Schutzbedarfsfeststellung: Großbahnhof

Moderne Großbahnhöfe verfügen über vielfältige IT-Systeme, die für den Betrieb und die Sicherheit unerlässlich sind. Dazu zählen insbesondere Fahrgastinformationssysteme (digitale Anzeigetafeln für Abfahrt/Ankunft, Monitore, Lautsprechersysteme), Zutrittskontrollsysteme (elektronische Zugangssperren für Personalbereiche) und Videoüberwachungssysteme (CCTV-Kameras mit Aufzeichnung).

• Fahrgastinformationssysteme: Diese Anzeigen liefern den Reisenden in Echtzeit Zugnummern, Gleisangaben, Verspätungen u. ä. Die Vertraulichkeit der angezeigten Inhalte ist in der Regel normal einzustufen, da es sich um öffentliche Fahrplandaten handelt. Ein Geheimhaltungsbedarf besteht allenfalls für interne Systemzugänge oder Konfigurationsdaten. Integrität und Verfügbarkeit der Fahrgastinformationen sind hingegen hoch einzustufen. Manipulierte oder falsche Anzeigen könnten Reisende in die Irre führen, zu Gefährdungen (z. B. Gedränge auf falschen Bahnsteigen) oder Chaos im Betriebsablauf führen. Ein Ausfall der Anzeigetafeln würde den Informationsfluss erheblich stören, was in einem Großbahnhof mit tausenden Fahrgästen zu großem Unmut, Verzögerungen und ggf. gefährlichen Situationen (z. B. bei Evakuierungen) führen kann. Ein realer Vorfall illustriert dies: Durch einen Cyberangriff (WannaCry 2017) waren deutschlandweit zahlreiche digitale Anzeigetafeln und Ticketautomaten ausgefallen und blieben mehrere Tage außer Betrieb. Die Bahn musste Fahrgäste auf Aushänge verweisen, was die Betriebsabläufe deutlich beeinträchtigte.

• Abb. 2: Außer Betrieb befindliche Ankunftsanzeige im Hauptbahnhof (hier mit dem Hinweis „Bitte Aushangfahrplan beachten“ als Notlösung). Ein Ausfall der digitalen Fahrgastinformationssysteme beeinträchtigt den Bahnverkehr erheblich.

• Zutrittskontrollsysteme: Elektronische Tür- und Zugangskontrollen schützen interne Bereiche des Bahnhofs (z. B. Betriebsräume, Stellwerk, Technikzentralen) vor unbefugtem Betreten. Vertraulichkeit der in diesen Systemen verarbeiteten Daten – etwa Ausweisdaten von Mitarbeitern oder Zutrittslogs – ist mittel bis hoch einzustufen, da diese personenbezogene oder sicherheitssensible Informationen enthalten können (DSGVO-Relevanz bei Mitarbeiterdaten). Unberechtigter Einblick könnte Angriffspunkte eröffnen (z. B. Kenntnis, wann welche Türen offen sind). Die Integrität solcher Systeme ist hoch: Jegliche Manipulation (etwa das Erschleichen höherer Zutrittsrechte oder das Sperren berechtigter Personen) könnte die physische Sicherheit kompromittieren. Eine Verletzung der Integrität könnte es Angreifern ermöglichen, in sicherheitskritische Bereiche einzudringen. Auch die Verfügbarkeit der Zutrittskontrolle ist hoch anzusetzen. Fällt das System aus, könnten Türen verschlossen bleiben oder offenstehen – beides führt zu erheblichen Sicherheitsrisiken und Betriebsstörungen. Beispielsweise würde ein Ausfall der Zugangssysteme im Stellwerksgebäude den Zugverkehr gefährden, da im Notfall Personal nicht schnell genug in Kontrollräume käme bzw. Unbefugte Zutritt erhalten könnten.

• Videoüberwachungssysteme (CCTV): Kameras überwachen Bahnsteige, Eingänge und weitere Bereiche, um Delikte zu verhindern und in Echtzeit die Situation zu überblicken. Dabei entstehen personenbezogene Bilddaten, die dem Datenschutz unterliegen. Entsprechend ist die Vertraulichkeit der Videoaufzeichnungen hoch einzustufen – unautorisierte Einsicht oder gar Veröffentlichung dieser Aufnahmen wäre ein Verstoß gegen Persönlichkeitsrechte und Datenschutzgesetze. Zugriff auf Live-Bilder muss streng reglementiert sein (nur für berechtigtes Sicherheitspersonal). Die Integrität der Videodaten ist hoch, da manipulierte oder gelöschte Aufzeichnungen die Aufklärung von Vorfällen behindern oder den Sicherheitskräften ein falsches Lagebild vermitteln könnten. Beispielsweise könnte ein Angreifer, der Videofeeds manipuliert (Stichwort: „Kamerabild-Schleife“), sich unbemerkt bewegen – dies wäre ein erhebliches Sicherheitsrisiko. Schließlich ist die Verfügbarkeit der Kamerabilder hoch einzuschätzen: Bei einem Ausfall der Videoüberwachung fehlen der Bundespolizei und dem Sicherheitspersonal wichtige Informationen zur Lageeinschätzung. Zwar führt ein Kameraausfall nicht unmittelbar zu Gefahr für Leben, aber er erschwert präventive Maßnahmen (Taschendiebstahl, Vandalismus) und verzögert Reaktionen in kritischen Situationen. Tatsächlich war im Zuge der WannaCry-Attacke 2017 auch die Videotechnik der Bahn zeitweise gestört, was die Überwachung der Bahnhöfe beeinträchtigte.

(Anm.: „mittel/hoch“ bei Zutrittskontrolle-V bedeutet je nach Sensitivität der Zutrittsdaten – mind. DSGVO-relevant.)

Die bauliche und technische Infrastruktur eines Großbahnhofs umfasst u. a. die Bahnsteige und Gleisanlagen, gebäudetechnische Systeme (Klima, Beleuchtung, Brandmelde- und Löschanlagen) sowie die Energieversorgung. Diese Komponenten sind eng mit IT-Steuerungssystemen verzahnt (Stichwort: Operational Technology). Ein Ausfall oder eine Beeinträchtigung kann unmittelbar die Sicherheit der Reisenden und den Betrieb des Bahnhofs beeinträchtigen.

• Bahnsteige und Gleisanlagen: Hier geht es insbesondere um deren physische Verfügbarkeit und Integrität. Vertraulichkeit spielt für öffentlich zugängliche Bahnsteigbereiche keine Rolle (Kategorie normal für Pläne/Baupläne, wobei detaillierte Baupläne in falschen Händen moderat sensibles Wissen sein könnten, z. B. für Sabotage). Integrität bezieht sich vor allem auf die physische Unversehrtheit und die korrekte technische Steuerung der Gleisanlagen (Weichen, Signale). Eine Beeinträchtigung der Integrität – etwa durch Sabotage oder Fehlfunktionen der Signaltechnik – ist hochgefährlich: Fehlgeleitete Züge oder Weichenstörungen können Unfälle verursachen. Somit ist die Integrität der Steuerungssysteme für Gleise sehr hoch einzustufen (Unfallgefahr = Lebensgefahr). Verfügbarkeit der Gleisanlagen (d. h. Funktionsfähigkeit von Weichen, Signalen, Bahnsteigzugang etc.) ist sehr hoch: Ein längerfristiger Ausfall bedeutet Einstellung des Zugverkehrs mit massiven Folgen. Bereits ein mehrstündiger Ausfall wichtiger Signaltechnik kann weiträumige Zugausfälle verursachen. Ein Beispiel ist die Sabotage 2022 an Kabeltrassen der Bahn: Durch das Durchtrennen von Steuerkabeln fiel der digitale Zugfunk aus, was den Zugverkehr in Norddeutschland für mehrere Stunden vollständig lahmlegte. Hierdurch kam es zu Chaos auf den Bahnhöfen, Ausfällen und großer Verunsicherung. Entsprechend müssen die Bahnanlagen höchst verfügbar und gegen Sabotage geschützt sein.

• Gebäudetechnik (Klima, Beleuchtung, Aufzüge, Brandschutz): Diese technischen Systeme gewährleisten einen sicheren und komfortablen Aufenthalt im Bahnhof und sind teils sicherheitskritisch (etwa Notbeleuchtung, Rauchabzug, Sprinkler). Vertraulichkeit ist für die meisten Gebäudetechnik-Daten normal (die Kenntnis z. B. von Temperaturwerten oder Lampenplänen birgt kaum Risiko, allenfalls könnten Detailpläne der Sicherheitssysteme vertraulich zu behandeln sein, um Angriffe zu erschweren). Integrität der Gebäudesteuerung ist hoch: Manipulationen könnten z. B. Klimaanlagen ausfallen oder falschen Alarm auslösen. Kritisch wären gezielte Veränderungen, etwa Ausschalten der Beleuchtung oder Lüftung – das könnte in Paniksituationen gravierende Folgen haben. Verfügbarkeit der Gebäudetechnik hat im Störungsfall unterschiedliche Kritikalität: Ein Ausfall der Rolltreppen oder Klimaanlage ist unangenehm und verursacht Kosten (Schutzbedarf tendenziell normal bis mittel). Hingegen ist die Verfügbarkeit von sicherheitsrelevanter Technik wie Notbeleuchtung, Brandmeldeanlagen, Rauchabzug oder Aufzügen für Personen mit Mobilitätseinschränkung sehr hoch. Beispielsweise würden defekte Notausgangsbeleuchtungen oder ein Ausfall der Rauchabzugssteuerung im Brandfall die Evakuierung massiv beeinträchtigen und Menschenleben gefährden. Insgesamt ist die Energieversorgung eine Voraussetzung für alle diese Systeme – siehe unten.

• Energieversorgung: Strom ist die Lebensader des Bahnhofs: Ohne Elektrizität funktionieren weder Züge (Oberleitung/Signaltechnik) noch Beleuchtung, Türen, Anzeigen oder Sicherheitssysteme. Entsprechend ist die Verfügbarkeit der Energieversorgung sehr hoch. Ein Stromausfall hat unmittelbare, erhebliche Auswirkungen: Züge können den Bahnhof nicht mehr anfahren, Beleuchtung und Anzeigen fallen aus, Aufzüge und Rolltreppen bleiben stehen, was insbesondere mobilitätseingeschränkte Personen gefährdet. Ein realer Vorfall ereignete sich 2019 am Münchner Hauptbahnhof, als ein Trafobrand zu einem großflächigen Stromausfall führte: In der Folge konnten stundenlang viele Züge den Bahnhof nicht erreichen, mehrere Stationen lagen im Dunkeln, Rolltreppen und Aufzüge fielen aus, und sogar Stellwerke waren zeitweise außer Betrieb. Die Störungen dauerten bis in den Nachmittag und betrafen Fern- wie Regionalverkehr. Dieses Szenario verdeutlicht, dass ein Großbahnhof ohne Strom praktisch handlungsunfähig ist – weshalb Notstromaggregate und Redundanzen vorgeschrieben sind. Die Integrität der Energieversorgung bezieht sich hier v. a. auf die Qualität und Stabilität der Stromversorgung sowie die Steuerungsbefehle für das Energienetz. Sie ist hoch einzustufen: Überspannungen oder fehlerhafte Schaltungen könnten Geräte beschädigen oder zum Brand führen. Vertraulichkeit spielt für Energiedaten (Verbrauchswerte etc.) allenfalls eine geringe Rolle (normaler Schutzbedarf, da solche Daten kaum Missbrauchspotenzial haben, abgesehen von internen Details der Versorgungsnetze, die man aus Sicherheitsgründen nicht offenlegt).

(Anm.: Unterscheidung bei Gebäudetechnik-A: Teils sehr hoch für Sicherheitssysteme, ansonsten etwas geringer.)

Neben Technik und Infrastruktur müssen auch kritische Prozesse im Bahnhofsbetrieb betrachtet werden. Hierzu zählen insbesondere Evakuierungsprozesse für Notfälle, die Zugverkehrssteuerung im Bahnhof (inkl. Kommunikation mit zentralen Leitzentralen) sowie die Lenkung von Personenströmen im täglichen Betrieb und bei Großlagen. Diese Prozesse greifen oft auf die genannten technischen Systeme zurück, doch ihr Schutzbedarf ist in Bezug auf Abläufe und organisatorische Umsetzung zu bewerten.

• Evakuierung im Notfall: Bei Bränden, Anschlägen oder anderen Gefahrenlagen muss der Bahnhof schnell und geordnet geräumt werden. Hierfür existieren Evakuierungspläne, Notfallbeleuchtungen, Lautsprecherdurchsagen und eingespieltes Personal. Die Verfügbarkeit des Evakuierungsprozesses ist von sehr hohem Schutzbedarf – im Ernstfall muss die Evakuierung jederzeit unverzüglich funktionieren. Das bedeutet: Notausgänge, Alarmierungsanlagen und Anweisungen dürfen nicht ausfallen. Jede Verzögerung oder Störung kann Menschenleben kosten, was existenzielle Schäden bedeuten würde. Integrität der Evakuierungsprozeduren ist ebenfalls sehr hoch: Die Abläufe müssen korrekt und zuverlässig sein. Fehlalarme oder falsche Durchsagen (etwa durch Hacking der Beschallungsanlage) könnten Panik auslösen oder im schlimmsten Fall Menschen in gefährliche Bereiche lenken. Daher ist sicherzustellen, dass im Notfall nur autorisierte Informationen verbreitet werden (z. B. keine falschen „Entwarnungen“ durch Unbefugte). Vertraulichkeit der Evakuierungspläne und -maßnahmen ist demgegenüber nachrangig (normal bis mittel): Zwar sollten interne Notfallpläne nicht allgemein publik sein (um Missbrauch zu verhindern), doch überwiegt hier die Transparenz gegenüber Einsatzkräften. Insgesamt liegt das Hauptaugenmerk auf der hohen Verfügbarkeit und Integrität aller Evakuierungsmittel (Alarmsystem, Fluchtwegsbeleuchtung, Lautsprecher, Personal-Anweisung).

• Zugverkehrssteuerung (im Bahnhof): Die Ein- und Ausfahrt von Zügen wird durch Stellwerkstechnik und digitale Kommunikationsprozesse gesteuert. Oft ist ein Großbahnhof an eine zentrale Betriebszentrale angebunden, die Weichen und Signale stellt. Integrität und Verfügbarkeit dieses Steuerungsprozesses sind von sehr hohem Schutzbedarf. Jeder Fehler kann katastrophale Folgen haben: Werden falsche Befehle gegeben oder Signale unbemerkt manipuliert (Integritätsverlust), drohen Zusammenstöße oder Entgleisungen. Ebenso führt der Ausfall der Zugsteuerung (z. B. Ausfall Stellwerk oder Zugfunk) sofort zum Stillstand des Verkehrs – was zumindest große wirtschaftliche Schäden verursacht, im schlimmsten Fall aber ebenfalls Sicherheitsrisiken birgt (etwa wenn Kommunikation mit fahrenden Zügen abbricht). Die erwähnte Sabotage des GSM-R-Zugfunks 2022 machte deutlich, dass ohne Zugsteuerungskommunikation kein sicherer Betrieb möglich ist. Daher gelten höchste Anforderungen an die Integrität (keine unautorisierten Kommandoänderungen) und Verfügbarkeit (Redundanz, Backup-Systeme) der Zugsteuerung. Die Vertraulichkeit der Steuerdaten ist hingegen vergleichsweise normal/mittel: Aktuelle Fahrstraßen und Signalpläne sind zwar nicht öffentlich, aber ein Geheimhaltungsleck hätte primär keine unmittelbaren Gefahren zur Folge – es könnte jedoch die Informationssicherheit (und ggf. Wettbewerbsinteressen der Bahn) tangieren. Wichtiger ist, dass unautorisierte Personen keinen Zugriff erlangen (dies ist eher ein Integritätsaspekt, der Vertraulichkeit geht hier Hand in Hand mit Zugangsschutz).

• Personenstromlenkung und -sicherheit im Alltag: In einem Großbahnhof muss auch jenseits akuter Notfälle der Fluss der Reisenden gelenkt werden – z. B. bei Gleiswechseln, Bahnsteigsperrungen oder Großveranstaltungen. Hierzu gehören Ansagen, dynamische Wegweisanzeigen oder der Einsatz von Personal, um Überlastungen zu vermeiden. Die Verfügbarkeit dieser Prozesse ist hoch: Fällt z. B. die Lautsprecheranlage oder elektronische Wegweisanzeige aus, können bei Störungen oder Umleitungen schnell gefährliche Gedränge entstehen. Die Integrität der Informationen ist ebenfalls hoch: Falsche Richtungsangaben („Nutzen Sie Ausgang X“ obwohl dieser blockiert ist) könnten zu Chaos oder Panik führen. Zwar sind Fehler in der Personenlenkung nicht unmittelbar lebensbedrohend unter Normalbedingungen, aber in kritischen Situationen (etwa Teil-Evakuierungen bei Teilausfällen) können sie das Zünglein an der Waage sein. Vertraulichkeit spielt hier kaum eine Rolle (normal), da es um öffentliche Ansagen geht – wichtig ist jedoch, dass interne Einsatzpläne (z. B. wo Security postiert ist) nicht vorab bekannt werden, um z. B. gezielte Störungen zu verhindern (daher könnten Einsatzpläne als intern vertraulich gelten, was jedoch mehr dem organisatorischen Bereich zuzuordnen ist).

In einem Großbahnhof fallen vielfältige Daten an – von personenbezogenen Informationen bis hin zu betriebsrelevanten Dateien – und es kommen zahlreiche Kommunikationsmittel zum Einsatz, um den Betrieb zu koordinieren. Auch hierfür muss der Schutzbedarf bestimmt werden.

• Personenbezogene Daten: Darunter fallen z. B. Videoaufzeichnungen (bereits bei CCTV behandelt), Zutrittslisten, Mitarbeiterdaten, ggf. Kundendaten (etwa von Fundbüro-Vorgängen, WLAN-Registrierungen oder beim Ticketkauf erfasste Daten) und Visitor-Management-Informationen. Vertraulichkeit dieser personenbezogenen Daten genießt hohen Schutzbedarf, da Missbrauch oder Lecks direkt die Privatsphäre der Betroffenen verletzen würden (nach DSGVO drohen zudem empfindliche Strafen). Beispiele: Ein Leak von Reisendendaten oder Videoaufnahmen an die Öffentlichkeit wäre ein massiver Datenschutzvorfall mit Reputationsschäden. Integrität dieser Daten ist ebenfalls hoch, allerdings mit differenzierter Betrachtung: Bei Mitarbeiter- oder Besucherlisten muss Verlässlichkeit gegeben sein – manipulierte Daten (z. B. „Geister-Mitarbeiter“ in Zutrittslisten) könnten Sicherheitslücken schaffen. Auch verfälschte Kundendaten könnten zu Fehlentscheidungen führen. Verfügbarkeit personenbezogener Daten ist meist mittel einzustufen: Etwa müssen Mitarbeiterinformationen im System abrufbar sein, aber ein temporärer Ausfall hätte nicht dieselben unmittelbaren Auswirkungen wie z. B. der Ausfall der Zugsteuerung. Dennoch sind einige Daten zeitkritisch – z. B. Notfallkontakte der Mitarbeiter oder medizinische Notfalldaten (falls vorhanden) müssen im Ernstfall schnell zugänglich sein (hier wäre Verfügbarkeit wiederum hoch). Im Alltag kann eine moderate Verfügbarkeit genügen, sofern Backup-Prozesse existieren.

• Betriebs- und geschäftsrelevante Daten: Hierunter fallen interne Dokumente, Pläne (Sicherheitskonzepte, Baupläne, Wartungspläne), betriebswirtschaftliche Daten (Umsätze der Läden, Verträge) und insbesondere betriebskritische IT-Daten wie Fahrplandatenbanken, Wartungs- und Störungslogs, etc. Vertraulichkeit dieser Daten variiert: Sicherheitskonzepte und detaillierte Infrastrukturpläne sind hoch vertraulich, um Angreifern kein Wissen über Schwachstellen zu geben. Geschäftsdaten (Verträge, Finanzen) sind ebenfalls oft vertraulich aus Wettbewerbsgründen. Hingegen sind z. B. Fahrplandaten öffentlich. Für die Schutzbedarfsfeststellung kann man im Mittel von mittel bis hoch bei Vertraulichkeit ausgehen, je nach konkretem Inhalt. Integrität betriebsrelevanter Daten ist generell hoch: Falsche Wartungsdaten könnten etwa dazu führen, dass Instandhaltungen unterbleiben, was das Risiko technischer Defekte erhöht. Verfälschte Fahrplandaten im System könnten den gesamten Betriebsablauf stören. In der Praxis sind redundante Kontrollen vorhanden (Mitarbeiter würden grobe Abweichungen bemerken), doch ein gezielter Angriff auf Integrität hätte ernste Folgen. Verfügbarkeit ist hoch für die meisten betriebsrelevanten Daten: Beispiel Wartungspläne – wenn diese nicht verfügbar sind, stockt die Instandhaltung; bei fehlenden Störungsmeldungen kann die Betriebszentrale nicht reagieren. Allerdings gibt es hier Abstufungen: Manches (z. B. alte Archive) hat nur normalen Verfügbarkeitsbedarf, während aktuelle operative Daten (Fahrplan, Störungsmeldungen) in Echtzeit benötigt werden (sehr hoch für solche Live-Daten). Ein praxisnahes Beispiel für Datenintegrität: Sollten Buchungs- oder Ticketdaten manipuliert werden, könnten Reisende falsche Reservierungen erhalten oder Züge überbucht werden, was Chaos im Betriebsablauf verursacht – ein solches Szenario hätte erheblichen wirtschaftlichen Schaden und Imageschäden zur Folge (also hoher Schutzbedarf).

• Kommunikationsmittel: Im Bahnhof kommen verschiedene Kommunikationssysteme zum Einsatz: Funk- und Leitsysteme (z. B. Zugfunk GSM-R für die Kommunikation zwischen Zügen und Leitstelle, behördeneigene Funksysteme der Bundespolizei), Interne Telefonie (betriebsinterne Telefone, Dispatchernetze), öffentliche Beschallungsanlagen (Lautsprecher für Durchsagen) und Datenkommunikation/Netzwerke (für all die IT-Systeme und zur Anbindung ans DB-Netz und Internet). Die Vertraulichkeit der betrieblichen Kommunikation ist je nach Medium mittel bis hoch: Der Zugfunk ist in der Regel verschlüsselt, da ein Abhören oder gar Einsprechen durch Unbefugte verhindert werden muss. Sollte ein Angreifer interne Funkgespräche abhören, könnten daraus sicherheitskritische Informationen gewonnen oder Einsatzkräftebewegungen verfolgt werden – daher hoher Bedarf an Vertraulichkeit für polizeiliche und betriebliche Einsatztaktik. Öffentlich gerichtete Kommunikation (z. B. Bahnsteigdurchsagen) unterliegt keiner Vertraulichkeit. Integrität der Kommunikationsmittel hat sehr hohe Priorität: Alle relevanten Stellen müssen sich darauf verlassen können, dass eine empfangene Anweisung echt und unverfälscht ist. Man stelle sich vor, ein Täter würde über eine manipulierte Funkverbindung falsche Befehle an einen Lokführer senden – die Folgen könnten verheerend sein. Ebenso wäre eine kompromittierte Lautsprecheranlage, die z. B. eine falsche Notdurchsage abspielt, brandgefährlich (Panik auslösen oder in die Irre führen). Verfügbarkeit der Kommunikation ist ebenfalls sehr hoch: Ausfälle führen zu gefährlicher Informationslücke. Wenn z. B. der Zugfunk oder die Notrufverbindung der Polizei im Bahnhof ausfällt, können Züge nicht koordiniert weiterfahren bzw. Einsatzkräfte nicht alarmiert werden. Der erwähnte Sabotagefall 2022 belegt dies deutlich: Der Ausfall des GSM-R-Funks zwang zur kompletten Einstellung des Zugverkehrs. Auch interne Krisenstäbe im Bahnhof benötigen funktionierende Kommunikationswege (Telefon, Mobil, digitale Melder); Ausfälle hier verzögern die Reaktion auf Vorfälle erheblich. Somit gelten Integrität und Verfügbarkeit der Kommunikationsmittel als kritisch. Infolge des IT-Sicherheitsgesetzes 2.0 sind KRITIS-Betreiber zudem verpflichtet, ihre Telekommunikations- und IT-Systeme gegen Ausfall und Angriffe abzusichern (u. a. durch Redundanz, Netzsegmentierung und Angriffserkennung).

(Anm.: Unterschiedliche Datentypen innerhalb betriebsrelevanter Daten erfordern ggf. separaten Blick; obige Werte stellen einen zusammengefassten Worst-Case-Bedarf dar.)

Zuletzt sind die organisatorischen Sicherheitsmaßnahmen des Bahnhofs zu betrachten, wie Sicherheitsrichtlinien, Notfallpläne, Schulungen und Prozesse zur Aufrechterhaltung der Informationssicherheit. Diese bilden die Management-Ebene, die Technik und Personal verzahnt.

• Organisations- und Notfalldokumentation: Hierunter fallen schriftliche Sicherheitskonzepte, Evakuierungspläne, Dienstanweisungen für Personal in Krisenfällen, Kommunikationspläne sowie Unterlagen zur Sensibilisierung und Ausbildung der Mitarbeiter. Die Vertraulichkeit solcher Unterlagen ist mittel einzustufen: Intern sollen diese Informationen allen relevanten Mitarbeitern zugänglich sein, jedoch sollten detaillierte Sicherheitskonzepte und Schwachstellenanalysen nicht in falsche Hände gelangen (Schutz vor potenziellen Angreifern). Ein gewisses Maß an Geheimhaltung ist also angeraten (Need-to-know-Prinzip). Integrität der organisatorischen Unterlagen ist hoch: Pläne und Richtlinien müssen aktuell, korrekt und vollständig sein. Wenn z. B. ein Evakuierungsplan aufgrund eines Versehens falsche Zugänge ausweist oder nicht an bauliche Änderungen angepasst wurde, kann dies im Ernstfall gravierende Folgen haben. Ebenso dürfen Vorschriften nicht unautorisiert geändert werden – ein Angreifer könnte sonst z. B. Checklisten manipulieren, sodass Sicherheitsprüfungen lückenhaft werden. Verfügbarkeit dieser Informationen ist im Ernstfall hoch: Ein Notfallplan nützt nichts, wenn er im Krisenfall unauffindbar oder für das Personal nicht schnell zugänglich ist. Daher werden solche Pläne oft mehrfach (digital und physisch) vorgehalten. Im Alltag ist die permanente Verfügbarkeit weniger kritisch, aber in besonderen Lagen zeitentscheidend. Organisatorisch muss außerdem sichergestellt sein, dass Personal regelmäßig geschult ist und in Stresssituationen entsprechend der Pläne handeln kann – das fällt unter Integrität der Prozessumsetzung (die beste Richtlinie hilft nicht, wenn sie nicht eingeübt wurde).

• Menschliche Faktoren und Personalmaßnahmen: Auch der Umgang der Mitarbeiter mit IT-Systemen und Daten ist Teil des Schutzbedarfs. Aspekte wie Zugriffskontrollprozesse (wer darf was), Vier-Augen-Prinzip bei sicherheitskritischen Aktionen, Abstufung von Berechtigungen, sowie Schulungen zu Social Engineering und Datenschutz bestimmen wesentlich die reale Sicherheit. Diese organisatorischen Maßnahmen müssen so gestaltet sein, dass Vertraulichkeit (Geheimhaltung von Passwörtern, sensiblen Infos), Integrität (korrektes Befolgen von Prozessen) und Verfügbarkeit (ausreichend Personal in kritischen Situationen) gewährleistet sind. Hier lässt sich kein konkreter zahlenmäßiger Schutzbedarf angeben, aber qualitativ ist der Bedarf hoch: Fehler oder Insider-Missbrauch können technische Schutzmaßnahmen unterlaufen. Beispielsweise erfordert die KRITIS-Regulierung regelmäßige Übungen und Audits der Notfallprozesse, um im Ernstfall die Verfügbarkeit kritischer Funktionen sicherzustellen und die Integrität der Abläufe zu prüfen. Gesetzliche Vorgaben (BSI IT-Grundschutz, ISO 27001, §8a BSIG) verlangen umfangreiche organisatorische Vorkehrungen – von der Benennung eines Informationssicherheits-Beauftragten bis zur regelmäßigen Überprüfung der Sicherheitskonzepte. Die Verfügbarkeit von genügend geschultem Personal in Leitstellen und vor Ort ist ebenfalls ein Schutzbedarf-Thema: Bei unzureichender Personaldecke können Sicherheitsaufgaben nicht wahrgenommen werden, weshalb in der Personaleinsatzplanung entsprechende Mindestanforderungen definiert sind.