Unternehmenssicherheit Definition des Sicherheitsniveaus

Neben den Gesetzen liefern technische Standards und Normen detaillierte Leitlinien, wie Sicherheitsniveaus ermittelt und umgesetzt werden können. Für die Entwicklung unseres Klassifikationsmodells sind insbesondere die BSI-Standards zum IT-Grundschutz, internationale Normen wie ISO/IEC 27001 und ISO 31000, sowie spezielle Normreihen für physische Sicherheit relevant. Im Folgenden werden die wichtigsten Standards vorgestellt und deren Beiträge zur Definition von Sicherheitsniveaus herausgearbeitet.

Der IT-Grundschutz des BSI ist ein weithin anerkanntes Framework zur Informationssicherheit. Zentral ist die Schutzbedarfsfeststellung nach BSI-Standard 200-2 „IT-Grundschutz-Methodik“. Dabei wird jedem betrachteten Objekt (Informationsverbund, Geschäftsprozess, Anwendung, IT-System, Raum etc.) eine Schutzbedarfskategorie zugeordnet.

• „normal“: Die Schadensauswirkungen bei einem Sicherheitsvorfall sind begrenzt und überschaubar. Typischerweise bedeutet dies, dass der finanzielle Schaden tolerabel bleibt, gesetzliche Verstöße nur minderes Gewicht haben und der Betrieb allenfalls geringfügig gestört wird.

• „hoch“: Die Schadensauswirkungen können beträchtlich sein. Das heißt, ein Vorfall könnte erhebliche finanzielle Verluste oder Imageschäden verursachen, ggf. wichtige gesetzliche Pflichten verletzen oder sensible personenbezogene Daten betreffen. Der Geschäftsbetrieb wäre deutlich beeinträchtigt, allerdings ohne unmittelbar existenzbedrohend zu sein.

• „sehr hoch“: Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen. In dieser Kategorie würden Sicherheitsvorfälle die Organisation in ihrer Existenz gefährden, etwa durch irreversible Großschäden, lebensgefährdende Folgen für Menschen oder massiven Rechtsbruch mit Strafverfolgung.

Bemerkenswert ist, dass der IT-Grundschutz bewusst auf eine qualitative Dreistufung setzt. Laut BSI ist eine höhere Granularität oft nicht sinnvoll, da zu viele Abstufungen die Abgrenzung erschweren und den Aufwand erhöhen. Dennoch wird empfohlen, falls erforderlich, nach unten eine vierte Stufe wie „unkritisch“ einzuführen, die praktisch unter der Kategorie „normal“ liegt. Diese würde Fälle abdecken, in denen ein Schaden keine oder nur minimale Beeinträchtigungen der Institution nach sich zöge. Unser Modell greift diese Idee auf, indem es ein „niedriges“ Sicherheitsniveau definiert, das geringfügige Risiken (minimale Schäden, sehr unwahrscheinliche Ereignisse) bezeichnet. Dadurch erhalten wir vier Stufen (niedrig, mittel, hoch, sehr hoch), was eine feinere Differenzierung erlaubt, ohne die Nachvollziehbarkeit zu verlieren – zumal „mittel“ in etwa dem BSI-„normal“ entspricht. BSI selbst warnt, bei mehr als drei Kategorien müsse man klar bestimmen, welche neuen Kategorien den bisherigen „hoch“/„sehr hoch“ zuzuordnen sind. In unserem Schema wird dies explizit berücksichtigt (siehe Abschnitt zum Modell).

Der BSI-Standard 200-3 „Risikoanalyse auf der Basis von IT-Grundschutz“ beschreibt, wie aufbauend auf dem Schutzbedarf die Risiken bestimmt werden. Dabei werden für relevante Gefährdungen die Eintrittshäufigkeit und Schadenshöhe eingeschätzt und zu einem Risikowert kombiniert. BSI nennt exemplarisch Schadensszenarien als Orientierung für die Bewertung: u. a. Verstoß gegen Gesetze/Vorschriften, Beeinträchtigung des informationellen Selbstbestimmungsrechts (Datenschutz), Beeinträchtigung der persönlichen Unversehrtheit, Beeinträchtigung der Aufgabenerfüllung (Betriebsablauf), negative Außenwirkung und finanzielle Auswirkungen. Diese Kategorien decken sowohl IT-typische Schäden (z. B. Datenschutzverletzungen, IT-Ausfallkosten) als auch physische Schäden (Personenschäden, Arbeitsunfähigkeit) ab. Tatsächlich merkt das BSI an, dass manche Institutionen bestimmte Szenarien weglassen können – etwa das Szenario der persönlichen Unversehrtheit, wenn IT-Ausfälle keine Personenschäden nach sich ziehen können. In Branchen wie dem Gesundheitswesen oder der Industrie, wo IT-Störungen sehr wohl Menschen gefährden können, ist dieses Szenario jedoch relevant. Dies unterstreicht, dass der IT-Grundschutz prinzipiell in der Lage ist, physische Sicherheitsbelange (Gesundheit, Leben) mit abzudecken, sofern sie durch IT-Ereignisse beeinflussbar sind. In unserem erweiterten Modell werden wir diese Schadensszenarien gesamtheitlich betrachten, da wir beide Sphären (IT und physisch) einbeziehen.

Ein wichtiger Aspekt aus BSI 200-2 ist die Ableitung von Sicherheitsmaßnahmen aus dem Schutzbedarf. Nach BSI-Grundschutz gilt: Für Schutzbedarf „normal“ sind die Standard-Maßnahmen des IT-Grundschutz-Kompendiums in der Regel ausreichend und angemessen. Bei Schutzbedarf „hoch“ liefert der Grundschutz zwar eine gute Basisabsicherung, reicht aber unter Umständen nicht vollständig aus; hier sollten zusätzliche Maßnahmen auf Basis einer Risikoanalyse bestimmt werden. Und bei „sehr hoch“ wird davon ausgegangen, dass die Grundschutz-Maßnahmen alleine generell nicht ausreichen; es müssen zwingend individuell ergänzende Schutzmaßnahmen identifiziert und implementiert werden. Diese Vorgaben lassen sich direkt auf unser Klassifikationsschema übertragen: Ein mittleres Sicherheitsniveau (entspricht normal) impliziert, dass anerkannte „Baseline“-Sicherheitsstandards eingehalten werden. Ein hohes Niveau erfordert über die Baseline hinausgehende Kontrollen, die mittels tiefergehender Risikoanalyse ausgewählt werden. Und sehr hohes Niveau bedeutet maximale Anstrengungen – oft hochspezifische, teuerste oder organisatorisch aufwendige Maßnahmen –, um auch restrisikoarme Szenarien abzusichern. BSI spricht in dem Zusammenhang vom Übergang zur Kern- oder ergänzenden Absicherung jenseits des Grundschutzes.

Schließlich sei auf das Konzept der Sicherheitszonen hingewiesen, das BSI empfiehlt, sobald unterschiedliche Schutzbedarfe im selben Umfeld vorliegen. Sicherheitszonen trennen Bereiche mit höherem Schutzbedarf von allgemeineren Bereichen, entweder räumlich (Zutrittskontrolle), technisch (Netzwerksegmentation) oder organisatorisch (z. B. getrennte Teams). Dieses Zonenkonzept hat direkte Entsprechung in physischen Sicherheitsstandards (z. B. Perimeter-, Mittel- und Hochsicherheitsbereiche). Im Datenzentrumskontext existiert hierzu eine anschauliche Norm, DIN EN 50600, die wir als Nächstes betrachten.

Die Normenreihe DIN EN 50600 (Informationstechnik – Rechenzentren – Verfügbarkeit und Sicherheit) liefert ein integrales Konzept zur Planung und Betrieb von Rechenzentren. Für unser Thema besonders relevant ist, dass EN 50600 ein mehrstufiges Modell physischer Schutzklassen einführt, das als Referenz für allgemeine Gebäude- und Bereichssicherheit dienen kann. Konkret definiert die Norm vier Schutzklassen (Protection Classes 1–4) für Bereiche eines Rechenzentrums. Diese Schutzklassen sind hierarchisch „zwiebelschalenförmig“ angeordnet:

Abbildung: Zonenmodell nach DIN EN 50600. Räume der Schutzklasse 4 liegen im Innersten und sind nur durch die Zonen der Klassen 1–3 hindurch erreichbar, was einen gestaffelten physischen Schutz bewirkt.

• Schutzklasse 1: Äußerster Bereich – z. B. das Gelände oder Gebäudeumfeld, welches öffentlich oder mit minimalen Kontrollen zugänglich ist. Hier besteht das niedrigste Sicherheitsniveau; dennoch sollen Grundsicherungen (etwa Außenbeleuchtung, Perimeterzäune) vorhanden sein.

• Schutzklasse 2: Zugangsbereiche und weniger kritische Räumlichkeiten – hierzu zählen z. B. der Empfang/Eingang, Büroräume im Rechenzentrum, Lagerräume oder Test- und Vorbereitungsräume. Diese Zonen sind typischerweise bereits durch Zugangskontrollen vom öffentlichen Bereich getrennt. Das Sicherheitsniveau ist mittel; unbefugter Zutritt sollte erschwert und Vorfälle wie Diebstahl oder Sabotage schnell erkannt werden.

• Schutzklasse 3: Kritische Infrastruktur-Bereiche – z. B. die eigentlichen Serverräume, Technik- und Überwachungsräume des RZ. Hier gelten hohe Sicherheitsanforderungen: Zugriff nur für autorisiertes Personal, umfassende Überwachung (Video, Alarm), verstärkte bauliche Barrieren. Schutzklasse 3 Räume befinden sich innerhalb der vorherigen Zonen, sodass ein potenzieller Angreifer mehrere Hürden überwinden muss.

• Schutzklasse 4: Höchstschutz-Bereiche innerhalb des RZ – etwa abgetrennte Segmente in Serverräumen, die besonders sensible Daten oder Systeme beherbergen. Diese Bereiche verfügen über das höchste Sicherheitsniveau: zusätzliche physische Barrieren (z. B. Sicherheitszellen oder Tresorräume), strikteste Zugangskontrolle (vielleicht Mehr-Faktor-Authentifizierung, Wachpersonal) und dedizierte Brand- und Einbruchmeldeanlagen. Schutzklasse 4 Räume sind nur durch die Klassen 1–3 erreichbar, was dem Angreifer kumulative Widerstände entgegensetzt.

Dieses Modell zeigt, wie man räumliche Sicherheitsniveaus staffeln kann. Es bestätigt unser vierstufiges Schema (niedrig bis sehr hoch) im physisch-geographischen Kontext. Übertragen auf allgemeines Facility Management heißt das: Unternehmensgelände und öffentlich zugängliche Zonen wären Sicherheitsniveau niedrig (Schutzklasse 1); Besucherzonen, allgemeine Büros etc. entsprächen Niveau mittel (2); interne hochsensible Bereiche wie Serverräume, Labore mit vertraulichen Projekten oder Archive wären hoch (3); und absolute Kernbereiche (Vorstandstresor, Schaltzentralen, Rechenzentrums-Cluster mit kritischen Daten) wären sehr hoch (4).

Normativ lässt sich DIN EN 50600 so interpretieren, dass pro Schutzklasse bestimmte bauliche und organisatorische Anforderungen erfüllt sein müssen – z. B. Widerstandsfähigkeit der Wände/Türen gegen Einbruch für Klasse 3/4, Alarmierung bei Zutrittsversuch, Brandschutz entsprechend Risiko. Diese Anforderungen können wir als Benchmarks für unser Modell heranziehen: Ein Bereich, der als „hohes Sicherheitsniveau“ eingestuft wird, sollte mindestens die in EN 50600 Klasse 3 geforderten Maßnahmen aufweisen (sofern übertragbar), während „sehr hoch“ sich an Klasse 4 orientiert. Umgekehrt impliziert „niedrig“ (Klasse 1), dass schon geringfügige Kontrollen ausreichen mögen. Wichtig ist: EN 50600 verknüpft die Schutzklassen mit dem Schutzbedarf der Räume. Die Norm empfiehlt, zu analysieren, welche Werte und Funktionen in einem Raum liegen, um ihm dann die passende Klasse zuzuordnen. Dies entspricht genau dem Prinzip der Schutzbedarfsfeststellung, das wir verallgemeinern wollen.

Neben EN 50600 gibt es weitere ISO/IEC-Normenreihen, etwa ISO 22320ff (Sicherheit und Resilienz – Krisenmanagement, Notfallvorsorge), die den physischen Schutz thematisieren, und ISO related wie ISO 22301 (Business Continuity Management). ISO 22301 fordert beispielsweise die Identifikation kritischer Geschäftsprozesse und maximal tolerabler Ausfallzeiten. Prozesse, die nur sehr kurze Ausfälle verkraften (etwa <2 Stunden in einem Krankenhaus für lebenswichtige Systeme), hätten implizit sehr hohes Schutzbedürfnis und erfordern entsprechend hohe Sicherheitsvorkehrungen (Redundanzen, Desaster-Vorsorge). Auch diese Logik ist konsistent mit unserem Niveau-Modell.

Die internationale Norm ISO/IEC 27001 (und der Leitfaden ISO/IEC 27002) definieren zwar keine festen Sicherheitsstufen, verlangen jedoch in Abschnitt 6.1 eine systematische Risikobeurteilung im Informationssicherheits-Managementsystem (ISMS). Organisationen müssen die Risiken bzgl. Vertraulichkeit, Integrität und Verfügbarkeit identifizieren und bewerten, u. a. mittels Klassifizierung von Informationen und anderen Assets. Üblich ist es, Schutzklassen für Informationen einzuführen, etwa „öffentlich“, „intern“, „vertraulich“, „geheim“. Dies entspricht qualitativ einer Abstufung des Sicherheitsniveaus für Informationen. So würde man z. B. ein Dokument als „geheim“ klassifizieren, wenn sein Verlust gravierende Auswirkungen hätte – was der Kategorie hoch oder sehr hoch gleichkommt. Umgekehrt sind „öffentliche“ Informationen praktisch risikofrei und damit niedrig.

Für das Risikomanagement gibt ISO 27001 Annex A keinen eigenen Maßstab vor, doch in der Praxis werden oft Risikomatrizen genutzt: auf der einen Achse Schadensausmaß (Impact) in Stufen wie gering/mittel/hoch, auf der anderen die Eintrittswahrscheinlichkeit (Likelihood) z. B. selten/mäßig/häufig. ISO 27005 (der spezialisierte Standard für Informationssicherheits-Risikomanagement) unterstützt qualitative Bewertungen mit z. B. 3–5 Stufen. Viele Unternehmen definieren z. B. Risiko-Level niedrig, mittel, hoch und kritisch, um über Akzeptanz oder Behandlung zu entscheiden. Unser Modell kann sich hier anlehnen, indem es z. B. festlegt, dass kritische Risiken in jedem Fall dem höchsten Sicherheitsniveau zugeordnet werden und behandlungsbedürftig sind, während niedrige Risiken vielleicht toleriert werden können.

Die Norm ISO 31000:2018 (allgemeines Risikomanagement) betont die Festlegung von Risikokriterien und -kategorien. Sie empfiehlt ebenfalls, qualitative Skalen zu definieren, die zur Organisation passen. So können Wahrscheinlichkeiten etwa als selten, gelegentlich, häufig beschrieben werden und Auswirkungen als gering, moderat, erheblich, katastrophal. Durch Kombination entstehen Risikoebenen, die oft als low, medium, high etc. bezeichnet werden. ISO 31000 selbst schreibt nicht vor, wie viele Stufen zu wählen sind, doch sie nennt Beispiele einer dreistufigen (low/medium/high) oder auch fünfstufigen Skala (very low bis very high). Wichtig ist, die Kriterien klar anzugeben – etwa finanzieller Schwellenwert X für „hohe“ Auswirkung, oder gesetzliche Strafandrohung als Kriterium für „hoch“. Die in ISO 31000 aufgeführten Beispielkriterien decken sich mit BSI: finanzielle Verlusthöhe, Reputationsschaden, regulatorische Compliance, Gesundheit und Sicherheit etc. werden als Maßstäbe genannt. Diese Internationalisierung bestätigt, dass unser Schema sowohl qualitativ als auch inhaltlich auf breiter Methodik fußt. Wir werden daher bei der Definition der einzelnen Sicherheitsniveaus an ISO-Leitlinien angelehnte Formulierungen nutzen (z. B. „erheblicher finanzieller Verlust“ für hoch, „existenzieller Schaden“ für sehr hoch).

Weiterhin ist ISO 22301 (Business Continuity) von Belang: Dort wird gefordert, dass ein Unternehmen die Kritikalität seiner Ressourcen bestimmt – implizit eine Einstufung in normal, kritisch, sehr kritisch, um darauf basierend Notfallvorsorge zu planen. Beispielsweise definieren viele Organisationen Tier I bis Tier IV Prozesse (analog zu Sicherheitsniveaus), wobei Tier IV äußerst kritische Prozesse mit nahezu keiner Downtime-Toleranz bezeichnet. Diese Konzepte fließen insoweit in unser Modell ein, als sehr hohe Sicherheitsstufe meist auch hoher Kritikalität (wie Tier IV) entspricht und somit umfassende Resilienz-Maßnahmen nötig macht (Notstrom, redundante IT, Ausweichstandorte etc.).

Es sei erwähnt, dass es Überschneidungen zwischen physischen und digitalen Standards gibt. Ein Beispiel: VdS 3473 ist ein Standard für Cyber-Security in KMUs (Informationssicherheitsmanagement), der ebenso Schutzbedarfsfeststellung und gestufte Maßnahmen empfiehlt – orientiert am BSI-Grundschutz, jedoch vereinfacht. ISO/SAE 21434 (für Kfz-Sicherheit) und IEC 62443 (für industrielle Systeme) ebenfalls basieren auf dem Prinzip, Risiken zu bewerten und nach Schwere zu behandeln, auch wenn sie keine eigenen Skalen vorgeben. Die Vielfalt dieser Normen unterstreicht, dass eine universelle Klassifikation anschlussfähig sein muss, d. h. sich in verschiedenste Kontexte übertragen lässt. Durch die Fokussierung auf grundlegende Kategorien (niedrig/mittel/hoch/sehr hoch) schaffen wir eine Art Meta-Schema, das mit den genannten Standards kompatibel ist.

Auf Basis der analysierten Vorgaben und bewährten Methoden wird nun ein systematisches Klassifikationsmodell für Sicherheitsniveaus entworfen. Dieses Modell soll gleichermaßen auf physische wie informationstechnische Sicherheitsobjekte anwendbar sein – von Gebäudebereichen über technische Anlagen bis hin zu IT-Systemen und Daten. Das Herzstück bildet eine Risiko-Matrix, in der Schadensausmaß und Eintrittswahrscheinlichkeit kombiniert werden, um eines der vier Sicherheitsniveaus zu bestimmen. Dabei werden einheitliche Kriterien für die Einstufung definiert, welche sowohl typische IT-Risiken (z. B. Datenschutzverletzung, Systemausfall) als auch physische Risiken (z. B. Brand, Einbruch, Personenschaden) abdecken. Im Folgenden werden zunächst die Klassifikationskriterien und dann die vier Sicherheitsniveaus im Detail dargestellt. Abschließend wird gezeigt, wie das Modell praktisch angewendet und überprüft werden kann.

Analog zu gängigen Risikomanagement-Ansätzen definieren wir zwei Hauptkriterien:

• Schadensausmaß (Impact): Gibt an, wie schwerwiegend die Konsequenzen eines Sicherheitsvorfalls wären. Dies umfasst monetäre Schäden, Auswirkungen auf Menschen, rechtliche Folgen, Reputationsverluste und Betriebsunterbrechungen. Wir unterscheiden vier Ausmaßstufen: gering, moderat, erheblich, katastrophal.

• Eintrittswahrscheinlichkeit (Likelihood): Gibt an, wie wahrscheinlich der Eintritt eines entsprechenden Vorfalls ist, unter Berücksichtigung vorhandener Sicherheitsvorkehrungen. Wir nutzen hier ebenfalls vier Stufen: sehr gering, gering, wahrscheinlich, hoch (bzw. in Häufigkeitstermini: nahezu ausgeschlossen, selten, gelegentlich, häufig).

Um diese qualitativ zu untermauern, werden klare Definitionen und Schwellenwerte festgelegt, die aus den vorherigen Kapiteln hergeleitet sind. Tabelle 1 zeigt beispielhaft die Definition der Schadensausmaß-Klassen mit Anhaltspunkten aus verschiedenen Szenarien:

Diese Werte müssen an die konkrete Organisation angepasst werden (z. B. absolute Beträge relativ zur Unternehmensgröße). So kann für einen Konzern ein Schaden von 50 000 € als „gering“ gelten, während er für ein Kleinstunternehmen „erheblich“ wäre. Entscheidend ist das Verhältnis zum Kontext. Die obigen Beispiele orientieren sich u. a. an BSI-Empfehlungen (z. B. Ausfallzeit < 24 h noch moderat, > 24 h erheblich) sowie an DSGVO-Kriterien (hohes Risiko bei drohenden schweren Folgen für viele Betroffene).

Analog werden die Wahrscheinlichkeitsstufen definiert, etwa: sehr gering (Ereignis praktisch unbekannt oder nur alle 50 Jahre zu erwarten), gering (ein Vorfall alle 10–20 Jahre, unwahrscheinlich aber denkbar), wahrscheinlich (könnte alle 1–5 Jahre auftreten), hoch (tritt erfahrungsgemäß mehrfach pro Jahr oder sehr bald auf). Hier helfen Statistiken (z. B. Einbruchhäufigkeit in Region, historische Ausfallraten von IT-Systemen) und subjektive Experteneinschätzungen.

Mit diesem Raster kann nun die Risikoebene bestimmt werden: Wir multiplizieren nicht mathematisch, sondern nutzen eine Qualitätsmatrix.

• Niedriges Risiko: Schadensausmaß gering/moderat und Eintrittswahrscheinlichkeit sehr gering/gering.

• Mittleres Risiko: Kombinationen mittlerer Art, z. B. moderates Ausmaß und wahrscheinlich, oder erhebliches Ausmaß aber sehr geringe Wahrscheinlichkeit (mittel steht hier für „noch beherrschbar, erhöhte Aufmerksamkeit erforderlich“).

• Hohes Risiko: Entweder erhebliche Schäden bei nicht vernachlässigbarer Wahrscheinlichkeit, oder moderate Schäden, die aber sehr wahrscheinlich häufig auftreten (z. B. viele kleine Vorfälle kumulativ).

• Sehr hohes Risiko: Katastrophales Ausmaß bei mindestens geringer Wahrscheinlichkeit, oder bereits bei hoher Wahrscheinlichkeit erheblicher Schaden.

Diese logischen Regeln werden im Modell formalisiert. In der Praxis nutzt man eine farbcodierte Matrix (grün für niedrig, gelb für mittel, rot für hoch, dunkelrot für sehr hoch), um auf einen Blick die Prioritäten zu erkennen. Wichtig ist: Wir definieren bewusst eine Obergrenze „sehr hoch“, die geringe Toleranz besitzt – Risiken dieser Kategorie erfordern meist sofortige Maßnahmen oder Akzeptanz auf allerhöchster Ebene, da sie existenzgefährdend sind.

Im Folgenden werden die vier Sicherheitsniveaus unseres Schemas ausführlich definiert. Dabei stehen die Charakteristika jedes Niveaus im Vordergrund: typische Schadensszenarien, Beispiele aus IT und physischen Bereichen, sowie Anhaltspunkte aus Normen. Außerdem wird jeweils skizziert, welche Art von Schutzmaßnahmen im Allgemeinen erwartet wird (ohne in konkrete technische Details zu gehen, aber z. B. „Basis-Maßnahmen genügen“ vs. „innovative Spezialmaßnahmen erforderlich“).

Ein Objekt oder Prozess auf Sicherheitsniveau niedrig weist ein geringes Risikopotenzial auf. Entweder wären im Falle eines Vorfalls die Auswirkungen sehr klein und tolerierbar, oder das Ereignis ist derart unwahrscheinlich, dass kein signifikanter Handlungsbedarf besteht. Dieses Niveau entspricht in etwa dem, was die DSGVO „geringes Risiko“ nennt und was BSI optional als „unkritisch“ vorschlägt.

• Schadensausmaß: Begrenzt auf marginale Schäden. Kein wesentliches Unrecht, keine empfindlichen Daten. Beispielsweise ein Informationssystem, das nur öffentlich verfügbare Informationen verarbeitet; oder ein Lagerraum mit geringwertigem Inventar. Ein Sicherheitsvorfall (wie Datenverlust oder Einbruch) würde kaum auffallen oder leicht zu verkraften sein.

• Eintrittswahrscheinlichkeit: Oft ebenfalls sehr niedrig – z. B. weil das Objekt schon intrinsisch wenig attraktiv für Angriffe ist. Aber selbst wenn ein Vorfall einträte, bliebe der Schaden klein.

Eine Website mit reinem Marketing-Content (kein Login, keine sensiblen Daten) hätte ein niedriges Niveau: ein Defacement wäre peinlich, aber nicht kritisch. Physisch könnte ein frei zugänglicher Pausenraum in einem Bürogebäude darunter fallen – ein Diebstahl dort wäre ärgerlich, aber nicht sicherheitsrelevant. Ebenso Routine-E-Mails ohne vertraulichen Inhalt, oder Arbeitsmaterialien wie Firmenbroschüren.

Gesetzlich gibt es für solch geringes Risiko oft Ausnahmen. Die DSGVO z. B. verlangt kein Verarbeitungsverzeichnis für Verfahren mit geringem Risiko unter bestimmten Bedingungen. Im Arbeitsschutz müssen Standardmaßnahmen zwar sein, aber keine erhöhten Anforderungen (normale Brandgefährdung). BSI-Grundschutz würde hier sagen: „Sicherheitsanforderungen nach IT-Grundschutz sind im Allgemeinen ausreichend“ – mehr ist nicht nötig. Das Schutzniveau ist also durch Grundschutz (Baseline) abgedeckt.

Für niedriges Niveau genügen einfache, etablierte Sicherheitsmaßnahmen. Beispielsweise: Einfache Passwortrichtlinien, Virenschutz und regelmäßige Backups in IT; abgeschlossene Türen, Feuerlöschergrundausstattung und Mitarbeiterinstruktionen in physischen Bereichen. Dokumentations- und Auditaufwand bleiben minimal. Das Niveau „niedrig“ bedeutet nicht „kein Schutz“, sondern angemessener Basisschutz (im Sinne von „Schutz vorhanden, aber nicht über das Normale hinaus“). Es entspricht sozusagen dem allgemeinen Stand der Technik für Alltagsrisiken. Sollten Ressourcen knapp sein, könnte man niedrige Risiken unter kontrollierten Umständen akzeptieren, da ihre Behandlung Priorität hinter höheren Risiken hat.

Dies ist das Standard-Sicherheitsniveau für viele gewöhnliche Geschäftsprozesse und Bereiche. „Mittel“ (oder normal) bedeutet, dass zwar gewisse Risiken vorhanden sind – ein Vorfall würde merkliche Probleme verursachen – aber das Ausmaß bleibt insgesamt beherrschbar und ohne existenzielle Folgen. BSI’s Definition von „normal“ deckt sich damit: Schäden begrenzt und überschaubar. Im DSGVO-Sinne wäre dies schlicht das normale Alltagsrisiko einer rechtmäßigen Verarbeitung.

• Schadensausmaß: Könnte moderat sein (vgl. Tabelle 1) – z. B. finanzielle Verluste, die ins Gewicht fallen, aber verkraftbar sind; kurzfristige Störungen von Abläufen; begrenzte rechtliche Konsequenzen. Personen würden allenfalls in geringem Maße beeinträchtigt (keine bleibenden Schäden).

• Wahrscheinlichkeit: Typischerweise ist zumindest eines von beiden (Schadenshöhe oder Eintreten) nicht hoch. Es mag durchaus wahrscheinlich sein, dass kleinere Vorfälle passieren (z. B. häufige Viren-Mails, ab und zu ein missglückter Einbruchversuch), doch diese verursachen nur geringen Schaden. Oder umgekehrt: ein potenziell etwas größerer Schaden ist so selten, dass man mit Basismaßnahmen gut dagegen gewappnet ist.

Die meisten Büroinformationssysteme (E-Mail, Office-Dokumente) liegen hier: Ein Verlust oder Vorfall ist unbequem, kann aber durch Standard-Backups, Ersatzhardware etc. gelöst werden. Kundenverwaltung mit üblichen Personaldaten – bei einem Datenleck gäbe es Unannehmlichkeiten, jedoch keine katastrophalen Folgen. In der physischen Welt: normale Büros, Archive mit zweckmäßigem Inhalt, Werkstätten ohne Hochgefährdung. Ein Einbruch ins Verwaltungsbüro kann Sachschaden und Datendiebstahl bedeuten, aber in der Regel kein Desaster (versicherbar, wiederherstellbar).

Dies ist der Bereich, wo die Grundschutzkataloge und Standardnormen voll greifen. BSI-Grundschutz zielt genau auf „normalen Schutzbedarf“ ab und stellt hierfür eine umfassende Baseline bereit. ISO 27001-konforme ISMS werden primär eingerichtet, um dieses Normalmaß an Sicherheit zu gewährleisten. Rechtlich gesehen müssen alle allgemeinen Pflichten erfüllt werden (DSGVO Art. 32 alle Standardmaßnahmen, ArbSchG alle Grundvoraussetzungen). Aber es sind noch keine Sonderauflagen wie bei KRITIS oder Hochrisikoverarbeitung im Spiel.

Auf mittlerem Niveau gelten branchenübliche Sicherheitsstandards als ausreichend. Dazu zählen z. B.: Netzwerksicherheit durch Firewalls und Zugangsbeschränkungen, regelmäßige Updates/Patches, Mitarbeiter-Schulungen, Rollenkonzepte (Need-to-know) – auf IT-Seite; sowie Schließanlagen mit Schlüsselmanagement, Brandmeldeanlagen nach Bauvorschrift, Zutrittskontrollen für Mitarbeiter, usw. – auf physischer Seite. Wichtig ist die Angemessenheit: Laut BSI sollen die Grundschutz-Maßnahmen „ausreichend und angemessen“ sein. Es wird also kein außergewöhnlicher Aufwand betrieben, sondern ein solides Schutzniveau etabliert, das typische Angriffe vereiteln oder abmildern kann. In der Praxis entspricht dies oft dem, was man als „Best Practice“ kennt. Zum Beispiel ist ein Unternehmensnetz mit segmentiertem Gast-WLAN, passwortgeschütztem Mitarbeiter-WLAN, VPN-Zugang von außen und Virenscannern heute normaler Standard – erfüllt aber auch das mittlere Schutzniveau. Physisch wäre es normal, dass wertvolle Geräte nicht frei zugänglich sind, sondern z. B. in abschließbaren Räumen oder Schränken gehalten werden. Allerdings würde man hier noch keinen 24/7-Wachdienst beschäftigen – das wäre eher für hoch. Insgesamt ist „mittel“ der Bezugswert, an dem sich entscheidet, ob etwas darunter (niedrig) oder darüber (hoch) fällt.

Ein hohes Sicherheitsniveau kennzeichnet Situationen oder Assets mit beträchtlichem Schutzbedarf. Ein Sicherheitsvorfall hätte hier sehr schwerwiegende Auswirkungen, wenn auch noch nicht zwingend katastrophal. Oft handelt es sich um geschäftskritische Systeme oder Informationen, deren Kompromittierung große finanzielle, rechtliche oder sicherheitsrelevante Folgen hätte. BSI spricht von Schäden, die „beträchtlich“ sein können; ein gängiger Begriff ist auch erhöhter Schutzbedarf. Nach DSGVO-Kategorien würde vieles, was in diese Klasse fällt, bereits in Richtung „hohes Risiko“ tendieren, aber noch nicht das seltene Extreme darstellen, das dort beschrieben ist.

• Schadensausmaß: Erheblich (siehe Tabelle 1). Dazu gehören etwa: viele betroffene Personen (z. B. Datenleck mit tausenden Kunden, was Datenschutzverstöße und Reputation betrifft), sehr hohe Geldsummen oder Vertragsstrafen, die aber das Unternehmen noch nicht in die Insolvenz treiben würden; erhebliche Störungen kritischer Prozesse, die aber mit Notfallplänen innerhalb überschaubarer Zeit kompensiert werden können. In physischer Hinsicht könnten auch Gefährdungen von Menschenleben einzeln auftreten (z. B. ein Brand in einem Hochsicherheitslabor könnte für Anwesende lebensgefährlich sein), allerdings nicht im Ausmaß einer Katastrophe für viele.

• Wahrscheinlichkeit: Hier unterscheiden wir zwei Unterfälle: Entweder das Ereignis ist denkbar und nicht extrem selten, dann reicht schon das erhebliche Ausmaß, um in „hoch“ zu sein (z. B. ein Angriff auf die Firmendatenbank mag nicht täglich passieren, aber es ist durchaus möglich – die Kombination ergibt hohes Risiko). Oder das Ereignis ist recht wahrscheinlich, dann kann auch schon ein moderater Schaden insgesamt als hohes Risiko gelten (z. B. regelmäßige Ausfälle einer Produktionsanlage, die Summation verursacht große Verluste, obwohl jeder einzelne Ausfall moderat wäre). In den meisten Fällen reden wir aber von Szenarien, die man unbedingt verhindern will, die aber prinzipiell vorstellbar sind – etwa gezielte Cyberangriffe durch Profis, größere Brände, Sabotageakte, Insiderdelikte in kritischen Bereichen.

Viele Anwendungsfälle in KRITIS oder bei sensiblen Daten: Eine zentrale Datenbank mit personenbezogenen Kunden- oder Patientendaten (Kreditkarten, medizinische Historie) ist hoch einzustufen – ihr Verlust oder Leak hätte drastische Folgen (Rufschädigung, Kosten, evtl. Gefahr für Betroffene durch Missbrauch). Produktionsanlagen, die den Output eines ganzen Werks steuern, hätten ein hohes Niveau, weil ein Ausfall große Umsatzeinbußen oder Lieferausfälle bedeutet. Physisch: Serverräume mit wichtigen IT-Systemen sind klassisch hoch, wie EN 50600 Schutzklasse 3 vorgibt. Hochwertige Lager mit begehrten Gütern (Pharmazeutika, Elektronik) – ein Einbruch dort wäre ein großer Verlust. Labore mit gefährlichen Stoffen – ein Unfall oder Einbruch könnte ernste Gesundheitsgefahren bringen. Unternehmensbereiche, in denen streng vertrauliche Projekte entwickelt werden (Forschung & Entwicklung von Innovationen) sind ebenfalls hoch einzustufen, da Wirtschaftsspionage oder Leaks dort massiv schaden könnten.

Hohe Schutzbedarfe tauchen an vielen Stellen in Normen auf. BSI verlangt hier bereits erweiterte Maßnahmen: die Standard-Absicherung allein ist unter Umständen nicht ausreichend, weitere Maßnahmen sollten mittels Risikoanalyse ermittelt werden. Ein System mit hohem Schutzbedarf gehört bei BSI typischerweise zu den Kern-Assets, die in die detaillierte Risikoanalyse einbezogen werden müssen. In der DSGVO gibt es – jenseits des hohen Risikos (das eher sehr hoch entspricht) – kein separates Label, aber beispielsweise besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) erzeugen de facto hohen Schutzbedarf. Die NIS2-Richtlinie erwartet von den erfassten Unternehmen ein „hohes gemeinsames Sicherheitsniveau“ – dies bezieht sich im Prinzip auf alle relevanten Systeme, was wir hier als hohes Niveau interpretieren können. Auch VdS-Klassifikationen: Ein Einbruchmeldeanlage VdS-Klasse C oder ein Safe Klasse 5/6 zielen eindeutig auf Hochsicherheitsbereiche ab. Insofern ist unser „hoch“ das Niveau, wo Spezialnormen und strengere Regelwerke zur Anwendung kommen, aber noch unterhalb extremer Sonderfälle.

Für hohe Risiken genügt der Standard-Basisschutz nicht mehr vollständig. Hier sind zusätzliche technische und organisatorische Maßnahmen gefragt, oft auch redundante oder diversitäre Schutzmaßnahmen. Beispiele: In IT: Zwei-Faktor-Authentisierung für kritische Zugänge, Einsatz von Intrusion-Detection-Systemen, regelmäßige Penetrationstests, Verschlüsselung sensibler Datenbanken, striktes Patch- und Change-Management, ggf. isolierte Netzsegmente (z. B. Operationsnetz vom Büronetz getrennt). Für hohe Verfügbarkeitsanforderungen: gespiegelte Systeme, Notstromaggregate, Desaster-Recovery-Pläne. In der physischen Sicherheit: Zugang nur für eingeschränkten autorisierten Personenkreis, Schutz durch Alarmanlagen (mindestens Klasse B nach VdS, oder „B+“ gemäß K‑Einbruch mit Mechanik und Elektronik), häufig Kameraüberwachung und Wachdienst-Kontrollen. Baulich: Widerstandsklassen RC3/RC4 für Türen/Fenster, ggf. Sicherheitsglas, Brandschutzanlagen wie automatische Löschsysteme (Gaslöschanlage im Serverraum), physische Trennung in Sicherheitszonen mit Vereinzelungsschleusen. Organisatorisch: strenge Hintergrundüberprüfungen für Personal, Vier-Augen-Prinzip bei hochsensitiven Aktionen, regelmäßige Audits und Compliance-Kontrollen. Kurzum, hohes Niveau erfordert den Einsatz erhöhter Sicherheitsmaßnahmen in mehreren Lagen („Defense in Depth“). Diese Maßnahmen sind in der Regel mit spürbarem Mehraufwand, höheren Kosten und manchmal Komforteinbußen verbunden, was aber angesichts des Risikos gerechtfertigt ist. Ziel ist es, ein hohes Sicherheitsniveau zu erreichen, bei dem selbst ein gezielter Angriff oder ein ernstes Ereignis mit hoher Wahrscheinlichkeit erkannt, verzögert, begrenzt und beherrscht werden kann – und damit das Risiko auf ein akzeptables Maß reduziert wird.

Die oberste Stufe, sehr hohes Sicherheitsniveau, ist reserviert für jene Fälle, in denen ein Sicherheitsvorfall katastrophale, nicht hinnehmbare Schäden verursachen würde. Dies entspricht dem, was im BSI-Glossar als „existenzbedrohend/katastrophal“ bezeichnet wird. In manchen Risikomodellen spricht man auch von „extremen“ Risiken oder „kritischen“ Risiken, die oberhalb „hoch“ liegen. Solche Situationen erfordern maximalen Schutz und oft spezielle Lösungen, die über gängige Standards hinausgehen.

• Schadensausmaß: Katastrophal. Dazu zählen Szenarien, die die Existenz des Unternehmens gefährden oder das Leben vieler Menschen in Gefahr bringen. Beispiele: Vollständiger Verlust aller geschäftskritischen Daten ohne Möglichkeit der Wiederherstellung (was ein Unternehmen lahmlegt), eine massive Industriekatastrophe (Explosion, Großbrand) auf dem Gelände, die viele Opfer fordert, oder ein gezielter großskaliger Cyberangriff, der Infrastruktur zerstört. Auch Szenarien nationaler Sicherheit könnten hier fallen (z. B. Sabotage einer kritischen Infrastruktur, die landesweit Versorgungsengpässe auslöst).

• Wahrscheinlichkeit: Normalerweise geht man davon aus, dass solche gravierenden Ereignisse sehr selten sind – aber selbst geringe Wahrscheinlichkeiten reichen aus, um höchste Alarmstufe auszulösen, wenn der Schaden so enorm wäre. In einigen Fällen können aber auch Ereignisse mit höherer Wahrscheinlichkeit sehr hoch eingestuft sein, wenn schon moderate Änderungen im Eintritt (z. B. einmal jährlich ein Großvorfall) nicht tragbar wären. Generell gilt: Ist entweder die Konsequenz apokalyptisch oder die Gefahr konkret und groß, kommt man in diese Kategorie.

Ein Rechenzentrum, das kritische Dienste für eine Millionenbevölkerung bereitstellt (etwa Notrufsysteme, Stromnetzsteuerung), hat sehr hohes Schutzbedürfnis – ein erfolgreicher Angriff oder Ausfall könnte Chaos verursachen. Geheime Forschungsprojekte, deren Bekanntwerden staatliche Sicherheit betrifft, wären hier einzuordnen. Produktionsanlagen, bei deren Ausfall Menschen akut zu Schaden kommen könnten (chemische Anlagen mit Giftstoff-Freisetzung, Kernkraftwerk-Steuerungen) – diese benötigen „sehr hoch“. Aus IT-Sicht: Zertifizierungsstellen für digitale Zertifikate (CA), Root-DNS-Server, oder Bankensysteme, deren Kompromittierung das Finanzsystem erschüttern könnte, sind sehr hoch. Physisch: Ein Bereich, wo bspw. Sprengstoff oder Pathogene (Biostoffe Klasse 4) gelagert werden – jedweder Verlust oder Zwischenfall wäre katastrophal; dort braucht es maximale Sicherheit. Auch die CEO-Kommunikation in einem globalen Konzern während Fusionsverhandlungen – ein Leak könnte Übernahmen scheitern lassen, Kurse crashen etc., also sehr hoher Schutzbedarf an Vertraulichkeit. Kurz gesagt: worst case-Szenarien gehören hierher.

Zwar sprechen nur wenige Normen direkt von „sehr hoch“, doch implizit gibt es sie: So erwähnt BSI explizit, dass bei sehr hohem Schutzbedarf Grundschutz allein nicht genügt und individuelle Maßnahmen gefunden werden müssen. DSGVO verlangt bei hohem Risiko (was nahe an sehr hoch liegt) eine Datenschutz-Folgenabschätzung und eventuell Konsultation der Behörde (Art. 36) – es ist also klare Chefsache. Für KRITIS-Betreiber ist vielleicht jeder Ausfall so kritisch, dass er in sehr hoch eingestuft wird – dort sind umfangreiche Redundanzen und Meldepflichten Pflicht. Branchenspezifische Standards: z. B. in der Luftfahrt/Automotive gelten strengste Vorgaben für Systeme, deren Versagen Leben kosten kann (DAL A in DO-178 für Flugzeugsysteme, ASIL D in ISO 26262 für Kfz – diese sind analog „sehr hoch“ in Bezug auf Safety Integrity). Militärische Sicherheitsstufen (VS-NfD, Geheim, Streng Geheim) würden auch bei „Streng Geheim“ einen sehr hohen Schutzbedarf markieren, mit entsprechend rigiden Vorschriften.

Sehr hohe Sicherheitsniveaus erfordern außerordentliche Sicherheitsvorkehrungen. Hier wird nichts dem Zufall überlassen. Maßnahmen sind häufig multilayered, redundant, diversitär und ständig überwacht.

• Technische Maßnahmen: Im IT-Bereich vielleicht vollständige Isolation bestimmter Systeme (Air Gap), Einsatz von hochsicheren Kryptosystemen, Hardware-Sicherheitsmodulen, physische Zerstörungsmechanismen für Datenträger im Notfall, lückenlose Protokollierung und Echtzeit-Überwachung mit automatischer Alarmierung bis hin zu Security Operations Centers (SOC) rund um die Uhr. In der physischen Technik: Bollwerke, Schleusensysteme, Panzerung (z. B. Tresorräume mit Sprengschutz), eigenständige Energie- und Umweltkontrollsysteme, regelmäßige Stresstests (Penetrationstest, Red-Teaming mit physischen PenTests).

• Organisatorische Maßnahmen: Strenge Zutrittskontrollen mit Identitätsprüfung, Wachdienste oder Polizei/Militärschutz für Objekte von höchster Kritikalität, Rotationsprinzip oder Mindestsicherheitsüberprüfungen beim Personal (z. B. Sicherheitsüberprüfung Ü3 in DE für bestimmte Behördenposten). Notfallpläne sind detailliert und werden geübt (z. B. Evakuierungsübungen, Desaster Recovery Drills quartalsweise).

• „Keine Einzelpunkte des Versagens“: Jedes einzelne Schutzmittel wird gedoppelt, sodass ein Versagen nicht gleich zum Durchbruch führt. Beispielsweise: Zwei unterschiedliche Firewalls in Serie von verschiedenen Herstellern (falls eine hackbar ist, blockt die andere), Zwei-Faktor-Authentisierung plus biometrische Kontrolle, CCTV-Überwachung plus Security-Personal-Patrouillen. In kritischen Anlagen: zwei separate Stromzuführungen aus verschiedenen Netzen, Brandmeldeanlage plus flächendeckende Sprinkler plus manuelle Feuerwachen.

• Kontinuierliche Verbesserung: Bei sehr hohen Schutzanforderungen wird oft ein besonderes Sicherheitsmanagement etabliert, das ständig nach neuen Gefahren Ausschau hält (Threat Intelligence) und das System adaptiv verbessert. Audits durch Dritte, Zertifizierungen (z. B. ISO 27001 zertifiziert, zusätzlich branchenspezifische Zertifikate), regelmäßige Vorstandslageberichte zur Sicherheit sind hier üblich.

Der Aufwand und die Kosten solcher Maßnahmen sind enorm, was jedoch im Verhältnis zum abzuwendenden Schaden steht. Akzeptanz von Restrisiko ist hier minimal – oft wird gefordert, dass Risiko „so niedrig wie vernünftigerweise erreichbar“ sein muss (ALARP-Prinzip), was praktisch nahe Null sein soll. Entsprechend ist auch das Bewusstsein in der Organisation: Jeder Mitarbeiter in diesen Bereichen trägt hohe Verantwortung; die Sicherheitskultur ist ausgeprägt. Dokumentation und Nachweisführung sind umfassend (z. B. muss lückenlos gezeigt werden können, wer wann Zugang hatte, siehe z. B. §8a BSIG Nachweispflicht). In vielen Fällen greift man auch auf externe Expertise zurück (z. B. Beratung durch BSI bei Regierungsnetzen, Cyber-Sicherheits-Experten für KRITIS).

„Sehr hoch“ repräsentiert das Niveau, bei dem maximale Sicherheitsmaßnahmen erforderlich sind, um Risiken von katastrophaler Tragweite zu kontrollieren. Entsprechend selten ist dieses Niveau in seiner reinsten Form – es sollte nur dort angewandt werden, wo es wirklich nötig ist, da es sonst unverhältnismäßig wäre. Wenn jedoch identifiziert wird, dass ein Asset/Prozess in diese Kategorie gehört, genießt seine Absicherung absolute Priorität im Unternehmen.

Die folgenden Tabellen geben eine zusammenfassende Übersicht der definierten Sicherheitsniveaus, mit ihrer Beschreibung, Beispielen und Verankerung in Normen. Dies soll als praktisches Nachschlagewerk dienen, etwa für Sicherheits- und Facility Manager, um Assets in die passende Kategorie einzuordnen und die Erwartung an Schutzmaßnahmen und Compliance abzuleiten.

Es ist erkennbar, wie sich die Anforderungen steigern, je höher das Niveau. Während „niedrig“ und „mittel“ im Bereich des allgemein Üblichen liegen, gehen „hoch“ und erst recht „sehr hoch“ deutlich darüber hinaus. Diese Klassifikation erlaubt eine universelle Sprache: So kann etwa ein Facility Manager verstehen, dass ein „Sicherheitsniveau hoch“ für einen Bereich bedeutet, dass neben baulicher Sicherheit auch IT-Seitig besondere Maßnahmen gelten müssen (z. B. Zugangssystem mit Protokollierung, Anti-Tampering-Sensoren in Servern etc.), und dass Audits oder Zertifizierungen nach höherem Standard sinnvoll sind. Umgekehrt kann ein CISO (Chief Information Security Officer) nachvollziehen, dass ein IT-System, welches als „sehr hoch“ eingestuft wird, möglicherweise auch im physischen Rechenzentrum speziell behandelt werden muss (vielleicht getrennt in eigenem Caged Area mit zusätzlicher Zugangskontrolle).