Im dritten und letzten Teil unserer Online-Veranstaltungsreihe zum Thema „IT-Sicherheit“ stand am 2. Juni 2026 die Schutzbedarfsfeststellung für kleine und mittlere Unternehmen im Mittelpunkt.
Die Veranstaltungsreihe wurde gemeinsam mit den Thüringer Industrie- und Handelskammern Ostthüringen zu Gera, Erfurt und Südthüringen sowie der Transferstelle Cybersicherheit im Mittelstand organisiert und war im März mit dem Thema „NIS2-Umsetzungsgesetz“ gestartet. Im April folgte ein zweiter Workshop zu wichtigen Schritten auf dem Weg zum IT-Notfallplan.
Der dritte Teil knüpfte daran an und führte die 21 Teilnehmenden praxisnah in die Schutzbedarfsfeststellung als wichtigen Baustein der IT-Sicherheit ein. Im Mittelpunkt stand die Frage, wie Unternehmen digitale Risiken, Abhängigkeiten und mögliche Auswirkungen auf Geschäftsprozesse systematisch bewerten und daraus angemessene Schutzmaßnahmen ableiten können. Dabei zeigte sich auch, dass eine Schutzbedarfsfeststellung kein rein technisches Thema ist, sondern eine gemeinsame Aufgabe, die Fachbereiche, Geschäftsführung und IT gleichermaßen einbindet.
Referent Volker Fett erläuterte zunächst die Aufgaben und Ziele der Schutzbedarfsfeststellung. Dabei ging er insbesondere auf die drei zentralen Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit sowie auf die Schutzbedarfskategorien normal, hoch und sehr hoch ein. Auch mögliche Schutzbedarfsklassen und deren Zusammenspiel wurden näher betrachtet. Am Beispiel von Patientendaten zeigte der Referent anschaulich, wie Schutzziele, Klassen und Kategorien miteinander verbunden sind. Ergänzend stellte er die drei Vererbungsprinzipien – Maximum-, Kumulations- und Verteilungsprinzip – vor.
Im weiteren Verlauf wurde die grundlegende Vorgehensweise zur Schutzbedarfsfeststellung nach der IT-Grundschutz-Methodik des BSI-Standards 200-2 erläutert. Sie folgt einem strukturierten Top-down-Prinzip und hilft Unternehmen, ihre Informationswerte, Prozesse und Abhängigkeiten besser einzuordnen.
Zum Abschluss machte Volker Fett sowohl die Herausforderungen als auch den Nutzen einer systematischen Schutzbedarfsfeststellung deutlich. Fehlende Fachkenntnisse, subjektive Bewertungen und komplexe Unternehmensstrukturen können die Umsetzung erschweren. Gleichzeitig bietet die Methode einen klaren wirtschaftlichen Mehrwert: Schäden können vermieden, Risiken transparenter gemacht und Sicherheitsmaßnahmen gezielter eingesetzt werden. Mit den Fragen „Welche Schäden entstehen bei Verlust oder Ausfall?“ und „Können wir damit leben?“ brachte der Referent die praktische Relevanz für Unternehmen auf den Punkt.
Auch die Rückmeldungen der Teilnehmenden zeigten, wie aktuell und praxisnah das Thema ist. Ein Teilnehmer betonte, dass in vielen Unternehmen bereits viel getan werde, Informationssicherheit jedoch nicht allein in der Verantwortung der IT liegen könne. Vielmehr brauche es ein Team aus verschiedenen Unternehmensbereichen – genau darin liege die eigentliche Kunst. Das vorgestellte Notfallbuch könne dabei eine wertvolle Unterstützung bieten. Eine weitere Teilnehmerin hob hervor, dass der Workshop sehr informativ gewesen sei, der umfangreiche Input nun jedoch zunächst intern eingeordnet werden müsse – insbesondere mit Blick darauf, welche Regularien für das eigene Unternehmen tatsächlich relevant sind.
Wir bedanken uns herzlich bei Volker Fett, der die Teilnehmenden auch dieses Mal mit viel Fachwissen, Praxisnähe und einem guten Gespür für die Fragen der Unternehmen durch das Thema geführt hat. Unser Dank gilt gleichermaßen der Landesarbeitsgemeinschaft der Thüringer Industrie- und Handelskammern für die sehr gute Zusammenarbeit und die gemeinsame Durchführung dieser Veranstaltungsreihe.
Bildquellen
- Screenshot aus dem Vortrag von Volker Fett: © Mittelstand-Digital Zentrum Ilmenau
