Die Schutzbedarfsfeststellung ist eine der zentralen Grundlagen der Informationssicherheit – und trotzdem gehört sie zu den am meisten unterschätzten Disziplinen. Viele Unternehmen starten in Projekte, schreiben Sicherheitskonzepte oder definieren Maßnahmen, ohne vorher genau zu wissen, welchen Schutzbedarf ihre Informationen und Systeme eigentlich haben. Das Ergebnis sind oft überdimensionierte Lösungen, die Zeit und Geld verschwenden, oder zu schwache Schutzmechanismen, die kritische Werte unzureichend absichern. Eine systematische und pragmatische Einstufung verhindert genau das. Sie sorgt dafür, dass Sicherheitsmaßnahmen zielgerichtet und angemessen sind – nicht zu wenig, aber auch nicht zu viel. Und das Beste: Mit einer klaren Methode ist die Schutzbedarfsfeststellung weder kompliziert noch bürokratisch, sondern ein handfestes Planungswerkzeug.

Die Schutzziele im Kern – plus zwei, die oft vergessen werden

Der Kern der Schutzbedarfsermittlung besteht darin, für jedes Asset – also jede Information, jedes IT-System, jede Anwendung, jede Schnittstelle und jeden Prozess – festzulegen, wie hoch die Anforderungen an Vertraulichkeit (C), Integrität (I) und Verfügbarkeit (A) sind.