Zum Inhalt springen
FM-Connect Chat

Hallo! Ich bin Ihr FM-Connect Chat-Assistent. Wie kann ich Ihnen helfen?

FM-Solutionmaker: Gemeinsam Facility Management neu denken

Schutzbedarfsfeststellung als Grundlage eines Sicherheitskonzepts

Facility Management: Security » Sicherheitskonzept » Schutzbedarfsfeststellung

Schutzbedarfsfeststellung in betrieblicher Sicherheit

Schutzbedarfsfeststellung in betrieblicher Sicherheit

Die Schutzbedarfsfeststellung bezeichnet den systematischen Prozess, den erforderlichen Grad an Schutz für bestimmte Assets, Prozesse oder Bereiche eines Unternehmens zu ermitteln. Ziel ist es, fundierte und nachvollziehbare Einschätzungen darüber zu gewinnen, wie viel Schutz einzelne Objekte benötigen, um daraus angemessene Sicherheitsanforderungen und Maßnahmen abzuleiten. Mit anderen Worten: Durch die Schutzbedarfsfeststellung wird gesteuert, welche Bereiche erhöhte Sicherheitsmaßnahmen erfordern und wo Standardmaßnahmen ausreichen. Sie bildet damit den Grundstein eines jeden Sicherheitskonzepts, indem sie die Wertigkeit bzw. Kritikalität der Schutzgüter (etwa Informationen, Gebäude, Mitarbeiter, Prozesse) aus Sicht der möglichen Schadensauswirkungen bestimmt. In der Praxis ist die Schutzbedarfsfeststellung eine Kernkomponente des Risikomanagements: Nur wer die möglichen Auswirkungen von Sicherheitsvorfällen auf Geschäftsprozesse und Vermögenswerte realistisch bewertet, kann Prioritäten richtig setzen. So lässt sich vermeiden, „mit Kanonen auf Spatzen zu schießen“ oder umgekehrt kritische Risiken zu unterschätzen. Insgesamt verfolgt die Schutzbedarfsfeststellung das Ziel, ein den Risiken angemessenes Schutzniveau festzulegen und Ressourcen im Sicherheitsmanagement effizient einzusetzen.

Die zentralen Konzepte – Bewertung von Schäden, Kategorisierung des Schutzbedarfs, risikogerechte Maßnahmenplanung – haben sich bewährt und werden eher an Bedeutung gewinnen. Neue Regularien werden diese Praxis noch breiter einfordern, und neue Technologien werden sie unterstützen. Unternehmen sollten die Schutzbedarfsfeststellung als lebendes Instrument verstehen, das kontinuierlich gepflegt wird, um rechtlich compliant, organisatorisch vorbereitet und praktisch resilient zu sein gegenüber den Sicherheitsherausforderungen von morgen.

Rechtlicher Rahmen in Deutschland

In Deutschland ist die Schutzbedarfsfeststellung rechtlich eingebettet in diverse Gesetze und Vorschriften, die Vorgaben für Sicherheitsmaßnahmen und Risikoanalysen machen. Unternehmen – insbesondere Betreiber Kritischer Infrastrukturen (KRITIS) – müssen eine Vielzahl rechtlicher Anforderungen berücksichtigen, von spezialgesetzlichen IT-Sicherheitsvorgaben bis hin zu allgemeinen Haftungs- und Arbeitsschutzpflichten. Im Folgenden werden die wichtigsten Rechtsgrundlagen skizziert:

IT-Sicherheitsgesetz 2.0 und BSI-Gesetz (BSIG)

Das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0), in Kraft seit Mai 2021, hat die deutschen KRITIS-Vorgaben erheblich verschärft und erweitert. Es änderte u.a. das BSI-Gesetz und brachte mehr Pflichten für einen größeren Betreiberkreis, höhere IT-Sicherheitsanforderungen sowie erweiterte Befugnisse für Behörden. Konkret sind nun deutlich mehr Unternehmen als KRITIS eingestuft, und alle KRITIS-Betreiber müssen organisatorische und technische Sicherheitsvorkehrungen nach dem Stand der Technik umsetzen. Der „Stand der Technik“ wird vom BSI regelmäßig konkretisiert; seine Einhaltung können Unternehmen z.B. durch Audits, Prüfungen oder ISO-27001-Zertifizierungen nachweisen.

Wichtige Neuregelungen durch das IT-SiG 2.0 umfassen die Pflicht zum Einsatz von Systemen zur Angriffserkennung (§ 8a Abs. 1a BSIG): KRITIS-Betreiber müssen spätestens ab Mai 2023 fortlaufend Cyberangriffe mittels geeigneter technischer Werkzeuge (etwa IDS/SIEM) erkennen und abwehren. Zudem wurden verschärfte Melde- und Anzeigepflichten eingeführt: erhebliche IT-Störungen sind dem BSI zu melden und der Einsatz sogenannter kritischer Komponenten (bestimmte IT-Produkte, z.B. in Telekommunikationsnetzen) muss angezeigt werden. KRITIS-Betreiber müssen sich ferner unverzüglich beim BSI registrieren und eine 24/7-Kontaktstelle benennen. Durch diese neuen Anforderungen sollen die Sicherheitsmaßnahmen transparenter und behördlich überprüfbar werden. Bei Verstößen drohen spürbare Sanktionen – das IT-SiG 2.0 sieht Bußgelder bis zu 500.000 € vor, wenn bestimmte Pflichten (z.B. Registrierung, Berichtspflichten) nicht erfüllt werden.

Parallel zum IT-SiG 2.0 konkretisiert das BSI-Gesetz (BSIG) die Pflichten: Nach § 8a BSIG müssen KRITIS-Betreiber angemessene organisatorische und technische Vorkehrungen treffen, um Ausfälle ihrer kritischen Dienste zu vermeiden – unter Beachtung des Standes der Technik. Diese Maßnahmen dürfen nicht außer Verhältnis zum möglichen Schadenseintritt stehen, was eine direkte Verbindung zur Schutzbedarfsfeststellung darstellt: Die Investitionen sollen im Verhältnis zur Schadensschwere angemessen sein. Gemäß § 8a Abs. 3 BSIG sind Betreiber außerdem verpflichtet, die Einhaltung dieser Maßnahmen alle zwei Jahre gegenüber dem BSI nachzuweisen (etwa durch Sicherheitsaudits oder Prüfberichte). Das BSI wiederum ist befugt, die Umsetzung zu kontrollieren – es kann Einsicht in Unterlagen verlangen und Vor-Ort-Prüfungen durchführen oder durch unabhängige Dritte durchführen lassen. Weigert sich ein Betreiber oder bestehen begründete Zweifel an der Sicherheit, darf das BSI im Benehmen mit der zuständigen Aufsichtsbehörde Maßnahmen anordnen (bis hin zur Untersagung des Betriebs einer Komponente, vgl. § 8a Abs. 5, § 9b BSIG).

Zur Eingrenzung des Adressatenkreises definiert die BSI-Kritisverordnung (auf Grundlage von § 10 BSIG) die KRITIS-Sektoren und Schwellenwerte. Sie legt fest, welche Anlagen als kritische Infrastruktur gelten – qualitativ nach Sektor und Art der Einrichtung, quantitativ anhand von Schwellen (z.B. versorgte Personenzahlen, Produktionskapazitäten). Ursprünglich umfasst dies Sektoren wie Energie, Wasser, Ernährung, IT/TK, Transport, Gesundheit, Finanzwesen – durch Verordnungsteile 2016/2017 festgelegt. Durch künftige Novellen (Stichwort KRITIS-Dachgesetz und Umsetzung der EU-Richtlinie NIS2) ist ab 2024 mit einer Ausweitung auf weitere Sektoren und Betreiber zu rechnen. Ebenso wurde mit IT-SiG 2.0 der neue Betreiberkreis „Unternehmen im besonderen öffentlichen Interesse“ (UBI) eingeführt (z.B. große Unternehmen außerhalb klassischer KRITIS), die ebenfalls bestimmte IT-Sicherheitspflichten erfüllen müssen – jedoch werden diese UBI-Regelungen im Zuge von NIS2 voraussichtlich wieder in einer breiteren Regulierung aufgehen.

Datenschutz-Grundverordnung (DSGVO)

Sind personenbezogene Daten betroffen, greift die DSGVO mit strengen Anforderungen an die Datensicherheit. Gemäß Art. 32 DSGVO müssen Verantwortliche ein dem Risiko angemessenes Schutzniveau gewährleisten – also je höher das potentielle Schadensausmaß für die Rechte und Freiheiten Betroffener, desto umfangreichere technische-organisatorische Maßnahmen (TOM) sind nötig. Die DSGVO fordert explizit eine Risikoabwägung: Bei der Beurteilung der Angemessenheit sind insbesondere die Eintrittswahrscheinlichkeit und Schwere des Risikos zu berücksichtigen (Art. 32 Abs. 2 DSGVO) sowie Faktoren wie Stand der Technik, Implementierungskosten, Art und Umfang der Datenverarbeitung. Praktisch läuft dies auf eine Schutzbedarfsfeststellung der verarbeiteten Daten hinaus (oft Schutzklassen- oder Schutzstufenkonzepte genannt). Beispielsweise genießen sensible Daten (Gesundheitsdaten, politische Meinungen etc.) einen sehr hohen Schutzbedarf und erfordern entsprechend stärkere Maßnahmen. Werden diese Grundsätze missachtet und kommt es zu Datenschutzverletzungen, drohen erhebliche Bußgelder (bis zu 20 Mio. € oder 4% des weltweiten Umsatzes, Art. 83 DSGVO). Außerdem bestehen Meldepflichten für Datenschutzvorfälle (Art. 33 DSGVO) an die Aufsichtsbehörden sowie Benachrichtigungspflichten gegenüber den Betroffenen (Art. 34 DSGVO) – was den Druck erhöht, durch präventive Schutzbedarfsermittlung entsprechende Vorfälle zu vermeiden.

Betriebssicherheitsverordnung (BetrSichV) und Arbeitsschutz

Die Betriebssicherheitsverordnung (BetrSichV) ist primär dem Arbeitsschutz zuzuordnen und regelt die sichere Bereitstellung und Benutzung von Arbeitsmitteln in Unternehmen. Obwohl sie vordergründig nicht auf „Security“ zielt, schreibt sie doch eine Gefährdungsbeurteilung für Arbeitsmittel und Anlagen vor (§ 3 BetrSichV). Unternehmen müssen also ermitteln, welche Gefahren z.B. von Maschinen, Anlagen oder Gefahrstoffen ausgehen, und geeignete Schutzmaßnahmen treffen. Im Kontext betrieblicher Sicherheit bedeutet dies etwa: Physische Anlagen wie Druckkessel, elektrische Systeme oder etwa eine Werkschutzzentrale sind so abzusichern, dass weder Beschäftigte noch andere Personen durch technische Defekte, Fehlbedienungen oder Sabotage zu Schaden kommen. Insoweit ergänzt die BetrSichV die Schutzbedarfsanalyse im physischen Bereich – etwa beim Werkschutz müssen auch Arbeitssicherheit und technischer Schutz der eingesetzten Mittel (Alarmanlagen, Fahrzeuge, Schutzausrüstung) gewährleistet sein. Verstöße gegen diese Pflichten können behördliche Anordnungen und Bußgelder nach sich ziehen. Daneben sind Unternehmen durch das Arbeitsschutzgesetz (ArbSchG) verpflichtet, generell alle Gefährdungen für Mitarbeiter am Arbeitsplatz zu beurteilen und durch geeignete Maßnahmen zu minimieren (§ 5 ArbSchG). Hierzu zählen auch Sicherheitsrisiken wie z.B. Überfälle auf Kassenpersonal, Brand- oder Bombendrohungen, oder Gewalt gegen Wachpersonal – all dies fließt in einen umfassenden Schutzbedarf ein, der sowohl Safety (Unfallschutz) als auch Security (bewusste Schadenshandlungen) abdeckt.

Strafgesetzbuch (StGB §§ 202a ff.)

Das Strafrecht stellt einen weiteren wichtigen Referenzrahmen dar: Die §§ 202a bis 202d StGB schützen die Vertraulichkeit und Integrität informationeller Güter. So macht sich nach § 202a StGB strafbar, „wer sich unbefugt Zugang zu Daten verschafft, die für ihn nicht bestimmt und besonders gesichert sind“ – das sogenannte Ausspähen von Daten wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bedroht. § 202b StGB stellt analog das Abfangen von Daten (etwa das Mitlesen von Kommunikation) unter Strafe, und § 202c StGB verbietet das Vorbereiten solcher Taten (Herstellen oder Verbreiten von Hacking-Tools). Diese Strafnormen adressieren primär Angreifer, sie entfalten aber eine mittelbare Wirkung auf Unternehmen: Schutzbedarfsfeststellung bedeutet hier, technische und organisatorische Vorkehrungen zu identifizieren, um genau diese illegalen Handlungen zu verhindern. Beispielsweise sollte der Schutzbedarf für ein sensibles Datenbanksystem auch deshalb als „hoch“ eingestuft werden, weil ein erfolgreicher Hackerangriff nicht nur wirtschaftlichen Schaden, sondern potentiell Straftatbestände verwirklicht – mit möglichen Folgen auch für das Unternehmen (z.B. Imageschäden, behördliche Ermittlungen). Unternehmen sind zwar nicht direkt Täter dieser Delikte, können aber durch unzureichende Sicherung Angriffsmöglichkeiten bieten. Indirekt kann auch § 203 StGB (Verletzung von Betriebs- und Geschäftsgeheimnissen bzw. Geheimhaltungspflichten) relevant sein, wenn interne Schutzmaßnahmen fehlen und dadurch vertrauliche Informationen abfließen. Insgesamt unterstreichen §§ 202a ff. StGB die rechtliche Wertigkeit von Informationssicherheit – vertrauliche Daten haben aus Sicht der Rechtsordnung einen derart hohen Schutzbedarf, dass ihre Kompromittierung unter Strafandrohung gestellt ist.

Sicherheitsüberprüfungsgesetz (SÜG) und personelle Sicherheit

Gerade in sicherheitskritischen Unternehmen spielt die personelle Zuverlässigkeit eine herausragende Rolle. Das Sicherheitsüberprüfungsgesetz (SÜG) regelt bislang vorrangig die Überprüfung von Personen, die Zugang zu Staatsgeheimnissen oder sicherheitsempfindlichen Stellen im öffentlichen Dienst haben. Es sieht je nach Einstufung (Ü1, Ü2, Ü3) eine tiefgehende Prüfung der betreffenden Personen vor – inkl. Befragungen, Auskunft aus Registeren, ggf. Verfassungsschutzabfragen. Für privatwirtschaftliche KRITIS-Betreiber galt dies lange nur mittelbar, doch die jüngere Entwicklung zeigt eine Annäherung: Angesichts der gestiegenen Insider-Bedrohungen (z.B. Sabotageakte in Energieanlagen) plant das Bundesinnenministerium, Sicherheitsüberprüfungen auch in Unternehmen der kritischen Infrastruktur zu erleichtern bzw. auszuweiten. So sollen Beschäftigte in sicherheitsrelevanten Bereichen (etwa in der IT von KRITIS-Unternehmen) intensiver auf Zuverlässigkeit überprüft werden können, analog zum staatlichen Personal. Die Überprüfung kann etwa Social-Media-Screenings umfassen oder die Pflicht der Mitarbeiter, Kontakte zu fremden Nachrichtendiensten offenzulegen. Für die Schutzbedarfsfeststellung bedeutet dies: Positionen mit hohem Schutzbedarf (z.B. Leitstellen, Administratoren kritischer IT-Systeme) erfordern nicht nur technische, sondern auch organisatorisch-personelle Maßnahmen – etwa ein Berechtigungsmanagement, Vier-Augen-Prinzip oder eben die Auswahl besonders zuverlässigen Personals (inkl. Hintergrundchecks nach SÜG-Kriterien). Zwar ist die private Anwendung des SÜG derzeit noch freiwillig und auf bestimmte Branchen beschränkt, doch die Tendenz geht zu strengeren Vorgaben, um Insider-Risiken systematisch zu minimieren.

Arbeitsschutz- und Haftungsrecht

Neben den spezifischen Sicherheitsgesetzen darf das Haftungsrecht nicht außer Acht gelassen werden. Unternehmen und ihre Leitung unterliegen einer allgemeinen Verkehrssicherungspflicht: Wer Gefahren schafft oder unterhält, muss zumutbare Vorkehrungen treffen, dass daraus keine Schäden für Dritte entstehen. Eine zivilrechtliche Haftung greift immer dann, wenn eine Person schuldhaft eine Pflicht verletzt und dadurch einem anderen ein Schaden entsteht. Schuldhaft bedeutet vorsätzlich oder fahrlässig, also insbesondere durch Vernachlässigung der im Verkehr erforderlichen Sorgfalt. Übertragen auf die betriebliche Sicherheit heißt dies: Werden Schutzpflichten missachtet – etwa keine ausreichende Sicherung eines gefährlichen Bereichs, keine Alarmierung trotz bekannter Bedrohungslage – und kommt es dadurch zu einem Schaden (z.B. Einbruchdiebstahl, Personenschaden, Datendiebstahl), kann das Unternehmen bzw. verantwortliche Führungskräfte zivilrechtlich auf Schadensersatz in Anspruch genommen werden. Auch strafrechtlich kann Fahrlässigkeit relevant sein: Kommt beispielsweise ein Mitarbeiter durch mangelhafte Sicherheitsvorkehrungen zu Schaden, drohen unter Umständen Strafverfahren wegen fahrlässiger Körperverletzung oder – im Todesfall – fahrlässiger Tötung gegen Verantwortliche.

Das Arbeitsschutzrecht konkretisiert einige dieser Pflichten im Innenverhältnis zu den Beschäftigten. Arbeitgeber sind verpflichtet, ihre Mitarbeiter vor erkannten Gefahren zu schützen – sei es durch technische Maßnahmen (etwa Absicherungen, Sicherheitsausstattung), organisatorische Maßnahmen (Unterweisungen, Dienstanweisungen, Notfallübungen) oder personelle Maßnahmen (genügend Personal, Schulungen). Sicherheitskonzepte, die im Rahmen der Schutzbedarfsfeststellung entwickelt wurden, spielen hier eine doppelte Rolle: Zum einen dienen sie dem Schutz der Mitarbeiter selbst (z.B. muss für Wachpersonal ein Notfallplan bestehen, um Übergriffe handhaben zu können), zum anderen schützen sie Dritte und das Unternehmen. Managementhaftung: Die Geschäftsleitung ist gehalten, ein funktionierendes Sicherheitsmanagement einzurichten (Stichwort Organisationspflicht). Verletzen Manager diese Pflicht grob (z.B. völliges Fehlen einer Risikoanalyse trotz bekannter Risiken), können sie sogar persönlich haftbar werden, etwa im Rahmen von Managerhaftung/D&O-Fällen oder AktG § 93 (Sorgfaltspflichten von Vorständen). Gerichtliche Auseinandersetzungen nach Sicherheitsvorfällen prüfen oft genau, ob alle zumutbaren Maßnahmen getroffen wurden – eine sorgfältige Schutzbedarfsfeststellung und darauf basierende Dokumentation von Schutzmaßnahmen sind hier essentiell, um im Ernstfall Rechenschaft ablegen zu können.

Methodik der Schutzbedarfsfeststellung

Die Vorgehensweise bei der Schutzbedarfsfeststellung folgt einem systematischen Schema, das sicherstellt, dass alle relevanten Risiken und Schutzgüter berücksichtigt werden. Zunächst werden Schutzbedarfskategorien definiert, um den Grad der Schutzwürdigkeit einordnen zu können. Darauf aufbauend erfolgt eine Risikoanalyse mit typischen Bedrohungsszenarien und der Bewertung möglicher Schadensausmaße. Schließlich werden Verantwortlichkeiten festgelegt, um die Umsetzung der identifizierten Anforderungen zu gewährleisten. Im Detail umfasst die Methodik folgende Schritte:

Schutzbedarfskategorien und Schadensszenarien

In Deutschland haben sich – insbesondere angelehnt an die BSI-Grundschutz-Methodik – drei zentrale Schutzbedarfskategorien etabliert: „normal“, „hoch“ und „sehr hoch“. Teilweise wird noch eine unterste Stufe „gering“ hinzugefügt, um Bagatellrisiken abzubilden.

Diese Kategorien beschreiben qualitativ das Schadenausmaß, das bei Kompromittierung eines Schutzguts droht:

  • Gering: keine nennenswerten Auswirkungen (vernachlässigbares Schadensausmaß)

  • Normal: begrenzte, überschaubare Auswirkungen (spürbare, aber verkraftbare Schäden)

  • Hoch: beträchtliche Auswirkungen (erhebliche Schäden, die aber nicht existenzbedrohend sind)

  • Sehr hoch: katastrophale Auswirkungen bis hin zu existenziell bedrohlichen Folgen für das Unternehmen

Die Einordnung eines Geschäftsprozesses, einer Information oder Anlage in diese Kategorien erfolgt durch Betrachtung typischer Schadensszenarien. Man fragt sich: „Was wäre, wenn...?“ – z.B. „Was wäre die Folge, wenn System X komplett ausfällt oder kompromittiert wird?“. Dabei ist es wichtig, verschiedene Dimensionen des Schadens zu betrachten (nicht nur finanzielle Verluste).

Nach empfohlener BSI-Vorgehensweise sollten mindestens folgende Schadenskategorien in die Szenarien einfließen:

  • Personenbezogener Schaden: Betrifft die persönliche Unversehrtheit oder das Recht auf informationelle Selbstbestimmung. Etwa: Könnten Menschen verletzt werden oder Leben gefährdet sein? Würde die Verletzung der Vertraulichkeit Persönlichkeitsrechte verletzen? (Beispiel: Verlust von personenbezogenen Daten, Gesundheitsdaten-Leak).

  • Wirtschaftlicher Schaden: Finanzielle Verluste oder betriebswirtschaftliche Auswirkungen. Etwa: Umsatzeinbußen, Vertragsstrafen, Produktionsausfälle, Wiederherstellungs- und Incident-Kosten.

  • Rechtlicher Schaden: Verstöße gegen Gesetze, Vorschriften oder Verträge mit daraus resultierenden Konsequenzen. Dazu zählen Geldstrafen, behördliche Sanktionen (z.B. DSGVO-Bußgelder) oder Vertragsstrafen sowie Haftungsansprüche.

  • Reputationsschaden: Negative Außenwirkung und Vertrauensverlust bei Kunden, Partnern oder Öffentlichkeit. Ein Imageverlust kann langfristig Marktanteile kosten oder den Unternehmenswert mindern.

  • Schaden für die Aufgabenerfüllung: **Beeinträchtigung der Geschäftsprozesse oder der öffentlichen Aufgabenerfüllung】. Hierunter fällt z.B., wenn ein kritischer Prozess ausfällt und das Unternehmen seinen Versorgungsauftrag oder seine Dienstleistung nicht mehr erbringen kann (besonders bedeutsam bei KRITIS: z.B. Ausfall einer Energieversorgung).

Anhand solcher Szenarien wird abgeschätzt, ob ein Vorfall geringe, spürbare, gravierende oder existentielle Folgen hätte – und entsprechend wird das Schutzgut in normal, hoch oder sehr hoch eingestuft. Wichtig ist die Nachvollziehbarkeit: Die Bewertung muss begründet werden (z.B. durch Angabe, welches Gesetz verletzt würde oder wie viele Millionen Euro Schaden entstehen könnten). Oft werden für einzelne Schadenskategorien Schwellenwerte definiert, um die Einstufung zu erleichtern (etwa: reputationskritisch, wenn >100.000 Kunden betroffen; wirtschaftlich existenzbedrohend, wenn > x % vom Jahresumsatz Verlust).

Bewertung von Schadenspotenzialen

Die genannten Schadenskategorien dienen dazu, das Schadenspotenzial systematisch zu bewerten. Dabei kommt es auf zwei Parameter an: die Eintrittswahrscheinlichkeit eines Szenarios und das Schadenausmaß im Fall des Eintritts. Streng genommen fließt die Wahrscheinlichkeit erst im nächsten Schritt (Risikoanalyse) ein – zunächst wird beim Schutzbedarf oft vom Worst-Case ausgegangen, d.h. man beurteilt die maximal denkbaren Schäden unter der Annahme, dass ein gravierender Vorfall eintritt.

Schadenausmaß-Bewertung:

Hier werden pro Kategorie (personell, wirtschaftlich, rechtlich, reputativ etc.) jeweils qualitative Stufen definiert, die mit den Schutzbedarfskategorien korrespondieren. Ein Beispiel nach BSI-Standard 100-4: „hoch“ entspricht erheblichen Auswirkungen, „sehr hoch“ steht für existenzbedrohliche Auswirkungen, während „normal“ spürbare, aber begrenzte Auswirkungen meint. Wenn nun z.B. ein Szenario den Tod oder die schwere Verletzung von Personen beinhalten könnte, wäre in der Kategorie persönliche Unversehrtheit das Schadensausmaß als sehr hoch (untragbar) zu bewerten. Ähnlich, ein denkbarer Gesetzesverstoß mit Strafbarkeit würde in der Kategorie rechtlich ein hohes Ausmaß darstellen, während ein kleiner Vertragsverstoß ein normales Ausmaß sein mag.

Es hat sich bewährt, Tabellen oder Matrizen zu verwenden, in denen für jede Schadenskategorie Schwellen definiert sind. Diese werden individuell ans Unternehmen angepasst (z.B. was ist für eine große Behörde finanziell erheblich vs. für ein KMU?). Wichtig: Nicht jede Schadensart ist für jede Organisation gleich relevant – daher kann man Schadenskategorien auch gewichten. Beispielsweise mag ein Behörden-IT-System weniger auf Umsatzschaden fokussiert sein, dafür aber enorm auf Aufgabenerfüllung. Die Methodik bleibt aber konsistent: Der höchste Schutzbedarf in einer der Kategorien gibt in der Regel den Gesamt-Schutzbedarf für das betrachtete Objekt vor. Wenn also eine Information z.B. geringe finanzielle Bedeutung hat, aber hoch sensible persönliche Daten enthält (rechtlich/personenbezogen sehr kritisch), so ist insgesamt mit „sehr hoch“ zu schützen.

Nach der qualitativen Bewertung kann – insbesondere für Risikobetrachtungen – die Eintrittswahrscheinlichkeit ins Spiel kommen. Ein Risiko ergibt sich klassisch aus Schadenshöhe × Eintretenswahrscheinlichkeit. Doch bei der Schutzbedarfsfeststellung im engeren Sinne konzentriert man sich meist auf die Schadenshöhe (weil Sicherheitsmaßnahmen vorrangig an den potenziellen Folgen ausgerichtet werden). Die Wahrscheinlichkeiten werden dann bei der konkreten Risikoanalyse genutzt, um zu entscheiden, welche Bedrohungen zuerst adressiert werden. So oder so ist das Endergebnis dieses Schritts eine Klassifizierung aller relevanten Objekte (Informationen, Systeme, Gebäude, Prozesse) in eine Schutzbedarfsklasse.

Schutzgüter und Anwendungsbereich

Grundlage der Schutzbedarfsfeststellung ist eine klare Definition der Schutzgüter und des Untersuchungsbereichs. Als Schutzgut (auch Zielobjekt oder Asset) kommt alles in Betracht, was für das Unternehmen einen Wert darstellt und durch Sicherheitsmaßnahmen geschützt werden soll.

Typische Schutzgutkategorien sind:

  • Menschen: Mitarbeiter, Kunden, Besucher – ihr Leben, ihre Gesundheit und ihr Wohlbefinden. Auch das Wissen und die Erfahrung (Know-how) von Schlüsselpersonen kann als schutzbedürftiges Gut gelten.

  • Informationen und Daten: Geschäftsgeheimnisse, Kundendaten, Produktionspläne, personenbezogene Daten, Forschungsresultate usw. – sowohl in elektronischer Form (IT-Systeme, Datenbanken) als auch in Papierform.

  • Infrastrukturen und Anlagen: Physische Einrichtungen wie Gebäude, Fabrikanlagen, Rechenzentren, Serverräume, Energieanlagen, Transportmittel. Bei KRITIS insbesondere die Anlagen, deren Ausfall die Versorgung der Allgemeinheit beeinträchtigen würde (z.B. Stromnetz-Komponenten, Krankenhausequipment).

  • Geschäftsprozesse und Dienstleistungen: Die Abläufe und Prozessketten, die für die Erfüllung des Unternehmenszwecks nötig sind (z.B. Fertigungsprozesse, Logistik, IT-Services, Finanztransaktionen). Gerade Prozesse haben oft Abhängigkeiten: Ein Prozess kann unkritisch erscheinen, aber ein vor- oder nachgelagerter Prozess hat hohen Schutzbedarf – dann erbt der Gesamtprozess ggf. einen höheren Schutzbedarf, um die Kette nicht zu gefährden.

Bei der Schutzbedarfsanalyse muss der gesamte Informationsverbund betrachtet werden. Praktisch bedeutet dies, dass man oft zuerst eine Inventarisierung durchführt: Welche Assets und Prozesse gibt es überhaupt? Diese werden dann strukturiert (z.B. in Kategorien wie oben) und priorisiert analysiert. Häufig ist es sinnvoll, gleichartige Objekte zu Gruppen zusammenzufassen, um den Aufwand zu reduzieren – z.B. kann man alle Arbeitsplatzrechner pauschal als eine Gruppe betrachten, alle Mitarbeiterdaten als ein Informationsverbund etc., solange deren Schutzbedarf vergleichbar ist.

Verantwortlichkeiten im Unternehmen

Eine tragende Rolle in der Methodik spielt die Zuordnung von Verantwortlichkeiten. Sicherheit ist kein rein technisches Thema, sondern erfordert organisatorische Verankerung. Gemäß Best Practices (u.a. BSI-Standard 200-2) muss die oberste Leitungsebene die Verantwortung für die Schutzbedarfsfeststellung und das gesamte Sicherheitsmanagement übernehmen. Die Geschäftsführung bzw. Behördeleitung hat den Sicherheitsprozess zu initiieren, zu steuern und zu kontrollieren und die Entscheidungen über den Umgang mit identifizierten Risiken zu treffen. Insbesondere obliegt es der Leitung, die nötigen Ressourcen bereitzustellen – Budget, Personal, Zeit – um Schutzmaßnahmen entsprechend dem festgestellten Bedarf umzusetzen.

Allerdings kann und soll die operative Durchführung delegiert werden. In vielen Unternehmen existieren dazu definierte Rollen: etwa ein Informationssicherheitsbeauftragter (CISO) für IT-Risiken, ein Sicherheitsmanager/Werkschutzleiter für physische Sicherheit, ein Datenschutzbeauftragter für DSGVO-Themen etc. Diese verantwortlichen Personen oder Gremien koordinieren die Schutzbedarfsfeststellung in ihren Bereichen, führen die Risikoanalysen durch und überwachen die Umsetzung der Maßnahmen. Wichtig ist die Einbindung aller relevanten Bereiche: IT, Gebäudemanagement, Personalabteilung, Rechtsabteilung, Fachabteilungen – sie alle liefern Input, welche Werte schützenswert sind und welche Bedrohungen bestehen.

Auch Mitarbeiter selbst tragen Verantwortung: Sicherheitsbewusstsein und Melden von Auffälligkeiten gehören zur Sicherheitskultur. Letztlich muss der Sicherheitsprozess von allen mitgetragen werden; die Leitung hat dafür Sorge zu tragen, dass alle Beschäftigten sensibilisiert und ihren Aufgaben entsprechend geschult sind.

Die Dokumentation der Verantwortlichkeiten erfolgt meist in Form von Sicherheitsrichtlinien oder Organigrammen. So wird z.B. festgelegt, wer für die Aktualisierung der Schutzbedarfsanalyse zuständig ist, wer Risikoentscheide freigibt (oft das Management bei hohen Risiken) und wer im Fall eines Sicherheitsvorfalls agiert (Notfallteam etc.). Klare Verantwortlichkeiten sind auch aus Haftungssicht zentral: Nur wenn Aufgaben definiert sind, kann man prüfen, ob die Verantwortlichen ihren Pflichten nachkommen (Stichwort Übertragung von Pflichten im Arbeitsschutz: der Arbeitgeber kann Pflichten delegieren, muss aber Eignung und Kontrolle sicherstellen).

Praktische Umsetzung der Schutzbedarfsfeststellung

Nach der methodischen Analyse stellt sich die Frage, wie die ermittelten Schutzbedarfe im Unternehmensalltag umgesetzt werden. Dies betrifft die Integration in Managementsysteme, die Umsetzung konkreter Schutzmaßnahmen – insbesondere im Bereich Bewachung und Objektschutz – sowie die fortlaufende Dokumentation und Anpassung. Auch externe Sicherheitsdienstleister spielen oft eine Rolle. Im Folgenden werden diese Aspekte beleuchtet.

Einbindung in Sicherheitsmanagement-Systeme (ISMS, Notfallmanagement)

Eine Schutzbedarfsfeststellung entfaltet ihren Nutzen erst dann voll, wenn sie Teil eines ganzheitlichen Sicherheitsmanagements wird. In vielen Unternehmen existieren Management-Systeme, die Sicherheit strukturieren, z.B. ein Information Security Management System (ISMS) nach ISO 27001 oder ein betriebliches Sicherheitsmanagement nach branchenspezifischen Standards. Die Ergebnisse der Schutzbedarfsanalyse fließen hier direkt ein: Im ISMS bilden sie die Grundlage für das Risikomanagement nach ISO 27005 – d.h. identifizierte Risiken (basierend auf Schutzbedarf und Bedrohungen) werden bewertet und behandelt (Akzeptieren, Transfer, Minderungsmaßnahmen etc.).

Auch im Notfall- und Kontinuitätsmanagement (Business Continuity Management, BCM) ist die Schutzbedarfsfeststellung ein zentraler Input. Sie definiert z.B., welche Prozesse maximal tolerierbare Ausfallzeiten haben (RTO/RPO) und daher im Notfallplan ganz oben stehen. BSI-Standards wie der 100-4 (Notfallmanagement) empfehlen, für die Notfallvorsorge ebenfalls Schadenskategorien zu nutzen, die konsistent mit der vorangegangenen Schutzbedarfsbewertung sind. So werden Notfallpläne für hoch oder sehr hoch eingestufte Prozesse priorisiert erstellt und regelmäßig geübt.

Im physischen Sicherheitsmanagement (z.B. Security Management Systems nach VdS oder internationalen Standards) dienen die Schutzbedarfsergebnisse dazu, Schutzklassen für Objekte/Anlagen festzulegen. Beispielsweise könnte man Liegenschaften je nach Kritikalität in Sicherheitsstufen einteilen: Stufe 1 normaler Schutz, Stufe 3 Hochsicherheitsbereich mit verstärkten Kontrollen. Entsprechend werden dann Sicherheitszonen eingerichtet, Zugangskontrollstufen definiert etc. Auch bei der Investitionsplanung hilft die frühzeitige Bedarfsfeststellung: Hoch kritische Systeme werden ggf. redundant ausgelegt (Stichwort Resilienz), es werden Back-up-Rechenzentren betrieben, zusätzliche Schutztechnologien angeschafft usw., während bei weniger kritischen Bereichen kostengünstigere Lösungen genügen.

Schließlich ist auch die Verzahnung mit Compliance-Management und Auditprozessen wichtig. Viele Regelwerke fordern explizit eine Risiko- oder Schutzbedarfsanalyse (z.B. TISAX in der Automobilindustrie, BAIT in Banken). Die praktische Umsetzung bedeutet hier, dass die Schutzbedarfsfeststellung periodisch durchgeführt und von der Internen Revision oder externen Prüfern nachvollzogen werden kann. Die Einbindung in ein formelles Managementsystem erleichtert diese Nachweisführung erheblich.

Schutzmaßnahmen in der Bewachung und Objektsicherheit

Im Bereich der physischen Sicherheit (Werkschutz, Objektschutz, Zugangskontrollen) manifestiert sich der festgestellte Schutzbedarf sehr konkret in Sicherheitsmaßnahmen vor Ort.

Auf Grundlage der Schutzbedarfskategorien wird ein Sicherheitskonzept für die Liegenschaft oder das Unternehmen erstellt, das typische Bausteine umfasst:

  • Zutrittskontrollen: Je nach Schutzbedarf sind Zugänge strikt zu regeln. Bei normalem Schutzbedarf reicht evtl. eine Ausweiskontrolle am Empfang; bei hohem Bedarf kommen elektronische Zugangssysteme (Karten, biometrische Scanner) zum Einsatz, Schleusen oder Vereinzelungsanlagen. Sehr hohe Schutzbereiche (z.B. Rechenzentrum, Chemielabor) erfordern meist Mehr-Faktor-Authentifizierung, Besucherbegleitung und klare Zonierung (Außenhaut, Innenzone, Hochsicherheitsbereich).

  • Objektschutz und Streifen: Der Werkschutz führt präventive Überwachungsrundgänge und Gelände-Patrouillen durch. Die Frequenz und Intensität richtet sich nach dem Gefährdungsgrad: In kritischen Bereichen 24/7-Bewachung mit engmaschigen Rundgängen, Einsatz von Wachhunden oder spezielle Interventionskräfte. Bei geringerem Schutzbedarf evtl. nur stichprobenartige Kontrollgänge oder Technikeinsatz statt Personal.

  • Technische Sicherheitseinrichtungen: Innovative Sicherheitstechnik ist integraler Bestandteil moderner Sicherheitskonzepte. Dazu gehören z.B. Videoüberwachungssysteme (Kameras mit Videoanalyse, teils fernüberwacht durch Leitstellen), Einbruchmeldeanlagen (EMA) mit Sensoren an Fenstern/Türen, Brandmeldeanlagen und Zutrittssensorik. Bei hohem Schutzbedarf werden diese Systeme redundant ausgelegt und direkt auf eine 24h-Notruf- und Serviceleitstelle (NSL) geschaltet. Auch Spezialtechnik wie Drohnendetektion, Sprengstoffscanner oder Metall-Detektoren können je nach Szenario zum Einsatz kommen. Die Kombination von geschultem Personal und neuester Technik verspricht das höchste Maß an Sicherheit.

  • Personelle Maßnahmen: Qualifikation und Anzahl des Sicherheits-personals werden an den Bedarf angepasst. Hochprofessionelles, geschultes Personal ist unabdingbar für die Betreuung von Objekten mit hohem Risiko. Schulungen in Deeskalation, Erste Hilfe, Brandschutz, IT-Notfallverfahren etc. gehören dazu. Oft wird ein Schichtsystem mit ausreichender Personalstärke eingerichtet, um auch bei Urlaub/Krankheit die Sicherheit nonstop zu gewährleisten. Zusätzlich können bewaffnete Sicherheitskräfte oder Zusammenarbeit mit der Polizei erforderlich sein, wenn das Bedrohungsszenario (z.B. Terrorgefahr) dies nahelegt.

  • Schutz von Personen & Wissen: Bei sehr hohem Schutzbedarf kann auch der Personenschutz für Schlüsselpersonen (z.B. Vorstände, Wissenschaftler in Rüstungsbetrieben) ein Thema sein. Ebenso zählen zum Objektschutz ggf. Begleitschutz von Transporten (Geld, Wertgegenstände, Gefahrgut) und Maßnahmen der Spionageabwehr (abschirmende Räume, Handyverbote, sichere Konferenzräume).

All diese Maßnahmen werden im Sicherheitskonzept dokumentiert und sollten eng an der vorangegangenen Schutzbedarfsermittlung ausgerichtet sein. So wird sichtbar begründet, warum bspw. ein Standort eine Videoüberwachung und 24h-Wachschutz hat (etwa weil dort ein sehr hohes Schutzgut – z.B. eine KRITIS-Anlage – betrieben wird). Regelmäßig arbeiten Unternehmen mit externen Sicherheitsdienstleistern zusammen, um diese Maßnahmen umzusetzen (siehe 4.4). Wichtig ist, klare Verträge und Leistungsbeschreibungen zu haben, die die erkannten Sicherheitsanforderungen abdecken – z.B. vorgeschriebene Rundgangintervalle, Reaktionszeiten im Alarmfall, Mindestqualifikation der Mitarbeiter etc.

Dokumentation und regelmäßige Überprüfung

Die Dokumentation ist ein essenzieller Bestandteil der Schutzbedarfsfeststellung und ihrer Umsetzung. Jedes Unternehmen sollte einen schriftlichen Bericht oder eine Datenbank führen, in der für alle wichtigen Schutzgüter der festgestellte Schutzbedarf, die maßgeblichen Szenarien und die daraus abgeleiteten Maßnahmen festgehalten sind. Dieser Schutzbedarfskatalog bildet die Grundlage für Audits und ist ein lebendiges Dokument.

Regelmäßige Überprüfung bedeutet: Die Schutzbedarfsfeststellung ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Mindestens in regelmäßigen Abständen (typisch jährlich oder alle zwei Jahre) sowie anlassbezogen (bei wesentlichen Änderungen oder Sicherheitsvorfällen) muss die Analyse aktualisiert werden. Änderungen im Unternehmen – neue Geschäftsprozesse, neue Bedrohungslagen, organisatorische Änderungen – können den Schutzbedarf beeinflussen. Beispiel: Einführung einer neuen Technologie (z.B. IoT-Geräte in der Produktion) kann neue Angriffsflächen schaffen, die vorher nicht bewertet waren; oder eine Verschärfung der Gesetzeslage (etwa Höherstufung von zuvor unkritischen Daten durch neue DSGVO-Auslegung) kann den Schutzbedarf erhöhen.

Viele Standards (BSI, ISO) fordern explizit eine Kontrollschleife: Plan – Do – Check – Act (PDCA). Im Kontext Schutzbedarf heißt dies: Plan = Feststellen, Do = Maßnahmen umsetzen, Check = Wirksamkeit prüfen, Act = bei Abweichungen nachsteuern. Die Wirksamkeitsprüfung der Sicherheitsmaßnahmen ist dabei ebenso wichtig wie die initiale Bedarfsermittlung. So verlangt z.B. Art. 32 DSGVO ausdrücklich, dass die getroffenen technischen und organisatorischen Maßnahmen auch regelmäßig auf Wirksamkeit geprüft werden müssen (Penetrationstests, Notfallübungen etc.). Wenn Prüfungen oder Audits Lücken offenbaren, ist die Dokumentation zu aktualisieren und der Schutzbedarf ggf. neu zu bewerten.

Ein weiterer Aspekt der Überprüfung ist die Nachweispflicht gegenüber Dritten (siehe Abschnitt 6): Viele Unternehmen unterliegen Auditpflichten durch Behörden oder Kunden. Eine sauber dokumentierte Schutzbedarfsfeststellung mit Historie (Versionsständen, Verantwortlichen, Genehmigungen) zeigt im Ernstfall, dass man seinen Sorgfaltspflichten systematisch nachkommt.

Rolle externer Dienstleister

Externe Dienstleister können in zweifacher Hinsicht eine Rolle spielen: (a) als Berater/Auditoren bei der Erstellung der Schutzbedarfsfeststellung, und (b) als Leistungserbringer von Sicherheitsmaßnahmen (z.B. Bewachungsunternehmen, IT-Security-Provider).

Rolle

  • Beratungsdienstleister: Gerade kleinere Unternehmen holen sich häufig externe Expertise, um eine professionelle Risiko- und Schutzbedarfsermittlung durchzuführen. Sicherheitsberatungen oder Zertifizierer (TÜV, ISO-Auditoren) kennen Best Practices und helfen bei der Einhaltung von Standards. Wichtig ist hier, dass trotz externer Zuarbeit die Verantwortung im Unternehmen verbleibt – d.h. interne Verantwortliche müssen die Ergebnisse nachvollziehen und tragen können. Oft werden externe Beratungen auch herangezogen, um Security Assessments oder Penetrationstests durchzuführen, deren Ergebnisse dann in die Schutzbedarfsanalyse einfließen (z.B. Erkenntnis über verwundbare Systeme -> höherer Bedarf).

  • Sicherheitsdienstleister: Im Bereich Werkschutz/Bewachung ist es üblich, dass Firmen einen externen Wachdienst nach § 34a GewO beauftragen. Diese Dienstleister müssen behördlich zugelassen sein und ihr Personal geschult haben. Für die Qualität der Sicherheitsleistung bleibt jedoch das Auftraggeber-Unternehmen mitverantwortlich. Praktisch bedeutet das: Die Schutzbedarfsfeststellung sollte den Dienstleister anleiten. Man muss vertraglich sicherstellen, dass der Dienstleister die erforderlichen Sicherheitsniveaus einhält (z.B. Alarmverfolgung in max. 5 Minuten, Videoüberwachung durch qualifizierte NSL-Mitarbeiter etc.). Auch regelmäßige Abstimmungen und Reporting (Wachdienstberichte, Vorfallsprotokolle) sind wichtig, damit das Unternehmen die Wirksamkeit der outgesourcten Maßnahme prüfen kann. In KRITIS-Bereichen fordern Aufsichtsbehörden zunehmend den Nachweis, dass Outsourcing-Partner den gleichen Sicherheitsstandards genügen wie interne Einheiten.

Ein Spezialfall externer Einbindung sind Notfall- und Krisendienste: Hier zählen z.B. externe Computer Emergency Response Teams (CERTs) oder Incident-Response-Anbieter, mit denen vorab Service Level Agreements getroffen werden, um im Ernstfall schnell reagieren zu können. Deren Einbindung basiert ebenfalls auf identifizierten Schutzbedarfen – etwa ein SOC (Security Operations Center) für 24/7 Monitoring wird man nur für hochkritische Infrastrukturen betreiben (intern oder extern), während ein normaler Betrieb vielleicht kein eigenes SOC benötigt.

Branchenspezifische Unterschiede und Herausforderungen

Die Grundprinzipien der Schutzbedarfsfeststellung gelten universell, jedoch gibt es zwischen Branchen teils erhebliche Unterschiede in Fokus und Ausgestaltung. Kritische Infrastrukturen etwa unterliegen branchenspezifischen Vorgaben, während andere Unternehmen mehr Freiraum haben.

Einige Beispiele:

  • Energie- und Wasserversorgung: Hier liegt der Schwerpunkt auf der Aufrechterhaltung der Versorgung. Die Schutzbedarfsanalyse fokussiert stark auf Verfügbarkeitsrisiken (Blackout-Szenarien, Sabotage von Netzsteuerung). Branchenspezifische Sicherheitsstandards (B3S Energie, Wasser) definieren konkrete Maßnahmen, z.B. physische Absicherung von Umspannwerken oder Redundanz in der Netzleittechnik. Eine Herausforderung ist die geografische Verteilung – Anlagen über Land verteilt erfordern abgestufte Schutzkonzepte (nicht jeder Strommast kann bewacht werden, aber Knotenpunkte sehr wohl). Zudem greift hier oft Sektorenregulierung durch Aufsichtsbehörden (z.B. die Bundesnetzagentur verlangt IT-Sicherheitskataloge nach EnWG für Energieanlagen).

  • Gesundheitswesen: Krankenhäuser und pharmazeutische Einrichtungen müssen sowohl personenschutz (Patientenwohl) als auch Datenschutz (Patientendaten) hoch priorisieren. Die Schutzbedarfsfeststellung in Kliniken ergibt fast immer für Leben und Gesundheit sehr hohen Schutzbedarf – Notfallstromversorgung, funktionierende OPs etc. sind kritisch. Gleichzeitig sind Patientendaten nach DSGVO hochsensibel. Hier existiert ein B3S für die medizinische Versorgung, der als Stand der Technik gilt. Eine besondere Herausforderung ist die Verzahnung von IT und Medizingeräten (Stichwort IoMT): Ein infizierter medizintechnischer Rechner kann Leben gefährden, was interdisziplinäre Risikoteams erfordert.

  • Finanzsektor: Banken und Versicherungen haben von Natur aus hohen Schutzbedarf bei Integrität und Verfügbarkeit von Daten. Reputationsschäden sind ebenfalls extrem kritisch – ein gehacktes Online-Banking kann zu massivem Vertrauensverlust führen. Regulatorisch gibt es neben BSIG/KRITIS auch Vorgaben der Finanzaufsicht (BaFin), z.B. die BAIT (Bankaufsichtliche Anforderungen an die IT). Diese fordern u.a. ein Risikomanagement-System, das sehr vergleichbar zur Schutzbedarfsfeststellung agiert. Eine Herausforderung im Finanzsektor ist die Internationalität: Institute müssen oft globale Standards (z.B. NIST, PCI-DSS) zusätzlich beachten und die Schutzbedarfe verschiedener Jurisdiktionen abgleichen.

  • Industrie/Produktion: Je nach Industriezweig variieren die Risiken. In der Chemie etwa steht der Katastrophenschutz im Vordergrund (Störfallverordnung, Explosionsschutz): Die Schutzbedarfsanalyse muss Explosionen, Giftgaswolken etc. als Szenarien berücksichtigen – hier verschwimmen Safety und Security. In der Automobil- oder High-Tech-Produktion sind wiederum Betriebsgeheimnisse (Rezepte, Designs) das Kronjuwel – Spionageabwehr und Know-how-Schutz prägen dort die Sicherheitskonzepte. Branchenspezifisch gibt es Initiativen wie TISAX (Automotive), welche standardisierte Schutzstufen für Informationen definieren, um zwischen Partnern einheitliche Sicherheit zu gewährleisten.

  • Behörden und öffentliche Verwaltung: Neben dem Schutz sensibler Daten (Bürgerregister, Polizeiakten etc.) tritt hier das Thema Geheimschutz hinzu, sofern VS-NfD oder höhere Geheimhaltungsgrade berührt sind. Behörden nutzen das SÜG und die Allgemeine Verwaltungsvorschrift zum materiellen Geheimschutz. Die Schutzbedarfsfeststellung im Behördenumfeld ist oft formalisiert durch Regelwerke (z.B. IT-Grundschutz-Profil für Bundesbehörden) und muss politische Implikationen beachten (z.B. Ausfall einer Verwaltung in Krisenzeiten). Herausforderungen sind begrenzte Budgets und die Notwendigkeit, Sicherheitsmaßnahmen mit dem Grundsatz der Wirtschaftlichkeit im öffentlichen Dienst zu vereinbaren.

  • KMU und andere Branchen: In weniger regulierten Branchen (Handel, Handwerk, Dienstleistung ohne kritische Größe) ist die Herangehensweise freier. Hier zeigt sich die Herausforderung, angemessenen Aufwand zu betreiben: Kleine Unternehmen haben oft begrenzte Ressourcen für ausführliche Schutzbedarfsanalysen. Dennoch gelten natürlich DSGVO und Arbeitsschutz gleichermaßen. Oft fehlen KMU branchenspezifische Leitfäden; sie können aber auf allgemeine Standards (ISO 27001, BSI IT-Grundschutz) zurückgreifen, um ihren Schutzbedarf systematisch zu ermitteln.

Branchenübergreifend gilt:

Wo spezielle gesetzliche Vorgaben existieren, sollten diese in die Schutzbedarfsfeststellung einfließen. Beispiel: Für KRITIS-Betreiber sind branchenspezifische Sicherheitsstandards (B3S) verfügbar; setzt ein Betreiber diese um, wird gesetzlich angenommen, dass die Anforderungen des § 8a BSIG erfüllt sind. Dadurch entfällt eine aufwändige Einzelprüfung jeder Maßnahme – man verlässt sich darauf, dass der B3S die typischen Schutzbedarfe des Sektors abgedeckt hat. Für Unternehmen ist es daher vorteilhaft, sich an solchen sektoralen Best Practices zu orientieren, um nichts Wesentliches zu übersehen.

Herausforderungen entstehen zudem aus neuen branchentypischen Risiken: So sieht sich etwa der Lebensmittelsektor (nicht klassisch IT-KRITIS) vermehrt mit „Food Defense“-Fragen konfrontiert (Schutz vor Sabotage der Lebensmittelkette), und der Hochschulsektor mit dem Schutz von Forschungsdaten vor staatlicher Spionage. Die Schutzbedarfsfeststellung muss flexibel genug sein, solche branchenspezifischen Risiken adäquat zu berücksichtigen.

Gerichtliche und behördliche Anforderungen, Prüf- und Nachweispflichten

Rechtsnormen verlangen nicht nur präventiv die Durchführung von Risiko- und Schutzbedarfsanalysen, sondern etablieren auch Prüfmechanismen, um die Umsetzung zu kontrollieren. Unternehmen müssen daher darauf vorbereitet sein, ihre Sicherheitsvorsorge gegenüber Gerichten oder Behörden zu belegen.

Gerichtliche und behördliche Anforderungen

  • Behördliche Prüfungen: Für KRITIS-Betreiber konkretisiert § 8a Abs. 3 BSIG eine Nachweispflicht: Mindestens alle zwei Jahre ist dem BSI oder einer prüfenden Stelle zu bestätigen, dass angemessene Sicherheitsvorkehrungen implementiert sind. Dies erfolgt oft durch Einreichung eines Auditberichts oder einer Zertifizierung. Das BSI kann zudem anlassbezogen Prüfungen durchführen: Nach § 8a Abs. 4 BSIG darf das BSI bei Verdacht auf Mängel während der Betriebszeiten Zugang zu den Betriebsräumen verlangen, Unterlagen einsehen und Mitarbeiter befragen. In solchen Prüfungen wird man insbesondere die Dokumentation der Schutzbedarfsfeststellung und des umgesetzten Sicherheitskonzepts vorlegen müssen. Lücken oder unplausible Einstufungen können zu Auflagen führen. Für Betreiber kritischer Anlagen gibt es zudem die Pflicht, Störungen und Sicherheitsvorfälle zu melden (§ 8b BSIG). Kommt es zu einem meldepflichtigen Vorfall, wird im Nachgang oft überprüft, ob die angemessenen Schutzmaßnahmen ergriffen worden waren – was sich wiederum auf die vorgängige Schutzbedarfsermittlung bezieht.

  • Auch andere Regulierer fordern Nachweise: Etwa verlangt die Datenschutz-Aufsicht im Fall von Datenschutzverletzungen die Vorlage der technischen-organisatorischen Maßnahmen – de facto also, ob man anhand des Risikos die richtigen Schutzvorkehrungen getroffen hatte. Arbeitgeber können von der Gewerbeaufsicht oder Unfallversicherungsträgern aufgefordert werden, ihre Gefährdungsbeurteilungen (ArbSchG) vorzulegen. Wenn in einem Betrieb z.B. ein Mitarbeiter durch einen Überfall zu Schaden kam, könnte die Behörde prüfen, ob es ein Sicherheitskonzept zum Schutz der Mitarbeiter gab und ob dieses auf Basis einer Gefährdungsanalyse erstellt wurde.

  • Gerichtliche Anforderungen: Gerät ein Vorfall vor Gericht – sei es Zivilgericht (Schadenersatzklage) oder gar Strafgericht (Verantwortlichkeit für ein Unglück) – dient eine lückenlose und sachgerechte Dokumentation der Schutzbedarfsfeststellung als wichtiger Entlastungsbeweis. Gerichte bewerten die „objektive Sorgfaltspflichtverletzung“: War die Sicherheit im Rahmen dessen, was ein sorgfältiger und umsichtiger Organträger hätte tun müssen? Indikatoren hierfür sind anerkannte Normen und Standards. Hält sich ein Unternehmen an etablierte Standards (ISO, BSI, Branchenstandards), spricht das dafür, dass es die im Verkehr erforderliche Sorgfalt gewahrt hat. Umgekehrt kann das Unterlassen einer offensichtlichen Sicherheitsmaßnahme – etwa keine Zugangskontrolle in einem hochsensiblen Bereich – als Fahrlässigkeit gewertet werden.

  • In der Praxis fordern Gerichte bei komplexen Lagen oft Sachverständigengutachten an: Experten bewerten nachträglich, ob das Sicherheitskonzept angemessen war. Diese stützen sich wiederum auf die vorhandenen Analysen des Unternehmens. Daher ist es im Interesse des Unternehmens, eine saubere Schutzbedarfs-Dokumentation zu führen: darin ist idealerweise erkennbar, warum gewisse Entscheidungen getroffen wurden (z.B. „Asset X wurde nur als normal eingestuft, weil ...“). Sollte sich im Nachhinein herausstellen, dass die Einstufung falsch war, kann zumindest dargelegt werden, dass man sie nach bestem Wissen und entlang branchenüblicher Methodik vorgenommen hat – was haftungsrechtlich besser ist, als gar keine Einschätzung vorweisen zu können.

  • Nachweispflichten ergeben sich auch vertraglich: In vielen Lieferbeziehungen – gerade bei Auslagerung kritischer Funktionen – verlangen Auftraggeber von Auftragnehmern Sicherheitsnachweise. Ein Rechenzentrumsbetreiber muss z.B. gegenüber Kunden zertifizieren, dass er Tier-III oder ISO-27001-Standards erfüllt (was indirekt bedeutet, dass er Schutzbedarfe analysiert hat). Versicherungen (z.B. Cyber-Versicherungen) verlangen bei Abschluss oft Informationen zum Risikomanagement; im Schadensfall prüfen sie genau, ob das Unternehmen die angegebenen Sicherheitsmaßnahmen umgesetzt hatte, um zu entscheiden, ob grobe Fahrlässigkeit vorliegt und Leistungen gekürzt werden.

  • Nicht zuletzt werden branchenspezifische Aufsichten wie BaFin, Bundesnetzagentur, Kassenärztliche Bundesvereinigung etc. im Rahmen ihres Prüfauftrags immer wieder Berichte über die IT- und Betriebssicherheit sehen wollen. So müssen z.B. Banken jährlich ein ICS (Internes Kontrollsystem)-Reporting abgeben, in dem IT-Risiken und -Maßnahmen aufgeführt sind. Hier fließt ebenfalls die Schutzbedarfsthematik mit ein, da dort wichtige Systeme identifiziert und kategorisiert werden.

Zusammengefasst:

Unternehmen müssen vorbereitet sein, jederzeit ihr Sicherheitskonzept verteidigen und nachweisen zu können. Die Schutzbedarfsfeststellung bildet dabei das Fundament der Rechenschaftspflicht – sie zeigt, dass man strukturiert vorgegangen ist, Risiken erkannt hat und angemessen gehandelt hat. Dieses Fundament hilft sowohl gegenüber Behörden (um Auflagen zu erfüllen und Strafen zu vermeiden) als auch vor Gericht (um Haftungsansprüche abzuwehren oder zu mindern).

Dynamik

Die Schutzbedarfsfeststellung bleibt ein dynamisches Feld, das sich an neue Technologien, Bedrohungen und regulatorische Änderungen anpassen muss.

Mehrere Trends zeichnen sich ab, welche die zukünftige Praxis prägen dürften:

  • Einfluss künstlicher Intelligenz (KI): KI-Technologien werden einerseits als Werkzeuge im Sicherheitsmanagement Einzug halten, andererseits aber auch neue Risiken erzeugen. Auf der Habenseite kann KI helfen, Risikobewertungen zu verfeinern – etwa durch Auswertung großer Datenmengen über Vorfälle, automatisierte Schwachstellen-Scans oder Simulation von Angriffsszenarien (Stichwort Threat Intelligence). KI-gestützte Systeme zur Angriffserkennung (wie Anomalieerkennung in Netzwerken) sind schon heute gefordert. Gleichzeitig entstehen durch KI neue Bedrohungen: Deepfakes und Social Engineering Bots können personalisierte Angriffe fahren, was in der Schutzbedarfsanalyse künftig berücksichtigt werden muss (z.B. Schutz vor CEO-Fraud per KI-Stimme). Auch die Abhängigkeit von KI-Modellen selbst könnte zum Schutzgut werden, falls KI etwa in Steuerungsanlagen eingesetzt wird – dann braucht es Konzepte für deren Verlässlichkeit und Manipulationssicherheit.

  • Erweiterung der KRITIS-Definition und NIS2-Richtlinie: Ab 2025ff. ist mit neuen gesetzlichen Vorgaben zu rechnen, insbesondere durch die EU-Richtlinie NIS2, die in nationales Recht umgesetzt wird. Diese wird den bisheringen KRITIS-Begriff erweitern und mehr Unternehmen einbeziehen (z.B. mittelgroße “wichtige Einrichtungen” in Sektoren wie Abfallentsorgung, öffentliche Verwaltung, Raumfahrt, Lebensmittelproduktion u.a.). Die Bundesregierung plant ein sogenanntes KRITIS-Dachgesetz, um die verschiedenen Sicherheitsgesetze (BSIG, EnWG, TKG etc.) kohärent zu gestalten. Dies bedeutet, dass noch mehr Unternehmen als bisher verpflichtet werden, Schutzbedarfsfeststellungen bzw. Risikoanalysen nach bestimmten Standards durchzuführen und Nachweise zu erbringen. Die klassischen Unterscheidungen (KRITIS vs. UBI vs. “sonstige”) könnten sich ändern – NIS2 spricht von wesentlichen und wichtigen Sektoren, was eine neue Kategorisierung mit sich bringt. Unternehmen tun gut daran, die Gesetzgebung im Blick zu behalten und frühzeitig zu prüfen, ob sie neu erfasst werden. Mit mehr Regulierung steigt auch der Bedarf an standardisierten Methoden: Möglich ist, dass branchenübergreifend einheitlichere Risikomanagement-Vorgaben kommen, um Vergleichbarkeit herzustellen.

  • Geopolitische Lage und Bedrohungsentwicklung: Die letzten Jahre (z.B. der Krieg in der Ukraine, Spannungen im Cyberraum) haben gezeigt, dass staatlich gesteuerte Angriffe auf Unternehmen Realität sind – von Sabotageakte auf Gas-Pipelines bis zu großangelegten Hackerangriffen auf Behörden. Die Schutzbedarfsfeststellung muss diese Bedrohungsdimension stärker einbeziehen: Szenarien wie flächendeckende Stromausfälle durch Cyberangriffe, Desinformationskampagnen gegen Unternehmen, oder Sanktionen und Lieferkettenabbrüche sind Teil der modernen Risikoanalyse. Auch der Aspekt Spionage/Geheimschutz rückt für Wirtschaftsunternehmen mehr in den Vordergrund, da Know-how in kritischen Branchen (Rüstung, Halbleiter, Biotech) begehrt ist. Dies hat bereits regulatorische Antworten provoziert (vgl. SÜG-Novelle für KRITIS wegen Insidergefahr). Unternehmen werden also künftig vermehrt mit Sicherheitsüberprüfungen des Personals und internationalen Sicherheitsauflagen umgehen müssen, was die Schutzbedarfsfeststellung um den Faktor Innere Sicherheit ergänzt.

  • Technologische Konvergenz (OT/IT, Cloud, IoT): Die fortschreitende Verschmelzung von klassischer Betriebstechnik (OT) mit IT und die Auslagerung von Diensten in die Cloud verändern das Spielfeld. Wo früher klare Abgrenzungen waren (z.B. physische Anlage vs. IT-System), gibt es heute hybride Systeme. Die Schutzbedarfsfeststellung der Zukunft muss ganzheitlicher sein: Ein IIoT-Gerät etwa hat sowohl einen physischen Aspekt (Gerätesicherheit, evtl. Arbeitsschutz) als auch einen Informationsaspekt (Datenintegrität, Netzsicherheit). Cloud-Dienste bedeuten, dass Unternehmenswerte auf fremder Infrastruktur liegen – hier kommen Vertragsprüfungen und Zertifikate ins Spiel, um den Schutzbedarf abzudecken. Standards wie die ISO 27001 und der BSI-Grundschutz entwickeln sich weiter, um diesen Wandel abzubilden (z.B. neue Module für Cloud-Security, ICS-Security). Unternehmen müssen ihre Methodik entsprechend updaten.

  • Kultur und Organisation: Schließlich bewegt sich was in den Unternehmenskulturen. Sicherheit wird immer mehr als Teil der Corporate Governance gesehen. Vorstandsetagen fragen nach Cyber-Risikolage, Aufsichtsräte installieren Cyber-Ausschüsse. Diese Entwicklung wird dazu führen, dass Schutzbedarfsfeststellungen häufiger auf höchster Ebene präsentiert werden und als Entscheidungsgrundlage dienen. Möglicherweise werden Versicherer und Investoren Sicherheitsniveau und Risikoanalysen zu einem Kriterium machen (analog zu ESG-Standards), was Druck erzeugt, hier sehr professionell zu agieren.