Schutzbedarfskategorien im Bereich Cyber Security

Nicht jedes IT-System in einem Unternehmen verdient den gleichen Schutz. Ein öffentlich zugänglicher Webauftritt hat andere Anforderungen als das ERP-System mit Kundendaten oder die Steuerung einer Produktionsanlage. Genau hier setzen die Schutzbedarfskategorien (SBK) an, die im BSI-Standard 200-2 als Teil der IT-Grundschutz-Methodik definiert sind. Sie bilden das Fundament für eine systematische und verhältnismäßige Absicherung der Unternehmens-IT.

Die drei Schutzbedarfskategorien

Das BSI unterscheidet drei Stufen, in die jedes Informationsobjekt, IT-System oder jeder Geschäftsprozess eingeordnet wird.

• Normal bedeutet, dass die Auswirkungen eines Sicherheitsvorfalls begrenzt und überschaubar bleiben. Ein finanzieller Schaden bewegt sich typischerweise unter 50.000 Euro, und Ausfallzeiten von mehr als 24 Stunden sind tolerierbar. Für viele Standardanwendungen und interne Systeme ohne sensible Daten ist diese Einstufung angemessen.

• Hoch greift, wenn ein Vorfall bereits beträchtliche Konsequenzen nach sich zieht. Das können erhebliche Vertragsstrafen sein, spürbare Reputationsschäden oder finanzielle Verluste im Bereich von 50.000 bis 500.000 Euro. Systeme mit personenbezogenen Daten oder geschäftskritische Anwendungen fallen häufig in diese Kategorie.

• Bei Sehr hoch sprechen wir von existenzbedrohenden Szenarien. Ein Ausfall oder Datenverlust kann das Fortbestehen der Organisation gefährden, strafrechtliche Konsequenzen haben oder im schlimmsten Fall die körperliche Unversehrtheit von Personen bedrohen. Betreiber kritischer Infrastrukturen operieren in relevanten Bereichen per Definition auf diesem Niveau.

Wie wird der Schutzbedarf ermittelt?

Die Schutzbedarfsfeststellung erfolgt nicht pauschal, sondern differenziert nach den drei Grundwerten der Informationssicherheit: Vertraulichkeit, Integrität und Verfügbarkeit. Für jeden Grundwert wird separat bewertet, welche Auswirkungen eine Verletzung hätte. Dabei fließen sechs vom BSI definierte Schadensszenarien in die Bewertung ein: Verstöße gegen Gesetze oder Verträge, Beeinträchtigungen des Datenschutzes, Gefährdungen der persönlichen Unversehrtheit, Einschränkungen der Aufgabenerfüllung, Reputationsschäden und finanzielle Auswirkungen.

Ein Personalverwaltungssystem hat beispielsweise bei der Vertraulichkeit einen hohen Schutzbedarf, weil es sensible Mitarbeiterdaten enthält. Die Verfügbarkeit kann dagegen als normal eingestuft werden, wenn ein Ausfall von ein bis zwei Tagen keine kritischen Prozesse blockiert. Das höchste Ergebnis aus allen Szenarien bestimmt dann die Gesamtkategorie für den jeweiligen Grundwert.

Vererbung: Maximumprinzip, Kumulation und Verteilung

In der Praxis läuft selten nur eine Anwendung auf einem Server. Das BSI adressiert diese Komplexität mit drei Vererbungsprinzipien, die in der Schutzbedarfsfeststellung beschrieben sind.

Das Maximumprinzip besagt, dass ein IT-System den höchsten Schutzbedarf aller darauf betriebenen Anwendungen erbt. Läuft auf einem Server eine Anwendung mit normalem und eine mit hohem Schutzbedarf, gilt für den gesamten Server die Kategorie hoch.

Der Kumulationseffekt tritt ein, wenn mehrere Anwendungen mit jeweils normalem Schutzbedarf auf demselben System laufen. Einzeln betrachtet mag der Ausfall jeder Anwendung tolerierbar sein, der gleichzeitige Ausfall aller Anwendungen kann jedoch beträchtlichen Schaden verursachen. In solchen Fällen wird der Schutzbedarf des Gesamtsystems angehoben.

Der Verteilungseffekt wirkt in die entgegengesetzte Richtung. Bei redundant ausgelegten Systemen, etwa in einem Cluster oder bei geografisch verteilter Datenhaltung, kann der Schutzbedarf einzelner Komponenten niedriger angesetzt werden als der des Gesamtverbunds, weil der Ausfall einer einzelnen Komponente durch die anderen aufgefangen wird.

Von der Einstufung zur Absicherung

Die Schutzbedarfskategorie bestimmt direkt, welche Absicherungsvariante des IT-Grundschutzes zum Einsatz kommt. Für Systeme mit normalem Schutzbedarf reicht die Standard-Absicherung mit den Bausteinen aus dem IT-Grundschutz-Kompendium. Bei hohem oder sehr hohem Schutzbedarf greifen zusätzliche Anforderungen, und es wird eine ergänzende Risikoanalyse nach BSI-Standard 200-3 notwendig.

Für Unternehmen bedeutet das eine klare Priorisierung: Statt flächendeckend maximale Sicherheitsmaßnahmen auszurollen, können Budgets und Ressourcen gezielt dort eingesetzt werden, wo der potenzielle Schaden am größten ist. Ein Fileserver für unkritische Dokumente braucht keine Hochverfügbarkeitslösung, während das Produktionsleitsystem redundante Absicherung verdient.

Schutzbedarfsfeststellung als Grundlage für Zertifizierungen

Wer eine ISO-27001-Zertifizierung auf Basis von IT-Grundschutz anstrebt, kommt an einer sauber dokumentierten Schutzbedarfsfeststellung nicht vorbei. Sie ist ein Pflichtbestandteil des Sicherheitskonzepts und wird im Audit geprüft. Auch für NIS2-regulierte Unternehmen bietet die systematische Kategorisierung eine belastbare Grundlage, um die geforderten Risikomanagementmaßnahmen nachzuweisen.

Die Feststellung ist dabei kein einmaliger Akt. Ändert sich die Geschäftstätigkeit, kommen neue Systeme hinzu oder verschiebt sich die Bedrohungslage, muss die Einstufung überprüft und gegebenenfalls angepasst werden. In der Praxis hat sich ein jährlicher Review-Zyklus bewährt, ergänzt durch anlassbezogene Neubewertungen bei wesentlichen Änderungen.

Fazit

Die Schutzbedarfskategorien des BSI sind ein bewährtes Werkzeug, um IT-Sicherheit systematisch und ressourceneffizient zu gestalten. Sie zwingen Organisationen dazu, sich bewusst mit der Frage auseinanderzusetzen, welche Werte wirklich schützenswert sind und welche Konsequenzen ein Sicherheitsvorfall hätte. Wer diese Grundlagenarbeit sauber durchführt, schafft nicht nur die Basis für eine Zertifizierung, sondern trifft bessere Entscheidungen bei der Auswahl und Priorisierung von Sicherheitsmaßnahmen.