Schutzbedarfsfeststellung: Beratungsunternehmen

Im Folgenden sind die wichtigsten Schutzobjekte (Informationswerte) des betrachteten Netzwerks zusammengefasst.

• Kunden- und Projektinformationen: Alle im Rahmen der Beratungs- und Ingenieurstätigkeit anfallenden Projektunterlagen. Dazu gehören z. B. Gebäudepläne, technische Dokumentationen, BIM-Daten (Building Information Modeling) von Bauwerken, Leistungsverzeichnisse und Ausschreibungsunterlagen, Berichte, Konzeptpapiere sowie sonstige kundenspezifische Informationen aus Projekten. Diese Daten werden typischerweise zwischen Zentrale und den jeweiligen Beratern ausgetauscht und unterliegen meist vertraglicher Vertraulichkeit (Kunden-NDA).

• IT-Systeme und Kommunikationsinfrastruktur: Die im Netzwerk eingesetzten Informationstechnologie-Ressourcen. Dies umfasst insbesondere Cloud-Dienste (etwa für Datenablage, Projektmanagement oder BIM-Collaboration), E-Mail-Kommunikation, gemeinsame Kollaborationsplattformen (z. B. Intranet, MS Teams/SharePoint) und die Notebooks/PCs der zentralen Mitarbeiter sowie der externen Partner. Auch Smartphones oder andere mobile Geräte der Berater können hier dazugehören, sofern sie auf Geschäftskommunikation zugreifen. Diese Systeme bilden das Rückgrat der Zusammenarbeit über Distanz.

• Personenbezogene Daten: Sämtliche Daten, die einzelnen natürlichen Personen zugeordnet sind. Im Netzwerk fallen personenbezogene Daten vor allem bei Partnern, Kundenkontakten und Mitarbeitern der Zentrale an. Beispiele: Kontaktdaten von Ansprechpartnern (Name, E-Mail, Telefonnummer, Adresse), Vertrags- und Abrechnungsdaten der selbstständigen Partner (Bankverbindungen, Honorarabrechnungen), evtl. Lebensläufe oder Qualifikationsnachweise der Berater, sowie Mitarbeiterdaten in der Zentrale (Arbeitsverträge, Gehaltsinformationen, Urlaubslisten, Krankmeldungen etc.). Diese Daten unterliegen dem Datenschutz (DSGVO/BDSG).

• Geschäftliche Unterlagen: Wichtige Business-Dokumente des Netzwerks jenseits der Projektinhalte. Dazu zählen Verträge (z. B. Kundenverträge, Kooperationsverträge mit Partnern, Geheimhaltungsvereinbarungen), Angebote und Kalkulationen für Ausschreibungen, interne Finanzdaten und Lizenzdokumente (Softwarelizenzen, Wartungsverträge) sowie Strategie- und Planungsdokumente der Unternehmenszentrale. Diese Unterlagen repräsentieren das operative und rechtliche Fundament des Unternehmens.

• Internes Know-how und Inhalte: Die vom Netzwerk erarbeiteten Wissensressourcen und internen Publikationen. Beispielhaft sind dies FM-Fachartikel und Whitepapers, interne Beratungsleitfäden, Methodensammlungen, Checklisten, Schulungsunterlagen für Weiterbildungen, Präsentationen, Vorlagen und interne Kommunikation (z. B. Protokolle, Erfahrungsberichte). Dieses geistige Kapital ist für das Netzwerk ein Wettbewerbsvorteil und sollte vor unkontrollierter Verbreitung geschützt werden, auch wenn es nicht immer direkt kundenbezogen ist.

Diese fünf Kategorien decken die wesentlichen Informationswerte ab, die im FM-Beratungs- und Ingenieurnetzwerk von Bedeutung sind. Im nächsten Abschnitt wird für jede Kategorie der Schutzbedarf bzgl. Vertraulichkeit, Integrität und Verfügbarkeit bewertet.

Zunächst gibt Tabelle 1 eine Übersicht der empfohlenen Schutzbedarfskategorien für jedes Schutzgut und jedes Schutzziel (CIA). Anschließend folgt für jede Schutzgut-Kategorie eine ausführliche Begründung der Einstufungen, inklusive der betrachteten Schadensszenarien.

"ggf. sehr hoch" bedeutet, dass in speziellen Fällen – z. B. bei Projekten im KRITIS-Umfeld mit hochsensiblen Daten – der Schutzbedarf bis sehr hoch ansteigen kann. Die Tabelle stellt die generelle Grundannahme dar.

• Vertraulichkeit: Hoch: Projektunterlagen der Kunden sind i. d. R. durch NDAs oder vertragliche Klauseln streng vertraulich zu behandeln. Ein unbefugtes Offenlegen könnte erhebliche Schäden verursachen. Reputationsschaden: Das Vertrauen der Kunden in das Beratungsnetzwerk würde massiv leiden, wenn z. B. Baupläne oder technische Berichte in falsche Hände geraten. Insbesondere bei sicherheitsrelevanten Gebäuden (Regierungsgebäude, Banken, Rechenzentren) besteht das Risiko, dass Angreifer die Informationen für illegale Zwecke nutzen (Einbruch, Sabotage). Wirtschaftlich: Der Verlust von Aufträgen wäre wahrscheinlich, betroffene Kunden könnten Schadensersatz fordern oder Vertragsstrafen auslösen. Rechtlich: Verletzungen der Geheimhaltungspflicht verstoßen gegen Verträge; bereits für geringfügige Verstöße können Vertragsstrafen anfallen. Ein gravierender Leak (z. B. Veröffentlichung eines geheimen Bauplans) wäre ein fundamentaler Vertragsverstoß – im Extremfall ruinös für das Unternehmen, falls der Kunde hohe Schadenersatzforderungen stellt. Daher ist Vertraulichkeit mindestens als hoch einzustufen. In besonders kritischen Projekten (z. B. bei KRITIS-Kunden oder hochsensiblen militärischen/behördlichen Objekten) wäre sogar sehr hoch angemessen, da hier die Veröffentlichung von Informationen lebensbedrohende oder existenzgefährdende Folgen haben könnte (etwa Gefährdung der öffentlichen Sicherheit).

• Integrität: Hoch : Die Korrektheit und Unverfälschtheit von Kunden- und Projektdaten ist geschäftskritisch. Technische Risiken: Werden Baupläne, Anlagendokumentationen oder BIM-Modelldaten unbemerkt verfälscht, kann dies zu schweren Fehlern in der Bauausführung oder Bewirtschaftung führen. Ein Beispiel: Wenn in einem Gebäudeplan durch Manipulation tragende Strukturen falsch angegeben werden, könnten Bauarbeiten Schäden verursachen oder Sicherheitsrisiken entstehen. Personelle Auswirkung: Im Worst Case könnten fehlerhafte Pläne sogar die Sicherheit von Personen gefährden (z. B. wenn Brandschutzpläne manipuliert wurden). Wirtschaftlich: Mangelhafte oder manipulierte Leistungsverzeichnisse könnten falsche Angebote zur Folge haben, was entweder finanzielle Verluste (durch zu niedrige Kalkulation) oder Rechtsstreitigkeiten nach sich zieht. Zudem müsste das Projekt ggf. teuer nachgebessert werden. Rechtlich: Werden integritätsgefährdete Dokumente an Kunden geliefert, könnten daraus Haftungsansprüche entstehen (Gewährleistung, Schadenersatz). Aufgrund dieser potenziell beträchtlichen Folgen ist der Schutzbedarf hoch. Jede Veränderung an Projektinformationen muss autorisiert und nachvollziehbar sein (z. B. Änderungsprotokolle, Freigabeprozesse), um Integrität sicherzustellen.

• Verfügbarkeit: Hoch : Projektinformationen müssen bei Bedarf zeitgerecht verfügbar sein, um Projektpläne und Fristen einzuhalten. Wirtschaftlich: Falls zentrale Daten (Pläne, Berechnungen etc.) nicht abrufbar sind – etwa durch IT-Ausfall oder Datenverlust – kann der Projektfortschritt ins Stocken geraten. Verzögerungen können Vertragsstrafen oder Umsatzeinbußen bedeuten, insbesondere wenn Deadlines überschritten werden. Beispiel: Die Ausschreibungsunterlagen für ein Angebot sind in der Cloud nicht zugänglich kurz vor Abgabeschluss – das könnte den Verlust des Auftrags bedeuten. Rechtlich/Vertraglich: Viele Projekte haben feste Liefertermine; die Nichteinhaltung wegen Daten-Unverfügbarkeit verstößt gegen vertragliche Verpflichtungen. Reputationsschaden: Wiederholte Unzuverlässigkeit bei der Lieferung würde das Image des Netzwerks schädigen. Zwar wären kurzzeitige Ausfälle (z. B. wenige Stunden) noch tolerierbar, aber Ausfallzeiten jenseits eines Tages würden bereits als nicht tolerabel gelten und erhebliche Störungen verursachen. Da im Bau-/FM-Bereich oft straffe Zeitpläne herrschen, ist hohe Verfügbarkeit wichtig. Personelle Aspekte: In Notfällen (etwa eine Havarie am Gebäude) könnte das Fehlen von Plänen direkt Einfluss auf die Sicherheit nehmen, wenn z. B. Einsatzkräfte nicht auf aktuelle Gebäudedaten zugreifen können. Insgesamt rechtfertigt dies die Einstufung hoch für Verfügbarkeit. (Hinweis: Durch Backups und verteilte Ablage bei den Netzwerkpartnern gibt es gewisse Redundanz, doch darauf sollte man sich nicht verlassen – konsistente zentrale Verfügbarkeit bleibt kritisch.)

• Vertraulichkeit: Hoch : Die IT-Infrastruktur des Netzwerks verarbeitet nahezu alle sensiblen Informationen und ist somit ein Hauptangriffsziel für potenzielle Datenabflüsse. Cloud-Speicher und Collaboration-Tools: Darin liegen vertrauliche Projekt- und Kundendaten sowie Geschäftsunterlagen; ein unautorisierter Zugriff (z. B. durch Hackerangriff oder Insider-Missbrauch) würde unmittelbar die Vertraulichkeit der Inhalte kompromittieren. Weil diese Systeme gesammelte Daten vieler Projekte enthalten, wäre der Umfang eines möglichen Datenlecks groß – u. U. wären Dutzende Kunden gleichzeitig betroffen. Rechtlich: Ein Datenvorfall in der Cloud oder per E-Mail, bei dem personenbezogene Daten oder vertrauliche Kundendokumente entwendet werden, zieht Meldepflichten nach DSGVO nach sich und kann wie erwähnt drakonische Bußgelder auslösen. Vertraglich: Ebenso würden NDAs mit Kunden verletzt, da davon auszugehen ist, dass die zentrale IT sichere Verwahrung zusichert. Wirtschaftlich: Neben möglichen Strafen wären langfristig Kundenverluste wahrscheinlich, da niemand einem unsicheren Dienstleister seine Gebäudedaten anvertrauen möchte. Besondere Herausforderung: Im Netzwerk nutzen selbstständige Partner zum Teil eigene Endgeräte (Notebooks, Smartphones). Wenn diese nicht ausreichend gesichert sind (etwa unverschlüsselte Festplatten, kein VPN für Cloud-Zugriff), steigt das Risiko unbefugter Kenntnisnahme weiter. Ein verlorenes oder gestohlenes Notebook ohne Festplattenverschlüsselung könnte zum umfassenden Data Breach führen. Insgesamt sind die Auswirkungen eines Vertraulichkeitsbruchs der IT-Infrastruktur beträchtlich, sodass der Schutzbedarf hoch ist. Alle zentralen Systeme und Übertragungswege sollten als vertrauenswürdig und geschützt gelten (z. B. durch Ende-zu-Ende-Verschlüsselung bei Kommunikation, Zugriffsrechte, Multifaktor-Authentisierung etc.).

• Integrität: Hoch : Die IT-Systeme müssen gewährleisten, dass Informationen unverfälscht bleiben und Prozesse korrekt ablaufen. Risiken bei Integritätsverlust: Wenn ein Angreifer etwa die BIM-Daten in der Cloud manipuliert oder E-Mails unbemerkt verändert (Man-in-the-Middle-Angriff), könnten falsche Entscheidungen getroffen werden. Beispiel: Eine manipulierte E-Mail mit geänderter Anweisung könnte einen Berater dazu bringen, einen falschen Planstand zu verwenden, was im Projekt zu erheblichen Fehlern führt. Wirtschaftlich: Die daraus entstehenden Folgekosten (Reparaturen, Neuplanung) können erheblich sein. Rechtlich: Sollte herauskommen, dass IT-Mängel (z. B. mangelnde Prüfmechanismen, fehlende Signaturen) zu Vertragsabweichungen führten, könnte das Haftungsfragen aufwerfen. Darüber hinaus könnte Schadsoftware auf den Systemen Daten gezielt verändern oder zerstören (Stichwort Ransomware, die auch Daten korrupt macht, nicht nur verschlüsselt). Ohne Gewissheit über die Integrität könnten Projektresultate nicht mehr verlässlich genutzt werden – das käme einem Arbeitsstopp gleich, bis Klarheit herrscht. Reputationsfaktor: Kunden müssen darauf vertrauen können, dass Berichte und Ergebnisse frei von unautorisierten Änderungen sind. Jeglicher Zweifel daran würde das professionelle Ansehen schmälern. Aufgrund dieser vielfältigen möglichen Schäden gilt auch für Integrität ein hoher Schutzbedarf. Dies bedingt u. a., dass Maßnahmen wie Zugriffskontrollen, Hash-Werte/Signaturen für Dokumente oder Prüfprotokolle eingesetzt werden, um Manipulationen zu verhindern oder schnell aufzudecken.

• Verfügbarkeit: Hoch : Als verteiltes, IT-gestütztes Netzwerk ist die Gruppe stark auf funktionierende IT-Services angewiesen. Ausfallszenarien: Bei einem Ausfall der E-Mail-Systeme oder der Cloud-Collaboration könnten die Projektpartner nicht mehr effektiv kommunizieren oder auf zentrale Daten zugreifen. Da viele Berater räumlich verteilt sind, ersetzt die IT die physische Zusammenkunft – ein Ausfall käme einer Handlungsunfähigkeit des Netzwerks gleich. Wirtschaftliche Folgen: Schon ein Ausfall über einen Arbeitstag hinaus könnte wichtige Fristen verstreichen lassen oder Kundenprojekte ins Wanken bringen. Gemäß BSI-Definition würden Ausfallzeiten über 24 Stunden hier sicherlich als nicht tolerabel empfunden. Ein noch längerer IT-Stillstand (etwa durch einen schweren Cyberangriff) könnte das Unternehmen vor ernste finanzielle Probleme stellen, wenn laufende Projekte reihum scheitern oder Vertragsstrafen anfallen. Rechtlich: In manchen Verträgen oder SLA-Vereinbarungen mit Kunden ist möglicherweise eine gewisse Systemverfügbarkeit zugesichert. Zudem verlangt z. B. Art. 32 DSGVO, dass auch die Verfügbarkeit von Systemen mit personenbezogenen Daten gewährleistet wird (Schutz vor zufälligem Verlust). Reputation: Wiederholte oder lange IT-Ausfälle würden das Bild eines unzuverlässigen Partners erzeugen. Kunden im KRITIS-Umfeld erwarten sogar quasi unterbrechungsfreien Betrieb wichtiger Dienste – für sie muss der Berater im Notfall erreichbar und handlungsfähig sein. Unter all diesen Gesichtspunkten ist hoch angemessen. Zwar führt ein IT-Ausfall nicht unmittelbar zur Gefährdung von Menschenleben (daher nicht zwingend sehr hoch), doch für die Geschäftsmission des Netzwerks ist er kritisch genug, um größte Vorsorge (Redundanzen, Backups, Notfallpläne) zu rechtfertigen.

• Vertraulichkeit: Hoch : Personenbezogene Daten unterliegen dem strengen Datenschutzrecht. Ein Verlust der Vertraulichkeit – also z. B. das Abfließen von Mitarbeiter- oder Kundendaten – stellt einen Datenschutzverstoß dar, der meldepflichtig ist und mit erheblichen Bußgeldern sanktioniert werden kann. Rechtliche Folgen: Die DSGVO sieht bei Verletzung der Vertraulichkeit (z. B. unbefugtes Offenlegen von Namen, Adressen, Kontaktdaten) empfindliche Strafen vor, abhängig von Schwere und Fahrlässigkeit. Zudem könnten Betroffene Schadensersatz nach Art. 82 DSGVO fordern, wenn ihnen ein materieller oder immaterieller Schaden entsteht. Reputation: Für ein Beratungsnetzwerk wäre ein öffentlich bekannt gewordener Datenschutzvorfall äußerst schädlich – Kunden (insbesondere größere Unternehmen oder öffentliche Auftraggeber) erwarten absolute Zuverlässigkeit im Umgang mit ihren Ansprechpartnerdaten. Wirtschaftlich: Neben Bußgeldern und Compensation droht auch Vertrauensverlust, was indirekt wirtschaftlichen Schaden (Kundenabwanderung) bedeutet. Personell: Die betroffenen Personen – z. B. Netzwerkpartner – könnten durch einen Leak persönlich betroffen sein (Identitätsdiebstahl, Spam, unerwünschte Kontaktaufnahme durch Dritte). Zwar sind die im FM-Kontext verarbeiteten personenbezogenen Daten meist keine höchst-sensiblen (wie Gesundheitsdaten oder Informationen, die Leib und Leben gefährden würden), aber bereits die Kombination von Kontaktdaten mit vertraglichen Details könnte jemanden in seinen wirtschaftlichen Verhältnissen beeinträchtigen (etwa wenn Honorardetails öffentlich werden). Daher und aufgrund der gesetzlichen Pflicht zur Wahrung der Vertraulichkeit ist hier der Schutzbedarf als hoch zu bewerten. Alle personenbezogenen Daten müssen durch Zugriffsberechtigungen, Verschlüsselung (bes. beim Transport) und Schulung der Mitarbeiter/Partner vor unbefugter Kenntnisnahme geschützt werden.

• Integrität: Normal : Die Integrität personenbezogener Daten ist zwar ebenfalls relevant (Daten sollen richtig und vollständig sein), jedoch sind die Auswirkungen unbemerkter Veränderungen in vielen Fällen begrenzt. Beispiel: Wenn die Adresse eines Kundenkontakts versehentlich falsch gespeichert wird, kann das zu Rückläufern bei der Post führen oder Kommunikationsverzögerungen – ärgerlich, aber behebbar. Ähnlich wäre ein versehentlich falscher Rechtschreibfehler im Namen zwar unschön, aber selten kritisch. Personelle Folgen: Für den Betroffenen kann eine Integritätsverletzung unangenehm sein (z. B. falsche Anrede, unkorrekte Personalakte), aber normalerweise nicht existenzbedrohend. Wirtschaftlich: Fehlerhafte Partner-Stammdaten könnten zu falschen Zahlungen führen (z. B. Honorar auf falsches Konto) – dies ließe sich jedoch rückgängig machen oder versichern, sodass der Schaden begrenzt bleibt. Rechtlich: Es gibt eine DSGVO-Pflicht zur Datenrichtigkeit, aber ein Verstoß führt eher zu Korrekturanforderungen als zu Strafen, solange keine böse Absicht vorliegt. Insgesamt würden Beeinträchtigungen der Integrität hier meist beherrschbar bleiben, also normaler Schutzbedarf. Wichtig ist dennoch, Mechanismen zur Fehlervermeidung zu haben (z. B. Doppelprüfungen bei Eingabe wichtiger Daten wie Bankverbindungen, regelmäßige Aktualisierung von Kontaktlisten), um unnötige Probleme zu vermeiden.

• Verfügbarkeit: Normal : Die Verfügbarkeit personenbezogener Daten ist im Tagesgeschäft des Netzwerks zwar wichtig, aber ein zeitweiliger Ausfall wäre verkraftbar und hätte keine unmittelbaren katastrophalen Folgen. Szenario: Sollte z. B. das zentrale CRM mit den Kundenkontakten für einen Tag nicht erreichbar sein, können die Berater zur Not auf lokale Kontaktlisten zurückgreifen oder den Kunden über andere Kanäle erreichen. Die Arbeit wäre etwas erschwert, aber nicht unmöglich. Wirtschaftlich: Verzögerungen durch fehlende Kontaktdaten könnten kleine Reibungsverluste bedeuten, aber kaum messbare finanzielle Schäden. Rechtlich: Für personenbezogene Daten schreibt die DSGVO zwar auch Verfügbarkeitskontrollen vor (Schutz vor zufälligem Verlust, Art. 32), doch ein temporärer Ausfall (wenn z. B. eine Datendatenbank offline ist) ist an sich kein meldepflichtiger Vorfall, solange kein externer Schaden entsteht. Personell: Mitarbeiterdaten wie Urlaubslisten oder Lohnabrechnungen sollten natürlich verfügbar sein, damit die Gehälter pünktlich gezahlt werden können – aber hier gibt es in der Regel Ausweichverfahren (Backups, Papierakten oder Nachfragen beim HR). Ein längerer Verlust (z. B. unwiederbringlicher Verlust aller Personaldaten) wäre allerdings problematisch, würde aber eher aus mangelhafter Backup-Strategie herrühren, was im ISMS sowieso adressiert würde. Im Gesamten sind Beeinträchtigungen der Verfügbarkeit von personenbezogenen Daten begrenzt und handhabbar, somit Schutzbedarf normal. Nichtsdestotrotz sind auch hier regelmäßige Backups und Archivierungen Pflicht, schon um gesetzliche Aufbewahrungsfristen zu erfüllen.

• Vertraulichkeit: Hoch : Geschäftsdokumente enthalten sensible interne und externe Informationen, deren Vertraulichkeit für den geschäftlichen Erfolg maßgeblich ist. Verträge: enthalten Konditionen und möglicherweise Vertragsstrafen, die nicht öffentlich werden sollten; ein Leak könnte Verhandlungsspielräume untergraben oder Konkurrenz in die Hände spielen. Angebote und Kalkulationen: Hier sind Preise, Margen und technische Lösungsideen verzeichnet. Kämen diese zur Konkurrenz oder zum Auftraggeber vor Zuschlag, würde das den Wettbewerb verzerren – der eigene Wettbewerbsvorteil ginge verloren, was finanziell sehr nachteilig wäre. Lizenzen: enthalten oft Schlüssel oder Registrierungsdaten, die bei Missbrauch (z. B. illegale Nutzung durch Dritte) rechtliche Probleme bereiten könnten. Wirtschaftlich: Der wirtschaftliche Schaden eines Vertraulichkeitsbruchs kann beträchtlich sein: verlorene Aufträge, notwendig gewordene Rabatte, Vertragsstrafen, eventuell entgangene Gewinne, falls z. B. eine Geschäftszahl publik wird und Verhandlungspartner darauf beharren. Rechtlich: Einige dieser Unterlagen sind durch Vertraulichkeitsklauseln geschützt (etwa in Partner- oder Kundenverträgen). Ein Bekanntwerden vertraulicher Vertragsdetails könnte ebenfalls Vertragsverletzungen darstellen (z. B. wenn ein Vertragspartner feststellt, dass seine Vertragsdetails publik wurden). Hier drohen Abmahnungen und Schadensersatzforderungen. Reputation: Externe Partner würden es sehr negativ aufnehmen, wenn vertrauliche Verträge oder Angebote in Umlauf geraten – das Vertrauen in die Diskretion des Netzwerks wäre erschüttert. Insgesamt sind die Folgen eines Geheimnisverrats in diesem Bereich erheblich, sodass der Schutzbedarf hoch ist. Absolute Vertraulichkeit muss beispielsweise durch Verschluss von physischen Verträgen, verschlüsselte Ablage von digitalen Dokumenten und Zugriff nur für Berechtigte gewährleistet werden.

• Integrität: Hoch : Unveränderte Originale sind in geschäftlichen Unterlagen essenziell, vor allem bei rechtsverbindlichen Dokumenten. Verträge: Schon kleine Änderungen (z. B. an Zahlen oder Formulierungen) könnten die Rechte und Pflichten der Parteien völlig verändern. Eine unautorisierte Änderung oder ein Fehler (z. B. falsches Datum, falscher Betrag) kann zu rechtlichen Konflikten führen – im harmloseren Fall muss der Vertrag korrigiert oder nachverhandelt werden, im schlimmeren Fall entsteht ein Streit oder sogar ein Gerichtskampf über Vertragsinhalte. Angebote/Kalkulationen: Fehler in Kalkulationstabellen (sei es durch Eingabefehler oder Manipulation) könnten bedeuten, dass ein Projekt mit falschen Annahmen angeboten wird – entweder wirtschaftlich fatal (wenn man sich verkalkuliert und zu günstig anbietet, schrumpft oder negiert sich die Marge) oder reputationsschädlich (wenn ein offensichtlicher Fehler das Angebot unbrauchbar macht). Lizenzen: Hier ist vor allem die Vollständigkeit wichtig – z. B. darf ein Lizenzschlüssel nicht verändert werden, sonst verliert man den Nachweis. Aber auch Integrität der Info, welche Lizenzen man hat, ist nötig, um Compliance zu wahren. Wirtschaftlich: Eine unbemerkte Integritätsverletzung kann hohe Folgekosten haben – z. B. muss ein falsch geplanter Auftrag nachträglich mit eigenem Geld gestützt werden oder ein entgangener Lizenznachweis führt zum Kauf neuer Lizenzen. Rechtlich: Sollten Dokumente mit manipuliertem Inhalt genutzt werden (bewusst oder unbewusst), ist man in einer problematischen Lage; im Zweifel hat man gegen Vertragspflichten (z. B. korrekte Dokumentation) verstoßen. Das Erfordernis, Originaldokumente nachweisen zu können, ist z. B. bei Verträgen enorm wichtig – deshalb werden oft Papieroriginale mit Unterschrift aufbewahrt. Digitale Versionen müssen daher gegen nachträgliche Veränderungen geschützt sein (z. B. PDF-Signatur, Schreibschutz). Zusammengefasst rechtfertigen die potentiell beträchtlichen Auswirkungen (juristische Streitigkeiten, finanzielle Fehlentscheidungen) den Schutzbedarf hoch für Integrität.

• Verfügbarkeit: Normal : Geschäftliche Unterlagen sollten jederzeit für die berechtigten Personen zugreifbar sein, sind aber im laufenden Betrieb etwas weniger zeitkritisch als z. B. operative Projektdaten. Beispiel: Verträge und Lizenzdokumente werden nicht täglich benötigt; ein temporärer Zugriffsausfall (einige Stunden oder sogar 1-2 Tage) wäre meistens tolerierbar, solange keine akute Prüfung ansteht. Oft existieren außerdem physische Kopien (Originalverträge im Aktenordner, Lizenzzertifikate in Papierform), die überbrückend genutzt werden könnten. Wirtschaftlich: Wenn jedoch ein wichtiges Dokument über längere Zeit nicht auffindbar oder verloren ist (z. B. ein unterschriebener Vertrag oder Nachweis einer Lizenz), kann das gravierende Folgen haben: Man könnte z. B. Probleme haben, Ansprüche durchzusetzen oder Audit-Auflagen zu erfüllen. Doch solche Fälle sind mit ordentlicher Archivierung vermeidbar. Für den Alltag gilt: Ein kurzfristiger Verlust der digitalen Kopie ist beherrschbar – Backups oder die Gegenpartei kann oft Ersatz liefern. Rechtlich: Bei fehlenden Unterlagen drohen in erster Linie Verzögerungen (etwa beim Nachweis gegenüber Prüfern oder Gerichten), aber kein direkter Gesetzesverstoß. Reputation: Eher intern relevant – ineffiziente Verwaltung (wenn man eigene Verträge nicht schnell zur Hand hat) wirft kein gutes Licht, bleibt aber meist intern. Insgesamt wird hier normaler Schutzbedarf angesetzt: Normale Sorgfalt (Backup, geordnete Ablage) reicht aus, um die Verfügbarkeit zu gewährleisten. Allerdings: Gewisse Dokumente können zeitkritisch sein – z. B. aktuelle Angebote in der heißen Phase einer Ausschreibung müssen verfügbar sein. In solchen speziellen Fällen wäre temporär auch mal hoch anzusetzen. Im Mittel jedoch reicht normal, da Ausweichmöglichkeiten bestehen (Papierkopien, E-Mail-Verläufe, erneutes Anfordern beim Vertragspartner).

• Vertraulichkeit: Normal : Die intern erstellten Wissensdokumente sind für das Unternehmen wertvoll, aber ein Bekanntwerden nach außen ist nicht unmittelbar existenzgefährdend. Oft handelt es sich um Materialien, die in ähnlicher Form auch bei Konkurrenten vorhanden sein könnten oder mit vertretbarem Aufwand reproduzierbar wären. Wirtschaftlich: Natürlich liegt ein Wettbewerbsvorteil darin, exklusive Beratungsleitfäden oder Training-Unterlagen zu besitzen. Wenn diese unautorisiert veröffentlicht würden, könnten Mitbewerber profitieren oder der Unique Selling Point des Netzwerks etwas geschwächt werden. Doch der Schaden wäre eher indirekt und mittelfristig (verlorene Wissensvorsprünge) als ein akuter finanzieller Schlag. Es gäbe kein einzelnes Ereignis, das sofort hohe Kosten verursacht – eher ein schleichender Effekt. Rechtlich: Solange kein Vertragsgeheimnis eines Kunden darin enthalten ist, bewegen wir uns hier im Feld der Geschäftsgeheimnisse des Unternehmens. Durch das Geschäftsgeheimnisgesetz besteht zwar ein Schutz, aber nur, wenn man selber angemessene Vertraulichkeitsmaßnahmen ergriffen hat. Ein unabsichtlicher Leak (z. B. ein interner Leitfaden gelangt an die Öffentlichkeit) ist juristisch oft schwer verfolgbar, sofern kein klarer Verursacher identifizierbar ist. Reputation: Intern könnte Unmut entstehen, wenn z. B. ein exklusiv für Partner gedachtes Schulungsvideo auf YouTube auftaucht; extern jedoch wäre der Effekt begrenzt – evtl. wundern sich Kunden, warum man interne Dokumente nicht besser hütet, aber ein direkter Vertrauensverlust wie bei Kundendaten wäre unwahrscheinlich. Aufgrund all dessen reicht hier normaler Schutzbedarf für Vertraulichkeit: Diese Informationen sollten zwar nicht offen verfügbar sein, aber falls doch mal etwas durchdringt, ist der Schaden begrenzt und nicht kritisch. Trotzdem sind grundlegende Maßnahmen (Zugriff nur für Partner/Mitarbeiter, ggf. Passwortschutz für interne Wikis) sinnvoll, um das Know-how nicht komplett frei preiszugeben.

• Integrität: Normal : Interne Wissensdokumente müssen korrekt sein, damit sie nützen – allerdings sind die Folgen vereinzelter Fehler oder Manipulationen in der Regel überschaubar. Szenario: Sollte beispielsweise ein interner Fachartikel versehentlich falsche Angaben enthalten (z. B. veraltete Normen oder Rechenfehler), könnten einige Berater daraus falsche Schlüsse ziehen. Doch im Praxiseinsatz würde Know-how meist mit gesundem Menschenverstand und anderen Quellen abgeglichen, bevor es zu einer Fehlberatung kommt. Der wichtigste Filter ist hier das Fachwissen der Anwender selbst. Wirtschaftlich: Eine fehlerhafte interne Anleitung könnte evtl. die Effizienz mindern (man macht Arbeitsschritte falsch) oder im schlimmsten Fall zu einer suboptimalen Lösung beim Kunden führen, was dann Nacharbeit erfordert. Aber es handelt sich nicht um Garanten für Sicherheit oder Finanzen wie bei technischen Daten – daher sind die finanziellen Auswirkungen begrenzt. Rechtlich: Es besteht keine direkte gesetzliche Pflicht, dass interne Inhalte fehlerfrei sind. Sollten falsche Inhalte allerdings publiziert werden (z. B. man veröffentlicht einen Fachartikel mit Fehlern), könnte das peinlich sein, aber es ist kein Sicherheitsvorfall im eigentlichen Sinne. Reputation: Wenn externe Leser Zugang hätten, könnte es die Expertise infrage stellen, aber intern lässt sich ein Fehler schnell korrigieren, sobald er auffällt. Deshalb genügt normaler Schutzbedarf – Fehler sollen vermieden werden, aber es braucht hier keine gleichen strengen Validierungs- und Kontrollmechanismen wie bei z. B. Kundenverträgen. Versionierung und Peer-Review von Leitfäden sind dennoch Best Practices, um die Qualität hochzuhalten.

• Verfügbarkeit: Normal : Interne Wissensressourcen sind für die Verbesserung der Beratungsleistungen nützlich, jedoch führt eine vorübergehende Nicht-Verfügbarkeit nicht zu unmittelbaren Gefahren oder Vertragsbrüchen. Beispiel: Sollte das interne Wiki oder die Dokumentenablage mit Schulungsmaterialien für einige Tage ausfallen, könnten die Berater dennoch weiterarbeiten, da sie auf vorhandenes Erfahrungswissen und persönliche Unterlagen zurückgreifen können. Schulungen könnten verschoben oder improvisiert werden. Wirtschaftlich: Der Nutzen von verfügbarem Know-how zeigt sich langfristig – ein kurzer Ausfall führt höchstens zu verpassten Lerneffekten oder leicht geringerer Effizienz. Das ist verkraftbar. Rechtlich: Keine direkten Implikationen, da es sich um interne Angelegenheiten handelt. Reputation: Nicht betroffen, da Kunden davon nichts erfahren. Summiert man dies, ist ein normaler Schutzbedarf ausreichend. Selbstverständlich sollte das Unternehmenswissen regelmäßig gesichert werden (Backups), damit es nicht unwiederbringlich verloren geht – der dauerhafte Verlust wäre nämlich schon schmerzhaft, wenn auch nicht unbedingt existenzbedrohend. Aber hinsichtlich Kurzzeit-Verfügbarkeit sind keine überzogenen Maßnahmen erforderlich. Standard-IT-Betrieb mit Backup reicht aus.