Knowledgebase
Helpdesk
Knowledgebase
Helpdesk
Erste Schritte + Grundlagen
Grundfunktionen
Assets + Organisation
Daten und Informationen
ModulüberblickAnlegen und Stammdaten pflegenSchutzbedarf bewertenVerknüpfen mit Assets und VT/GPMassenaktionen und Export
Assetmanagement
Datenschutz
Personal + Schulung

Schutzbedarf bewerten

Daten und Informationen

Der Schutzbedarf eines Informationswertes sagt, wie kritisch der Verlust seiner Vertraulichkeit, Integrität oder Verfügbarkeit für Ihre Organisation wäre. Sie bewerten ihn in drei Dimensionen mit einer Stufe (zum Beispiel Normal, Hoch, Sehr hoch) und einer Begründung. Die Bewertung wirkt sich direkt auf alle verknüpften Assets aus. In diesem Artikel führen Sie die Bewertung durch, verstehen das Maximum-Prinzip der Vererbung und lernen, audit-taugliche Begründungen zu schreiben.

In 5 Minuten erledigt

  • Informationswert über die Übersicht öffnen, Tab Schutzbedarf wählen.
  • Vertraulichkeit (C) bewerten: Stufe wählen, Begründung als konkretes Schadensszenario eintragen.
  • Integrität (I) bewerten: Stufe und Begründung gemeinsam pflegen.
  • Verfügbarkeit (A) optional bewerten (nur falls die Information selbst Verfügbarkeitsanforderungen trägt).
  • Speichern. Schutzbedarf wird automatisch an alle verknüpften Assets vererbt.

Wann brauchen Sie das?

  • Sie haben einen neuen Informationswert angelegt und müssen die fachliche Einstufung ergänzen.
  • Eine Datenkategorie hat sich geändert (zum Beispiel kommen besonders sensible Daten hinzu) und die alte Einstufung passt nicht mehr.
  • Ein Audit oder eine Schutzbedarfsanalyse bringt eine falsche oder unpassende Einschätzung hervor- Sie ergänzen oder schärfen sie nach.

Schritt für Schritt

  1. Öffnen Sie den Informationswert über Assets und Organisation > Daten und Informationen und klicken Sie auf den Eintrag in der Übersicht.
  2. Wechseln Sie auf den Tab Schutzbedarf.
  3. Bewerten Sie die Vertraulichkeit (C):
    • Wählen Sie eine Stufe aus dem Dropdown (zum Beispiel Normal, Hoch, Sehr hoch).
    • Tragen Sie eine Begründung ein - kurz, aber nachvollziehbar (zum Beispiel "Bekanntwerden würde zu erheblichem finanziellen Schaden und Vertrauensverlust führen").
    • Stufe und Begründung sind beide Pflicht.
  5. Bewerten Sie die Integrität (I) nach dem gleichen Muster. Stufe und Begründung sind wieder beide Pflicht.
  6. Bewerten Sie optional die Verfügbarkeit (A):
    • Diese Dimension ist freiwillig, weil die Verfügbarkeit in der Regel über das verarbeitende System bestimmt wird, nicht über die Daten selbst.
    • Wenn Sie eine Bewertung vornehmen, gilt auch hier: Stufe und Begründung gemeinsam.
  8. Klicken Sie auf Speichern. Die Einstufung wird sofort wirksam.

Tipp: Die verfügbaren Stufen werden zentral in der Assetmanagement-Konfiguration gepflegt. Wenn Sie eine andere Skala brauchen, sprechen Sie mit Ihrem Administrator - die Anpassung gilt dann modulübergreifend.

Das Maximum-Prinzip der Vererbung

Die Stufen für Vertraulichkeit und Integrität werden automatisch nach dem Maximum-Prinzip an alle verknüpften Assets vererbt. Konkret heißt das:

  • Verknüpfen Sie einen Informationswert mit C = Hoch mit einem Asset, das bisher auf C = Normal stand, wird das Asset automatisch auf C = Hoch hochgestuft.
  • Senken Sie den Schutzbedarf eines Informationswertes ab, bleibt das Asset auf seinem aktuellen Stand, wenn ein anderer höher bewerteter Informationswert weiterhin verknüpft ist. Das verhindert ein versehentliches Absenken.
  • Eine manuelle Absenkung am Asset unter den vererbten Wert ist gesperrt.

Beispiel: Auf dem Fileserver FS-01 liegen sowohl Marketing-Bilder (C = Normal) als auch Personalakten (C = Sehr hoch). Sobald beide Informationswerte mit FS-01 verknüpft sind, wird das Asset automatisch auf C = Sehr hoch eingestuft. Senken Sie später den Schutzbedarf der Personalakten, weil Sie sie ausgelagert haben, bleibt das Asset auf dem höchsten Wert der noch verknüpften Informationswerte.

Warum Verfügbarkeit asymmetrisch ist

Die Verfügbarkeit verhält sich anders als C und I. Sie kommt nicht primär vom Informationswert, sondern aus den Geschäftsprozessen und Verarbeitungstätigkeiten, die mit dem Asset arbeiten.

Das hat einen handfesten Grund: Dieselben Personalakten sind im Monatslauf der Lohnbuchhaltung verfügbarkeitskritisch, im Archiv des HR-Berichts hingegen nicht. Die Verfügbarkeitsbewertung gehört dort hin, wo der Prozess die Anforderung erzeugt.

Praktische Konsequenz: Wenn Sie A am Informationswert nicht bewerten, leitet der MANAGER die A-Stufe des Assets aus den Geschäftsprozess- und VVT-Verknüpfungen ab. Wenn Sie A bewerten, gilt das Maximum-Prinzip wie bei C und I.

Audit-taugliche Begründungen schreiben

Eine konsitente und aussagekräftige Beschreibung erleichtert die Nachvollziehbarkeit für das gesamte Compliance & Security-Team. Drei Beispiele:

Begründung Typ

Schwach

Stark

Vertraulichkeit (C)

"Personenbezogene Daten - daher hoch"

"Veröffentlichung würde Reputationsschaden, arbeitsrechtliche Folgen und Bußgeldrisiko nach Art. 83 DSGVO auslösen"

Integrität (I)

"Wichtig für den Geschäftsbetrieb"

"Manipulation der Lohnzahlungen-Stammdaten würde zu falschen Auszahlungen und Steuermeldungen führen"

Verfügbarkeit (A)

"Sollte verfügbar sein"

"Ausfall am Monatsende verhindert Lohnabrechnung, Strafzinsen und Tarifvertragsverletzungen"

Eine starke Begründung beschreibt in einem Satz ein konkretes Worst-Case-Szenario. Wer die Begründung später für ein Risiko-Assessment verwendet, profitiert von dieser Disziplin doppelt - die Begründung ist die Argumentationsbasis für die Risiko-Bewertung.

Beispiele für typische Bewertungen

Informationswert

C

I

A

Begründung-Skizze

Marketing-Bilder

Normal

Normal

-

Öffentlich freigegebenes Material

Kundenstammdaten

Hoch

Hoch

-

Personenbezug, Vertragsbindung, Reputationsrisiko

Gehaltsdaten

Sehr hoch

Hoch

Hoch

Personenbezug, arbeitsrechtliche Folgen bei Veröffentlichung

Patientendaten

Sehr hoch

Sehr hoch

Hoch

Art. 9 DSGVO, sehr hohe Bußgelder, Vertrauensverlust

Buchhaltungsdaten

Hoch

Sehr hoch

Hoch

Manipulation würde Steuer- und Compliance-Folgen auslösen

Konstruktionspläne

Sehr hoch

Sehr hoch

-

Wettbewerbsrelevant, Geschäftsgeheimnis

Die Tabelle ist ein Anhalt. Die individuelle Bewertung hängt von Ihrem Geschäftsmodell und Ihrer Risikobereitschaft ab.

Häufige Stolperfallen

  • Stufe ohne Begründung: Speichern wird verweigert, solange beides nicht gefüllt ist. Hier erscheint aktuell noch häufig die Fehlermeldung "Netzwerkfehler".
  • Verfügbarkeit dort bewerten, wo sie nicht hingehört: Die Verfügbarkeit gehört in die Bewertung des Geschäftsprozesses, nicht in jeden Informationswert. Lassen Sie das Feld leer, wenn keine eigene Aussage zur Datenverfügbarkeit nötig ist.
  • Späteres Absenken funktioniert nicht wie erwartet: Wenn ein verknüpftes Asset hoch eingestuft bleibt, prüfen Sie, welcher andere Informationswert die Einstufung dort hält.
  • Updates ohne Verknüpfungs-Check: Wenn Sie einen Informationswert hochstufen, prüfen Sie die verknüpften Assets und TOM - ggf. ist ein erweiterter Schutz nötig.

Häufig gestellte Fragen

Wer entscheidet über die Schutzbedarfs-Stufe?

Der Informationseigentümer trifft die fachliche Bewertung, ISB oder DSB prüfen die methodische Konsistenz, das Beratungsteam unterstützt bei Branchen-Standardwerten. Die Entscheidung bleibt aber beim Informationseigentümer.

Was ist der Unterschied zwischen Schutzbedarf und Klassifikation?

Schutzbedarf misst die Schutzanforderung (C, I, A in Stufen). Klassifikation regelt den Umgang und die Sichtbarkeit (öffentlich, intern, vertraulich, streng vertraulich). Beide Skalen sind unabhängig - eine öffentlich-klassifizierte Information kann hohen Integritätsbedarf haben (Beispiel: amtliche Verkehrshinweise).

Wie oft muss der Schutzbedarf überprüft werden?

ISO 27001 fordert eine regelmäßige Überprüfung (nicht zwingend Anpassung) - typischerweise jährlich oder bei wesentlichen Änderungen. Die Aufgaben ermöglichen dafür eine wiederkehrende Aufgabe.

Welche Stufen-Skala empfiehlt sich?

Die häufigsten Skalen sind dreistufig (Normal, Hoch, Sehr hoch) oder vierstufig (Normal, Hoch, Sehr hoch, Existenzbedrohend). Vier Stufen geben mehr Differenzierung, drei sind im Alltag leichter zu pflegen. Die Skala wird zentral in der Assetmanagement-Konfiguration gepflegt.

Wir empfehlen, sich hier an gängige Standards wie BSI 200-3 oder ISO 27005 anzulehnen.

Wirkt sich der Schutzbedarf direkt auf die TOM aus?

Indirekt. Höherer Schutzbedarf führt zu höheren Anforderungen an die TOM (zum Beispiel Verschlüsselung, Zugriffskontrolle, Backup). Die konkreten TOM werden im Tab Maßnahmen am Asset gepflegt - der Schutzbedarf ist der fachliche Auslöser.

Kann ich den Schutzbedarf nachträglich ändern?

Ja. Stufe und Begründung lassen sich jederzeit ändern. Achten Sie nach jeder Änderung darauf, die verknüpften Assets durchzuschauen - ein Hochstufen kann TOM-Lücken offenlegen.

Verwandte Artikel


War dieser Artikel hilfreich?

Powered by Product Fruits
Impressum | Datenschutzerklärung