermehrt mit „Food Defense“-Fragen konfrontiert (Schutz vor Sabotage der Lebensmittelkette), und der Hochschulsektor mit dem Schutz von Forschungsdaten vor staatlicher Spionage. Die Schutzbedarfsfeststellung muss flexibel genug sein, solche branchenspezifischen Risiken adäquat zu berücksichtigen.

Rechtsnormen verlangen nicht nur präventiv die Durchführung von Risiko- und Schutzbedarfsanalysen, sondern etablieren auch Prüfmechanismen, um die Umsetzung zu kontrollieren. Unternehmen müssen daher darauf vorbereitet sein, ihre Sicherheitsvorsorge gegenüber Gerichten oder Behörden zu belegen.

• Behördliche Prüfungen: Für KRITIS-Betreiber konkretisiert § 8a Abs. 3 BSIG eine Nachweispflicht: Mindestens alle zwei Jahre ist dem BSI oder einer prüfenden Stelle zu bestätigen, dass angemessene Sicherheitsvorkehrungen implementiert sind. Dies erfolgt oft durch Einreichung eines Auditberichts oder einer Zertifizierung. Das BSI kann zudem anlassbezogen Prüfungen durchführen: Nach § 8a Abs. 4 BSIG darf das BSI bei Verdacht auf Mängel während der Betriebszeiten Zugang zu den Betriebsräumen verlangen, Unterlagen einsehen und Mitarbeiter befragen. In solchen Prüfungen wird man insbesondere die Dokumentation der Schutzbedarfsfeststellung und des umgesetzten Sicherheitskonzepts vorlegen müssen. Lücken oder unplausible Einstufungen können zu Auflagen führen. Für Betreiber kritischer Anlagen gibt es zudem die Pflicht, Störungen und Sicherheitsvorfälle zu melden (§ 8b BSIG). Kommt es zu einem meldepflichtigen Vorfall, wird im Nachgang oft überprüft, ob die angemessenen Schutzmaßnahmen ergriffen worden waren – was sich wiederum auf die vorgängige Schutzbedarfsermittlung bezieht.

• Auch andere Regulierer fordern Nachweise: Etwa verlangt die Datenschutz-Aufsicht im Fall von Datenschutzverletzungen die Vorlage der technischen-organisatorischen Maßnahmen – de facto also, ob man anhand des Risikos die richtigen Schutzvorkehrungen getroffen hatte. Arbeitgeber können von der Gewerbeaufsicht oder Unfallversicherungsträgern aufgefordert werden, ihre Gefährdungsbeurteilungen (ArbSchG) vorzulegen. Wenn in einem Betrieb z.B. ein Mitarbeiter durch einen Überfall zu Schaden kam, könnte die Behörde prüfen, ob es ein Sicherheitskonzept zum Schutz der Mitarbeiter gab und ob dieses auf Basis einer Gefährdungsanalyse erstellt wurde.

• Gerichtliche Anforderungen: Gerät ein Vorfall vor Gericht – sei es Zivilgericht (Schadenersatzklage) oder gar Strafgericht (Verantwortlichkeit für ein Unglück) – dient eine lückenlose und sachgerechte Dokumentation der Schutzbedarfsfeststellung als wichtiger Entlastungsbeweis. Gerichte bewerten die „objektive Sorgfaltspflichtverletzung“: War die Sicherheit im Rahmen dessen, was ein sorgfältiger und umsichtiger Organträger hätte tun müssen? Indikatoren hierfür sind anerkannte Normen und Standards. Hält sich ein Unternehmen an etablierte Standards (ISO, BSI, Branchenstandards), spricht das dafür, dass es die im Verkehr erforderliche Sorgfalt gewahrt hat. Umgekehrt kann das Unterlassen einer offensichtlichen Sicherheitsmaßnahme – etwa keine Zugangskontrolle in einem hochsensiblen Bereich – als Fahrlässigkeit gewertet werden.

• In der Praxis fordern Gerichte bei komplexen Lagen oft Sachverständigengutachten an: Experten bewerten nachträglich, ob das Sicherheitskonzept angemessen war. Diese stützen sich wiederum auf die vorhandenen Analysen des Unternehmens. Daher ist es im Interesse des Unternehmens, eine saubere Schutzbedarfs-Dokumentation zu führen: darin ist idealerweise erkennbar, warum gewisse Entscheidungen getroffen wurden (z.B. „Asset X wurde nur als normal eingestuft, weil ...“). Sollte sich im Nachhinein herausstellen, dass die Einstufung falsch war, kann zumindest dargelegt werden, dass man sie nach bestem Wissen und entlang branchenüblicher Methodik vorgenommen hat – was haftungsrechtlich besser ist, als gar keine Einschätzung vorweisen zu können.

• Nachweispflichten ergeben sich auch vertraglich: In vielen Lieferbeziehungen – gerade bei Auslagerung kritischer Funktionen – verlangen Auftraggeber von Auftragnehmern Sicherheitsnachweise. Ein Rechenzentrumsbetreiber muss z.B. gegenüber Kunden zertifizieren, dass er Tier-III oder ISO-27001-Standards erfüllt (was indirekt bedeutet, dass er Schutzbedarfe analysiert hat). Versicherungen (z.B. Cyber-Versicherungen) verlangen bei Abschluss oft Informationen zum Risikomanagement; im Schadensfall prüfen sie genau, ob das Unternehmen die angegebenen Sicherheitsmaßnahmen umgesetzt hatte, um zu entscheiden, ob grobe Fahrlässigkeit vorliegt und Leistungen gekürzt werden.

• Nicht zuletzt werden branchenspezifische Aufsichten wie BaFin, Bundesnetzagentur, Kassenärztliche Bundesvereinigung etc. im Rahmen ihres Prüfauftrags immer wieder Berichte über die IT- und Betriebssicherheit sehen wollen. So müssen z.B. Banken jährlich ein ICS (Internes Kontrollsystem)-Reporting abgeben, in dem IT-Risiken und -Maßnahmen aufgeführt sind. Hier fließt ebenfalls die Schutzbedarfsthematik mit ein, da dort wichtige Systeme identifiziert und kategorisiert werden.

Unternehmen müssen vorbereitet sein, jederzeit ihr Sicherheitskonzept verteidigen und nachweisen zu können. Die Schutzbedarfsfeststellung bildet dabei das Fundament der Rechenschaftspflicht – sie zeigt, dass man strukturiert vorgegangen ist, Risiken erkannt hat und angemessen gehandelt hat. Dieses Fundament hilft sowohl gegenüber Behörden (um Auflagen zu erfüllen und Strafen zu vermeiden) als auch vor Gericht (um Haftungsansprüche abzuwehren oder zu mindern).

Die Schutzbedarfsfeststellung bleibt ein dynamisches Feld, das sich an neue Technologien, Bedrohungen und regulatorische Änderungen anpassen muss.

• Einfluss künstlicher Intelligenz (KI): KI-Technologien werden einerseits als Werkzeuge im Sicherheitsmanagement Einzug halten, andererseits aber auch neue Risiken erzeugen. Auf der Habenseite kann KI helfen, Risikobewertungen zu verfeinern – etwa durch Auswertung großer Datenmengen über Vorfälle, automatisierte Schwachstellen-Scans oder Simulation von Angriffsszenarien (Stichwort Threat Intelligence). KI-gestützte Systeme zur Angriffserkennung (wie Anomalieerkennung in Netzwerken) sind schon heute gefordert. Gleichzeitig entstehen durch KI neue Bedrohungen: Deepfakes und Social Engineering Bots können personalisierte Angriffe fahren, was in der Schutzbedarfsanalyse künftig berücksichtigt werden muss (z.B. Schutz vor CEO-Fraud per KI-Stimme). Auch die Abhängigkeit von KI-Modellen selbst könnte zum Schutzgut werden, falls KI etwa in Steuerungsanlagen eingesetzt wird – dann braucht es Konzepte für deren Verlässlichkeit und Manipulationssicherheit.

• Erweiterung der KRITIS-Definition und NIS2-Richtlinie: Ab 2025ff. ist mit neuen gesetzlichen Vorgaben zu rechnen, insbesondere durch die EU-Richtlinie NIS2, die in nationales Recht umgesetzt wird. Diese wird den bisheringen KRITIS-Begriff erweitern und mehr Unternehmen einbeziehen (z.B. mittelgroße “wichtige Einrichtungen” in Sektoren wie Abfallentsorgung, öffentliche Verwaltung, Raumfahrt, Lebensmittelproduktion u.a.). Die Bundesregierung plant ein sogenanntes KRITIS-Dachgesetz, um die verschiedenen Sicherheitsgesetze (BSIG, EnWG, TKG etc.) kohärent zu gestalten. Dies bedeutet, dass noch mehr Unternehmen als bisher verpflichtet werden, Schutzbedarfsfeststellungen bzw. Risikoanalysen nach bestimmten Standards durchzuführen und Nachweise zu erbringen. Die klassischen Unterscheidungen (KRITIS vs. UBI vs. “sonstige”) könnten sich ändern – NIS2 spricht von wesentlichen und wichtigen Sektoren, was eine neue Kategorisierung mit sich bringt. Unternehmen tun gut daran, die Gesetzgebung im Blick zu behalten und frühzeitig zu prüfen, ob sie neu erfasst werden. Mit mehr Regulierung steigt auch der Bedarf an standardisierten Methoden: Möglich ist, dass branchenübergreifend einheitlichere Risikomanagement-Vorgaben kommen, um Vergleichbarkeit herzustellen.

• Geopolitische Lage und Bedrohungsentwicklung: Die letzten Jahre (z.B. der Krieg in der Ukraine, Spannungen im Cyberraum) haben gezeigt, dass staatlich gesteuerte Angriffe auf Unternehmen Realität sind – von Sabotageakte auf Gas-Pipelines bis zu großangelegten Hackerangriffen auf Behörden. Die Schutzbedarfsfeststellung muss diese Bedrohungsdimension stärker einbeziehen: Szenarien wie flächendeckende Stromausfälle durch Cyberangriffe, Desinformationskampagnen gegen Unternehmen, oder Sanktionen und Lieferkettenabbrüche sind Teil der modernen Risikoanalyse. Auch der Aspekt Spionage/Geheimschutz rückt für Wirtschaftsunternehmen mehr in den Vordergrund, da Know-how in kritischen Branchen (Rüstung, Halbleiter, Biotech) begehrt ist. Dies hat bereits regulatorische Antworten provoziert (vgl. SÜG-Novelle für KRITIS wegen Insidergefahr). Unternehmen werden also künftig vermehrt mit Sicherheitsüberprüfungen des Personals und internationalen Sicherheitsauflagen umgehen müssen, was die Schutzbedarfsfeststellung um den Faktor Innere Sicherheit ergänzt.

• Technologische Konvergenz (OT/IT, Cloud, IoT): Die fortschreitende Verschmelzung von klassischer Betriebstechnik (OT) mit IT und die Auslagerung von Diensten in die Cloud verändern das Spielfeld. Wo früher klare Abgrenzungen waren (z.B. physische Anlage vs. IT-System), gibt es heute hybride Systeme. Die Schutzbedarfsfeststellung der Zukunft muss ganzheitlicher sein: Ein IIoT-Gerät etwa hat sowohl einen physischen Aspekt (Gerätesicherheit, evtl. Arbeitsschutz) als auch einen Informationsaspekt (Datenintegrität, Netzsicherheit). Cloud-Dienste bedeuten, dass Unternehmenswerte auf fremder Infrastruktur liegen – hier kommen Vertragsprüfungen und Zertifikate ins Spiel, um den Schutzbedarf abzudecken. Standards wie die ISO 27001 und der BSI-Grundschutz entwickeln sich weiter, um diesen Wandel abzubilden (z.B. neue Module für Cloud-Security, ICS-Security). Unternehmen müssen ihre Methodik entsprechend updaten.

• Kultur und Organisation: Schließlich bewegt sich was in den Unternehmenskulturen. Sicherheit wird immer mehr als Teil der Corporate Governance gesehen. Vorstandsetagen fragen nach Cyber-Risikolage, Aufsichtsräte installieren Cyber-Ausschüsse. Diese Entwicklung wird dazu führen, dass Schutzbedarfsfeststellungen häufiger auf höchster Ebene präsentiert werden und als Entscheidungsgrundlage dienen. Möglicherweise werden Versicherer und Investoren Sicherheitsniveau und Risikoanalysen zu einem Kriterium machen (analog zu ESG-Standards), was Druck erzeugt, hier sehr professionell zu agieren.