Die Schutzbedarfsfeststellung ist eine der zentralen Grundlagen der Informationssicherheit – und trotzdem gehört sie zu den am meisten unterschätzten Disziplinen. Viele Unternehmen starten in Projekte, schreiben Sicherheitskonzepte oder definieren Maßnahmen, ohne vorher genau zu wissen, welchen Schutzbedarf ihre Informationen und Systeme eigentlich haben. Das Ergebnis sind oft überdimensionierte Lösungen, die Zeit und Geld verschwenden, oder zu schwache Schutzmechanismen, die kritische Werte unzureichend absichern. Eine systematische und pragmatische Einstufung des Schutzbedarfs verhindert genau das. Sie sorgt dafür, dass Sicherheitsmaßnahmen zielgerichtet und angemessen sind – nicht zu wenig, aber auch nicht zu viel. Und das Beste: Wenn man weiß, wie es geht, ist die Schutzbedarfsfeststellung gar nicht kompliziert.

Der Kern der Schutzbedarfsermittlung besteht darin, für jedes Asset – also jede Information, jedes IT-System, jeden Prozess – festzulegen, wie hoch die Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit sind. Diese drei Schutzziele bilden das Fundament. Vertraulichkeit bedeutet, dass nur autorisierte Personen Zugriff auf die Informationen haben dürfen. Integrität steht für die Unveränderbarkeit und Richtigkeit der Daten. Verfügbarkeit beschreibt, dass Informationen und Systeme dann nutzbar sind, wenn sie gebraucht werden. Die Kunst besteht darin, diese Schutzziele nicht abstrakt, sondern konkret für die jeweilige Organisation zu bewerten.