Schutzbedarfsfeststellung Bei der Schutzbedarfsfeststellung wird der Schutzbedarf der Geschäftsprozesse, der verarbeiteten Informationen und der IT-Komponenten bestimmt. Hierzu werden für jede Anwendung und die verarbeiteten Informationen die zu erwartenden Schäden betrachtet, die bei einer Beeinträchtigung von Vertraulichkeit, Integrität oder Verfügbarkeit entstehen können. Wichtig ist es dabei auch, die möglichen Folgeschäden realistisch einzuschätzen. Bewährt hat sich eine Einteilung in die drei Schutzbedarfskategorien

• normal ("die Schadensauswirkungen sind begrenzt und überschaubar"),
• hoch ("die Schadensauswirkungen können beträchtlich sein") und
• sehr hoch ("die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen").

(Quelle: BSI)