Cybervize - Cybersecurity Beratung

Schutzbedarfsfeststellung: normal, hoch, sehr hoch

BSI IT-GrundschutzCISOISMS ManagerIT-LeitungRisikoverantwortliche

Kernaussage

Die Schutzbedarfsfeststellung ist die Stelle, an der ein Sicherheitsprogramm vom Bauchgefühl zur nachvollziehbaren Steuerung wird. Sie beantwortet eine Managementfrage, keine technische: Wie schwer wiegt der Schaden, wenn Vertraulichkeit, Integrität oder Verfügbarkeit eines Werts verletzt werden?

Der IT-Grundschutz arbeitet dafür mit drei Schutzbedarfskategorien: normal, hoch und sehr hoch. Sie unterscheiden sich in der Schadensschwere. Bei normalem Schutzbedarf bleiben Schäden begrenzt und überschaubar, bei hohem Schutzbedarf werden sie beträchtlich, bei sehr hohem Schutzbedarf können sie existenziell bedrohliche oder katastrophale Ausmaße annehmen. Was diese Worte konkret bedeuten, legt jede Institution selbst fest, und diese Festlegung ist Sache der obersten Leitung, nicht des Maschinenraums.

Problem in der Praxis

In vielen Organisationen ist die Schutzbedarfsfeststellung eine Pflichtübung kurz vor der Modellierung. Listen werden befüllt, fast alles landet auf normal, einzelne Systeme bekommen hoch, weil es jemand so spürt. Das Ergebnis ist eine Tabelle, die formal existiert, aber keine Entscheidung trägt.

Drei Muster wiederholen sich. Erstens wird der Schutzbedarf an Technik festgemacht statt am Geschäftswert: Ein Server bekommt eine Einstufung, obwohl niemand benennen kann, welcher Prozess dahintersteht. Zweitens werden die drei Grundwerte zu einem Gesamtwert verschmolzen, obwohl ein System bei Verfügbarkeit unkritisch und bei Vertraulichkeit hochsensibel sein kann. Drittens wird die Einstufung nie an die Leitung zurückgespiegelt, sodass der CISO eine Schadensschwere definiert, die eigentlich nur das Geschäft beurteilen kann. Spätestens wenn ein Auditor oder ein Vorfall nach der Begründung fragt, fällt das auf.

CISO-Einordnung

Die Schutzbedarfsfeststellung ist die Brücke zwischen Strukturanalyse und allem, was danach kommt: Sie entscheidet, mit welcher Tiefe modelliert, geprüft und gegebenenfalls vertieft risikoanalysiert wird. Wer hier sauber arbeitet, spart später Aufwand, weil die Frage nach hohem oder sehr hohem Schutzbedarf direkt steuert, wo eine ergänzende Risikoanalyse nötig wird.

Aus CISO-Sicht zählen drei Gedanken. Erstens wird der Schutzbedarf je Grundwert ermittelt, nicht pauschal: Vertraulichkeit, Integrität und Verfügbarkeit sind getrennte Linsen auf denselben Wert; Aspekte wie Authentizität oder Nichtabstreitbarkeit lassen sich ihnen zuordnen. Zweitens entsteht der Schutzbedarf am Geschäftsprozess und an der Information und vererbt sich auf Anwendungen, IT-Systeme, Netze und Räume. Diese Vererbung ist das eigentliche Managementkonzept, nicht die Etikettierung einzelner Geräte. Drittens ist die Schadensschwere eine Setzung der Leitung: Der CISO moderiert, das Geschäft bewertet, die Leitung verantwortet.

Umsetzungsperspektive

Bei der Vererbung des Schutzbedarfs haben sich drei Anpassungslogiken eingebürgert, die ein CISO als Steuerungsinstrumente verstehen sollte. Die genauen Definitionen und Regeln gehören in den BSI-Standard 200-2; hier geht es um die Managementlogik dahinter.

Das Maximumprinzip ist der Ausgangspunkt: Ein abgeleitetes Objekt erbt grundsätzlich den höchsten Schutzbedarf der Werte, die es trägt. So werden kritische Werte nicht durch eine schwach eingestufte Umgebung untergesichert.

Der Kumulationseffekt korrigiert nach oben. Laufen viele für sich unkritische Werte auf einem Objekt zusammen, kann dessen Schutzbedarf höher sein als jeder Einzelwert. Ein zentraler Server mit vielen normalen Anwendungen wird durch die Bündelung in Summe hoch, weil sein Ausfall viele Prozesse gleichzeitig trifft.

Der Verteilungseffekt korrigiert nach unten. Wird ein Wert bewusst auf mehrere Objekte verteilt oder redundant ausgelegt, kann der Schutzbedarf des Einzelobjekts sinken, weil der Ausfall eines Teils nicht den vollen Gesamtschaden auslöst.

Praktisch heißt das: erst den Schutzbedarf der Prozesse und Informationen je Grundwert bestimmen, dann nach Maximumprinzip vererben und schließlich begründet anpassen. Jede Abweichung vom Maximum braucht eine dokumentierte Begründung, sonst wird aus Steuerung wieder Bauchgefühl.

Typische Fehler

  1. Alles wird auf normal gesetzt, weil eine höhere Einstufung mehr Arbeit bedeutet.
  2. Der Schutzbedarf wird pauschal vergeben, statt je Grundwert getrennt nach Vertraulichkeit, Integrität und Verfügbarkeit.
  3. Die Einstufung beginnt bei der Technik statt beim Geschäftsprozess und der Information.
  4. Abweichungen vom Maximumprinzip werden vorgenommen, aber nicht begründet und dokumentiert.
  5. Die Definition, was normal, hoch und sehr hoch konkret bedeuten, wird nie von der Leitung verabschiedet.
  6. Hoher Schutzbedarf wird festgestellt, aber die daraus folgende Risikoanalyse unterbleibt.

Risiken und Trade-offs

Eine zu vorsichtige Einstufung erzeugt Scheinsicherheit. Laufen kritische Werte als normal durch, greift nur die Standard-Logik, obwohl eine vertiefte Betrachtung nötig gewesen wäre. Eine zu großzügige Einstufung kostet das Gegenteil: Wird zu viel als hoch oder sehr hoch markiert, explodiert der Analyse- und Maßnahmenaufwand, und die wirklich kritischen Werte gehen in der Masse unter.

Der zweite Trade-off betrifft Granularität. Eine feine Einstufung pro Einzelobjekt ist präzise, aber schwer pflegbar; eine grobe Einstufung über Gruppen gleichartiger Objekte ist wartbar, kann aber Sonderfälle übersehen. Der dritte Trade-off ist organisatorisch: Schutzbedarf gehört dem Geschäft, nicht der IT. Wird die Einstufung an die IT delegiert, entsteht eine technisch plausible, aber geschäftlich unverankerte Bewertung.

Entscheidungspunkte

  • Wie definiert die Leitung die Schadensschwere für normal, hoch und sehr hoch in Begriffen, die zum Geschäft passen?
  • Auf welcher Ebene wird eingestuft: je Einzelobjekt oder je Gruppe gleichartiger Objekte?
  • Welche Vererbungsanpassungen sind zugelassen, und wer darf sie freigeben?
  • Ab welcher Einstufung löst die Organisation verbindlich eine ergänzende Risikoanalyse aus?
  • Wie wird die Schutzbedarfsfeststellung mit der Business-Impact-Analyse verzahnt, um Doppelerhebung zu vermeiden?

Praktische Empfehlungen

  1. Beginnen Sie bei Geschäftsprozessen und Informationen und vererben Sie den Schutzbedarf von dort auf Technik und Infrastruktur.
  2. Bewerten Sie Vertraulichkeit, Integrität und Verfügbarkeit immer getrennt; ein Wert kann je Grundwert unterschiedlich kritisch sein.
  3. Lassen Sie die Definition der drei Kategorien von der Leitung verabschieden und an die Geschäftsrealität binden.
  4. Dokumentieren Sie jede Abweichung vom Maximumprinzip mit Begründung, damit Kumulation und Verteilung nachvollziehbar bleiben.
  5. Verknüpfen Sie hohen und sehr hohen Schutzbedarf fest mit der Frage nach einer vertieften Risikoanalyse und nutzen Sie die gemeinsame Datenbasis mit der Business-Impact-Analyse.

Relevante Normreferenzen

  • BSI-Standard 200-2 (IT-Grundschutz-Methodik): Referenz für die Schutzbedarfsfeststellung; verbindliche Regeln zu Kategorien und Vererbung sind dem Originalstandard zu entnehmen.
  • BSI-Standard 200-3 (Risikoanalyse auf Basis von IT-Grundschutz): Referenz für die vertiefte Behandlung bei hohem und sehr hohem Schutzbedarf.
  • BSI-Standard 200-1 (Managementsysteme für Informationssicherheit): Referenz für Schutzbedarfskategorien und Grundwerte.
  • ISO/IEC 27001:2022: Referenz für den ISMS-Rahmen.

Häufige Fragen

Was unterscheidet normal, hoch und sehr hoch?+

Die Schadensschwere. Normal bedeutet begrenzte, überschaubare Schäden, hoch bedeutet beträchtliche Schäden, sehr hoch bedeutet existenziell bedrohliche oder katastrophale Schäden. Was das konkret heißt, definiert jede Institution selbst.

Wird der Schutzbedarf pro System vergeben?+

Nein. Er entsteht am Geschäftsprozess und an der Information und vererbt sich von dort auf Anwendungen, Systeme, Netze und Räume.

Was bedeuten Maximum-, Kumulations- und Verteilungseffekt?+

Das Maximumprinzip vererbt den höchsten Schutzbedarf der getragenen Werte. Der Kumulationseffekt hebt den Bedarf, wenn viele Werte gebündelt werden. Der Verteilungseffekt senkt ihn, wenn ein Wert redundant verteilt ist. Die genauen Regeln stehen im BSI-Standard 200-2.

Wann folgt aus dem Schutzbedarf eine Risikoanalyse?+

Vor allem bei hohem oder sehr hohem Schutzbedarf in mindestens einem Grundwert sowie bei Objekten, die sich nicht hinreichend modellieren lassen oder in untypischen Einsatzszenarien betrieben werden.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen BSI IT-Grundschutz prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: gs-meth-004.