Zum Inhalt springen
FM-Connect Chat

Hallo! Ich bin Ihr FM-Connect Chat-Assistent. Wie kann ich Ihnen helfen?

FM-Solutionmaker: Gemeinsam Facility Management neu denken

Schutzbedarfsfeststellung im Cargo-Security-Umfeld

Facility Management: Authorised Economic Operator » Strategie » FM und AEO » Schutzbedarfsfeststellung

Schutzbedarfsfeststellung im Cargo-Security-Umfeld

In einem Großunternehmen mit einem spezialisierten Cargo-Security-Bereich ist es essenziell, den Schutzbedarf aller informationsverarbeitenden Systeme, Daten und Prozesse systematisch zu ermitteln. Die Schutzbedarfsfeststellung bewertet, wie gravierend der Schaden für die Organisation wäre, wenn die grundlegenden Schutzziele der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) verletzt würden. Mit anderen Worten wird eingeschätzt, wie kritisch ein bestimmtes Asset (z. B. eine Information, eine Anwendung oder eine Komponente) ist, um daraus das erforderliche Schutzniveau und die angemessenen Sicherheitsmaßnahmen abzuleiten.

Die Einstufung des Schutzbedarfs ist die Grundlage des unternehmensweiten Risikomanagements. Sie legt fest, welche Werte wie stark geschützt werden müssen. Ein Asset mit hohem Schutzbedarf erfordert z. B. strengere Zugriffsrechte oder ausfallsichere Systeme, während bei normalem Schutzbedarf Basis-Maßnahmen genügen. Gerade in komplexen Prozessen wie der Fracht- und Logistikabwicklung unterstützt eine strukturierte Schutzbedarfsfeststellung dabei, kritische Ressourcen zu identifizieren, regulatorische Vorgaben einzuhalten (etwa zum Datenschutz oder bei Gefahrgut) und Sicherheitsmaßnahmen entsprechend zu priorisieren.

Die Schutzbedarfsfeststellung bildet den Grundstein für ein wirksames Informationssicherheits- und Risikomanagement, gerade in einem Cargo-Security-Bereich eines Großunternehmens. Sie sorgt für Transparenz darüber, welche Werte besonders kritisch sind, und legt fest, wie aufwendig deren Schutzmaßnahmen ausfallen müssen. Die gängigen Methoden (BSI IT-Grundschutz oder ISO 27001) unterscheiden sich in der Vorgehensweise, liefern aber ähnlich strukturierte Ergebnisse: Jedes Asset wird im Hinblick auf die Schutzziele bewertet und entsprechend in normal, hoch oder sehr hoch eingestuft.

Im Cargo-Security-Umfeld helfen konkrete Beispiele wie Frachtpapiere, Zugangskontrollsysteme, Videodaten und Gefahrgutinformationen, die Relevanz der Schutzbedarfsfeststellung anschaulich zu verdeutlichen. Werden dabei potentielle Schäden richtig eingeschätzt und die passenden Schutzmaßnahmen ergriffen, lassen sich Sicherheitsrisiken erheblich reduzieren, Regularien einhalten und das Vertrauen von Kunden und Behörden in die betrieblichen Abläufe stärken.

Schutzbedarfskategorien im Facility Management

Schutzbedarfskategorien

Um das Ergebnis der Schutzbedarfsanalyse einordnen zu können, werden in der Praxis oft drei Schutzbedarfskategorien definiert: normal, hoch und sehr hoch.

Kategorisierung der Schadenserhebung im Facility Management

  • Normal: Die Auswirkungen möglicher Vorfälle sind vergleichsweise gering und begrenzt. Der finanzielle, rechtliche oder Imageschaden wäre moderat.

  • Hoch: Die möglichen Schäden sind beträchtlich, etwa signifikante finanzielle Verluste, deutliche Rechtsverstöße oder erheblicher Imageschaden.

  • Sehr hoch: Ein Vorfall hätte existenzbedrohende Folgen, könnte also beispielsweise Leib und Leben gefährden oder die Fortführung des Unternehmens massiv beeinträchtigen.

Die genaue Schwelle zwischen den Kategorien bestimmt jedes Unternehmen selbst – was für einen Großkonzern noch akzeptabel ist, kann für ein kleineres Unternehmen bereits kritisch sein. Wichtig ist, dass die Einstufung konsistent und nachvollziehbar erfolgt.

BSI IT-Grundschutz

Der BSI-Grundschutz sieht die Schutzbedarfsfeststellung als frühen Schritt im Sicherheitsprozess. Dabei werden zunächst alle relevanten Assets (Informationen, Anwendungen, IT-Systeme) erfasst und für jedes Asset einzeln der Schutzbedarf in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit ermittelt.

Typische Schadensszenarien zur Bewertung im Facility Management

  • Verstoß gegen Gesetze/Vorschriften

  • Verletzung des Datenschutzes

  • Beeinträchtigung der persönlichen Unversehrtheit

  • Ausfall der Aufgabenerfüllung (Kernprozesse)

  • Negative Außenwirkung (Imageverlust)

  • Finanzielle Auswirkungen

Anhand dieser Kriterien wird eine Einstufung in normal, hoch oder sehr hoch vorgenommen. Dabei gilt das Maximalprinzip: Hat ein System in nur einem Schutzziel einen höheren Bedarf, wird insgesamt die höhere Kategorie gewählt.

Für Assets mit ausschließlich normalem Schutzbedarf sind die im IT-Grundschutz empfohlenen Basis-Maßnahmen in der Regel ausreichend. Für Assets mit hohem oder sehr hohem Schutzbedarf erfolgt eine ergänzende Risikoanalyse, um zusätzliche und spezifischere Maßnahmen abzuleiten.

ISO 27001

Auch ISO 27001 fordert die Ermittlung des Schutzbedarfs bzw. eine angemessene Risikoanalyse. Der Standard schreibt jedoch nicht vor, wie genau die Schutzbedarfskategorien zu definieren sind. Üblich ist eine Einteilung in niedrigen, mittleren und hohen Schutzbedarf, was dem Prinzip normal, hoch und sehr hoch entspricht.

Risikoanalyse nach Bestandsaufnahme im Facility Management

  • Identifizieren von Bedrohungen und Schwachstellen

  • Bewertung der möglichen Schäden und Eintrittswahrscheinlichkeiten

  • Festlegung geeigneter Schutzmaßnahmen

In beiden Ansätzen (BSI-Grundschutz und ISO 27001) werden ähnliche Ergebnisse angestrebt: Ein strukturiertes Bewusstsein dafür, welche Assets besonders geschützt werden müssen, und die Zuordnung passender Sicherheitsmaßnahmen.

Frachtpapiere und Versanddokumente

  • Vertraulichkeit: Unbefugte sollen nicht erkennen können, welche wertvollen Waren unterwegs sind, um Diebstahl oder Sabotage zu verhindern.

  • Integrität: Manipulierte Frachtpapiere führen zu falscher Deklaration, was bei Gefahrgut zur Katastrophe führen kann.

  • Verfügbarkeit: Originaldokumente werden bei Übergaben oft zwingend benötigt.

Je nach Art und Wert der Fracht können Frachtpapiere einen hohen Schutzbedarf aufweisen, insbesondere wenn sie sensible Kundendaten oder Angaben zu wertvollen und gefährlichen Waren enthalten.

Zugangssysteme im Lager- und Sicherheitsbereich

  • Vertraulichkeit: Personalisierte Zugangsdaten müssen vor Missbrauch geschützt werden.

  • Integrität: Ein unberechtigtes Ändern der Zugangsrechte (z. B. Entfernen von Berechtigungen oder Hinzufügen unautorisierter Personen) kann massive Sicherheitsprobleme hervorrufen.

  • Verfügbarkeit: Ein Ausfall der Zugangssysteme könnte den Warenfluss unterbrechen oder unkontrollierten Zugang ermöglichen.

Diese Systeme weisen in der Regel einen hohen Schutzbedarf auf, da ein Ausfall oder Missbrauch unmittelbare Sicherheits- und Geschäftsfolgen hätte.

Kameradaten der Videoüberwachung

  • Vertraulichkeit: Videoaufnahmen können personenbezogene Daten oder Betriebsgeheimnisse enthalten.

  • Integrität: Manipulierte Aufnahmen erschweren oder verhindern die Aufklärung von Vorfällen.

  • Verfügbarkeit: Insbesondere in kritischen Bereichen (z. B. Lagerung hochpreisiger Waren) muss die Videoüberwachung stets funktionstüchtig sein.

Überwachungsdaten haben oft einen hohen Schutzbedarf, vor allem wegen datenschutzrechtlicher Aspekte und der Relevanz für die Sicherheitsüberwachung.

Gefahrgutinformationen

  • Vertraulichkeit: Geringere Rolle, da Notfallhelfer diese Angaben schnell erhalten sollen.

  • Integrität: Falsche oder unvollständige Daten führen zu falschen Maßnahmen und gefährden Personen sowie Umwelt.

  • Verfügbarkeit: Bei Notfällen müssen Daten sofort vorliegen, um richtige Entscheidungen zu treffen.

Diese Informationen unterliegen in der Regel einem sehr hohen Schutzbedarf hinsichtlich Integrität und Verfügbarkeit, da es um Leib und Leben gehen kann.