Was ist BSI IT-Grundschutz?

BSI IT-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik entwickeltes Rahmenwerk für Informationssicherheit. Es bietet einen systematischen Ansatz mit konkreten Bausteinen und Maßnahmen für IT-Systeme, Netze und Anwendungen.

Ist BSI IT-Grundschutz dasselbe wie ISO 27001?

Nein, aber sie ergänzen sich. ISO 27001 setzt auf einen risikobasierten Ansatz, BSI IT-Grundschutz bietet detaillierte Maßnahmenkataloge. Eine ISO 27001 Zertifizierung auf Basis von IT-Grundschutz kombiniert beide Ansätze.

Für wen eignet sich BSI IT-Grundschutz?

Für Bundesbehörden (Pflicht), Landesbehörden, KRITIS-Betreiber und mittelständische Unternehmen, die einen strukturierten Einstieg in die Informationssicherheit suchen. Besonders geeignet bei fehlendem internen Security-Know-how.

Was ist der BSI-Standard 200-2?

Der BSI-Standard 200-2 ist das IT-Grundschutz-Vorgehensmodell des Bundesamts fuer Sicherheit in der Informationstechnik (BSI). Er beschreibt drei Absicherungsstrategien: Basis-Absicherung fuer den schnellen Einstieg, Standard-Absicherung als zertifizierungsfaehige Vollabsicherung und Kern-Absicherung mit Fokus auf besonders schuetzenswerte Informationen. Der Standard 200-2 loeste 2017 den frueheren BSI-Standard 100-2 ab und arbeitet eng mit den Bausteinen des IT-Grundschutz-Kompendiums zusammen. Er ist kompatibel zu ISO 27001.

Welche BSI-Standards gehoeren zum IT-Grundschutz?

Der BSI IT-Grundschutz umfasst vier aktuelle Standards: BSI-Standard 200-1 behandelt die Managementsysteme fuer Informationssicherheit (ISMS-Grundlagen). BSI-Standard 200-2 definiert die IT-Grundschutz-Methodik mit Basis-, Standard- und Kern-Absicherung. BSI-Standard 200-3 regelt die Risikoanalyse auf Basis IT-Grundschutz. BSI-Standard 200-4 adressiert Business Continuity Management. Ergaenzend liefert das IT-Grundschutz-Kompendium ueber 100 Bausteine mit konkreten Sicherheitsanforderungen.

Was sind BSI Grundschutz Bausteine?

BSI-Grundschutz-Bausteine sind modular aufgebaute Sicherheitsvorgaben im IT-Grundschutz-Kompendium. Jeder Baustein (z.B. APP.5.3 Webanwendungen, NET.3.1 Router und Switches, CON.1 Krypto-Konzept) beschreibt Gefaehrdungen, Basis-Anforderungen, Standard-Anforderungen und Anforderungen bei erhoehtem Schutzbedarf. Die Bausteine sind in Prozessbausteine (ISMS, ORP, CON, OPS, DER) und Systembausteine (APP, SYS, IND, NET, INF) gegliedert und werden jaehrlich vom BSI aktualisiert.

Wie laeuft die IT-Grundschutz-Zertifizierung nach BSI-Standard 200-2 ab?

Die Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz gliedert sich in vier Phasen: Erstens die Initiierung und Strukturanalyse mit Festlegung des Geltungsbereichs. Zweitens die Schutzbedarfsfeststellung und Modellierung mit Zuordnung der Bausteine. Drittens der IT-Grundschutz-Check als Soll-Ist-Vergleich sowie eine Risikoanalyse nach BSI 200-3 bei erhoehtem Schutzbedarf. Viertens das externe Audit durch zertifizierte Auditoren. Die Kosten liegen je nach Unternehmensgroesse zwischen 15.000 und 60.000 Euro, die Zertifizierung gilt drei Jahre.

Fuer wen ist der BSI-Grundschutz verpflichtend?

IT-Grundschutz ist direkt verpflichtend fuer Bundesbehoerden nach dem Umsetzungsplan Bund, Landesbehoerden einzelner Bundeslaender sowie KRITIS-Betreiber in bestimmten Sektoren. Unternehmen, die mit diesen Akteuren als IT-Dienstleister oder Zulieferer zusammenarbeiten, muessen haeufig vertraglich IT-Grundschutz-Konformitaet nachweisen. Fuer andere Organisationen ist der Standard freiwillig, gilt aber in Deutschland als anerkannter Stand der Technik und unterstuetzt die Erfuellung von NIS-2 und DSGVO.

Was unterscheidet Basis-, Standard- und Kern-Absicherung nach BSI 200-2?

Basis-Absicherung implementiert die Basis-Anforderungen aller relevanten Bausteine als schneller Einstieg und eignet sich fuer KMU ohne besonders schutzbeduerftige Informationen. Standard-Absicherung deckt zusaetzlich alle Standard-Anforderungen ab und ist Voraussetzung fuer die ISO-27001-Zertifizierung auf Basis IT-Grundschutz. Kern-Absicherung fokussiert auf besonders kritische Informationsverbuende und wendet dort volle IT-Grundschutz-Anforderungen plus vertiefte Risikoanalyse nach BSI 200-3 an.

BSI IT-Grundschutz

Umsetzung für Unternehmen und Behörden in Sachsen.

BSI-Beratung anfragen

Was ist der BSI IT-Grundschutz?

Der BSI IT-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Rahmenwerk für die Informationssicherheit. Er bietet eine systematische Methodik zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen und gilt als der deutsche Goldstandard für den Schutz von IT-Systemen, Daten und Geschäftsprozessen in Unternehmen und Behörden.

Im Gegensatz zu anderen Standards wie der ISO 27001 zeichnet sich der IT Grundschutz durch seine hohe Detailtiefe aus: Anstatt nur Anforderungen zu formulieren, liefert das BSI konkrete Umsetzungsempfehlungen für nahezu jede IT-Komponente und jeden Geschäftsprozess. Damit eignet sich der BSI Grundschutz besonders für Organisationen, die eine klare, praxisnahe Handlungsanleitung für ihre IT-Sicherheit benötigen.

Der IT-Grundschutz ist eng verzahnt mit dem Aufbau eines Informationssicherheits-Managementsystems (ISMS). Wer den BSI IT-Grundschutz vollständig umsetzt, erfüllt gleichzeitig die Anforderungen für eine ISO 27001-Zertifizierung auf Basis von IT-Grundschutz – ein in der DACH-Region besonders anerkannter Nachweis.

IT-Grundschutz-Kompendium — alle Bausteine im Überblick

Das BSI IT-Grundschutz-Kompendium mit über 100 Bausteinen (APP, SYS, NET, INF, ORP, OPS, CON, ISMS, IND, DER) ist die operative Grundlage jeder ISO-27001-Zertifizierung auf Basis IT-Grundschutz und NIS-2-Konformität.

Schwachstellen systematisch managen

Schwachstellenmanagement nach ISO 27001 — der 5-Stufen-Prozess mit Tools-Vergleich (OpenVAS, Tenable, Qualys), Praxisbeispielen und einer Vorlage zum Download. Pflicht für jedes ISMS, NIS-2-relevant und Audit-Voraussetzung.

ISO 27001 — Anforderungen, Zertifizierung & Kosten

Wir begleiten Sie von der ersten Bestandsaufnahme bis zum erfolgreichen ISO-27001-Zertifikat — inklusive Annex-A-Controls, Gap-Analyse und Audit-Vorbereitung. Zertifizierung ab 15.000 € (KMU), Beratung ab 350 €/Monat.

Anforderungen Zertifizierung Kosten

Externer Informationssicherheitsbeauftragter gesucht?

Wir übernehmen die ISB-Rolle als externer Dienstleister — ISO 27001, BSI IT-Grundschutz, NIS-2 und TISAX aus einer Hand. Bundesweit, ab 500 € / Monat.

→ Externen Informationssicherheitsbeauftragten anfragen

OT-Security-Standard: Für sichere Softwareentwicklung in industriellen Steuerungssystemen ist DIN EN IEC 62443-4-1 der führende Standard für Secure Development Lifecycle in OT-Umgebungen — ergänzt ISO/IEC 27001 und ist Pflicht-Referenz für NIS-2-verpflichtete KRITIS-Betreiber und Hersteller industrieller Komponenten.

Geschichte und Entwicklung des BSI IT-Grundschutz

Der IT Grundschutz wurde erstmals 1994 als IT-Grundschutzhandbuch veröffentlicht und seitdem kontinuierlich weiterentwickelt. Die wichtigsten Meilensteine:

1994: Erste Veröffentlichung des IT-Grundschutzhandbuchs
2005: Umbenennung in IT-Grundschutz-Kataloge mit erweitertem Umfang
2017: Modernisierung – Einführung der BSI-Standards 200-x und des IT-Grundschutz-Kompendiums
2023: BSI-Standard 200-4 zum Business Continuity Management veröffentlicht
2025: Aktuelle Edition des Kompendiums mit über 100 Bausteinen

Mit der Modernisierung 2017 wurde das gesamte Rahmenwerk grundsätzlich überarbeitet. Das Kompendium löste die früheren IT-Grundschutz-Kataloge ab und bietet einen flexibleren, modularen Ansatz. Heute umfasst das Kompendium über 100 Bausteine, die regelmäßig aktualisiert werden, um mit der sich verändernden Bedrohungslandschaft Schritt zu halten.

BSI IT-Grundschutz Überblick: Die BSI-Standards 200-1 bis 200-4

Das methodische Fundament des BSI Grundschutz bilden vier aufeinander abgestimmte Standards. Sie beschreiben, wie ein ISMS aufgebaut, die IT-Grundschutz-Methodik angewendet, Risiken analysiert und das Business Continuity Management gestaltet wird.

BSI-Standard 200-1: Managementsysteme für Informationssicherheit

Der BSI-Standard 200-1 definiert die allgemeinen Anforderungen an ein ISMS. Er ist vollständig kompatibel mit der ISO 27001 und beschreibt, welche Aufgaben das Management übernehmen muss, wie die Sicherheitsorganisation aufzubauen ist und welche Dokumentationspflichten bestehen. Im Vergleich zur ISO 27001 enthält der Standard 200-1 konkretere Vorgaben zur Rollenverteilung, zur Verantwortung der Leitungsebene und zur Integration des ISMS in bestehende Managementsysteme.

BSI-Standard 200-2: IT-Grundschutz-Methodik

Der Standard 200-2 ist das Herzstück des IT Grundschutz und beschreibt die drei Vorgehensweisen: Basis-Absicherung, Standard-Absicherung und Kern-Absicherung. Er enthält detaillierte Anleitungen zur Strukturanalyse, Schutzbedarfsfeststellung, Modellierung und zum IT-Grundschutz-Check. Für jede Vorgehensweise liefert der Standard klare Handlungsschritte, Entscheidungshilfen und Beispiele aus der Praxis.

BSI-Standard 200-3: Risikomanagement

Der Standard 200-3 beschreibt die ergänzende Risikoanalyse, die bei erhöhtem Schutzbedarf oder bei Zielobjekten durchzuführen ist, die nicht vollständig durch die IT-Grundschutz-Bausteine abgedeckt werden. Er definiert einen pragmatischen Ansatz zur Gefährdungsermittlung, Risikobewertung und Risikobehandlung, der nahtlos in die IT-Grundschutz-Methodik integriert ist. Besonders wertvoll: Die Kreuzreferenztabellen erleichtern die Zuordnung von Gefährdungen zu Bausteinen.

BSI-Standard 200-4: Business Continuity Management

Der jüngste Standard befasst sich mit dem Notfallmanagement und der Geschäftskontinuität. Er beschreibt, wie Organisationen sich auf Notfälle und Krisen vorbereiten, Geschäftsprozesse auch bei Störungen aufrechterhalten und nach einem Vorfall schnell zum Normalbetrieb zurückkehren können. Der Standard 200-4 bietet drei Einstiegsstufen: Reaktiv-Stufe (Sofortmaßnahmen), Aufbau-Stufe (strukturierter Einstieg) und Standard-Stufe (vollständiges BCM).

Standard	Titel	Inhalt
BSI-Standard 200-1	Managementsysteme für Informationssicherheit	Allgemeine Anforderungen an ein ISMS, kompatibel mit ISO 27001
BSI-Standard 200-2	IT-Grundschutz-Methodik	Vorgehensweisen Basis-, Standard- und Kern-Absicherung
BSI-Standard 200-3	Risikomanagement	Risikoanalyse auf Basis von IT-Grundschutz
BSI-Standard 200-4	Business Continuity Management	Notfallmanagement und Geschäftskontinuität

Vorgehensmodell: Basis-, Standard- und Kern-Absicherung

Der BSI-Standard 200-2 definiert drei Vorgehensweisen, die sich in Umfang und Tiefe unterscheiden. Die Wahl der richtigen Vorgehensweise hängt von der Organisationsgröße, dem Schutzbedarf und den verfügbaren Ressourcen ab.

Basis-Absicherung

Die Einstiegsvariante für Organisationen, die schnell ein grundsätzliches Sicherheitsniveau erreichen möchten:

Umsetzung aller Basis-Anforderungen (Kategorie B) der relevanten Bausteine
Kein vollständiges ISMS erforderlich
Ideal als Startpunkt für KMU und kleinere Behörden
Zeitrahmen: 2-4 Monate
Ergebnis: Auditor-Testat „Basis-Absicherung“

Die Basis-Absicherung eignet sich besonders für kleine und mittlere Unternehmen, die erste strukturierte Schritte in Richtung Informationssicherheit unternehmen möchten. Sie deckt die wichtigsten Sicherheitsmaßnahmen ab und bildet die Grundlage für den späteren Ausbau zur Standard-Absicherung.

Standard-Absicherung

Die empfohlene Vorgehensweise für die meisten Organisationen:

Umsetzung aller Basis- und Standard-Anforderungen (Kategorien B + S)
Vollständige IT-Grundschutz-Methodik nach BSI-Standard 200-2
Grundlage für die Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz
Zeitrahmen: 12-24 Monate
Ergebnis: Auditor-Testat oder ISO 27001-Zertifikat auf Basis von IT-Grundschutz

Die Standard-Absicherung bietet ein vollständiges Sicherheitsniveau und ist für Organisationen geeignet, die ein vollständiges ISMS aufbauen und ggf. eine Zertifizierung anstreben. Sie erfordert eine systematische Strukturanalyse, Schutzbedarfsfeststellung und Modellierung aller Geschäftsprozesse und IT-Systeme.

Kern-Absicherung

Für besonders kritische Geschäftsprozesse und Assets:

Fokus auf die wichtigsten („Kronjuwelen“) Assets der Organisation
Vollständige Absicherung inkl. Anforderungen für erhöhten Schutzbedarf (Kategorie H)
Ideal für KRITIS-Betreiber und hochsensible Bereiche
Kombinierbar mit der Standard-Absicherung für den Rest der Organisation
Ergebnis: ISO 27001-Zertifikat auf Basis von IT-Grundschutz (eingeschränkter Scope)

Die Kern-Absicherung ermöglicht es, besonders schützenswerte Bereiche prioritär abzusichern, ohne sofort die gesamte Organisation durchleuchten zu müssen. Typische Anwendungsfälle sind kritische Infrastrukturen, Rechenzentren, Forschungsabteilungen oder besonders sensible Verwaltungsbereiche.

IT-Grundschutz-Kompendium: Bausteine und Anforderungen

Das IT-Grundschutz-Kompendium ist das zentrale Nachschlagewerk und enthält über 100 thematisch gegliederte Bausteine. Jeder Baustein beschreibt typische Gefährdungen und liefert konkrete Sicherheitsanforderungen für einen bestimmten Bereich – von der Netzwerksicherheit über die Cloud-Nutzung bis hin zur physischen Sicherheit.

Bausteinschichten im Überblick

Schicht	Kürzel	Beispiel-Bausteine
Prozess-Bausteine	ISMS, ORP, CON, OPS, DER	ISMS.1 Sicherheitsmanagement, ORP.3 Sensibilisierung und Schulung, CON.1 Kryptokonzept
System-Bausteine	APP, SYS, IND, NET, INF	APP.1.1 Office-Produkte, SYS.1.1 Allgemeiner Server, NET.1.1 Netzarchitektur

Anforderungskategorien

Jeder Baustein enthält Anforderungen in drei Stufen:

Basis-Anforderungen (B): Mindestmaß an Sicherheit, zwingend umzusetzen – vergleichbar mit einer Brandschutzgrundausstattung
Standard-Anforderungen (S): Normales Schutzniveau, empfohlen für die meisten Organisationen – bietet soliden Grundschutz für den Regelbetrieb
Anforderungen für erhöhten Schutzbedarf (H): Für besonders schützenswerte Bereiche – höchstes Sicherheitsniveau mit erweiterten Schutzmaßnahmen

Wichtige Bausteine für Unternehmen

Folgende Bausteine des IT-Grundschutz-Kompendiums sind für die meisten Unternehmen besonders relevant:

ISMS.1 Sicherheitsmanagement: Grundlage für das gesamte ISMS – Leitlinie, Organisation, Rollen
ORP.1 Organisation: Sicherheitsorganisation, Verantwortlichkeiten und Regelungen
ORP.3 Sensibilisierung und Schulung: Mitarbeiter-Awareness und regelmäßige Schulungen
CON.1 Kryptokonzept: Verschlüsselungsstrategie und Schlüsselmanagement
OPS.1.1 Allgemeiner IT-Betrieb: Regelungen für den täglichen IT-Betrieb
DER.1 Detektion von sicherheitsrelevanten Ereignissen: Monitoring, Logging und Anomalieerkennung
DER.2.1 Behandlung von Sicherheitsvorfällen: Incident Response und Eskalation
APP.1.1 Office-Produkte: Sicherheit von Microsoft Office, LibreOffice etc.
SYS.1.1 Allgemeiner Server: Härtung und Absicherung von Server-Systemen
NET.1.1 Netzarchitektur und -design: Segmentierung, Firewall-Konzepte, DMZ
INF.1 Allgemeines Gebäude: Physische Sicherheit, Zutrittskontrolle, Brandschutz

BSI IT-Grundschutz vs. ISO 27001 – Vergleichstabelle

Beide Standards verfolgen das gleiche Ziel – den systematischen Schutz von Informationen –, unterscheiden sich aber erheblich im Ansatz. Die folgende Vergleichstabelle hilft Ihnen bei der Entscheidung, welcher Weg für Ihre Organisation der richtige ist:

Kriterium	BSI IT-Grundschutz	ISO 27001 (nativ)
Herkunft	National (Deutschland, BSI)	International (ISO/IEC)
Methodik	Maßnahmenbasiert mit konkreten Bausteinen	Risikobasiert mit Annex-A-Controls
Detailtiefe	Sehr hoch – konkrete Umsetzungshinweise pro Baustein	Rahmenwerk – Umsetzung flexibel gestaltbar
Dokumentationsaufwand	Hoch bis sehr hoch	Mittel bis hoch
Risikoanalyse	Vereinfacht (Kreuzreferenztabellen) + ergänzend nach 200-3	Eigenständig durchzuführen (keine Vorgabe der Methode)
Internationale Anerkennung	Primär DACH-Raum, zunehmend EU	Weltweit anerkannt
Zertifizierung	ISO 27001 auf Basis von IT-Grundschutz (BSI-Zertifikat)	ISO 27001 (akkreditierte Zertifizierungsstelle)
Ideale Zielgruppe	Behörden, KRITIS, öffentliche Einrichtungen, Kommunen	International agierende Unternehmen aller Branchen
Kosten der Einführung	20.000–100.000 € (je nach Organisationsgröße)	15.000–80.000 € (je nach Organisationsgröße)
Zeitaufwand	12–24 Monate (Standard-Absicherung)	6–18 Monate

Fazit: Eine Zertifizierung nach „ISO 27001 auf Basis von IT-Grundschutz“ ist eine vollwertige ISO 27001-Zertifizierung und wird international anerkannt. Sie ist aufwändiger als die native ISO 27001, bietet dafür aber eine detailliertere und reproduzierbarere Sicherheitsanalyse. Behörden und KRITIS-Betreiber fahren mit dem BSI Grundschutz in der Regel besser, während international agierende Unternehmen die native ISO 27001 bevorzugen sollten.

Zertifizierung nach BSI IT-Grundschutz: Ablauf und Kosten

Die Zertifizierung wird vom BSI selbst vergeben und ist der formale Nachweis, dass Ihre Organisation den IT Grundschutz nach anerkannter Methodik umgesetzt hat.

Ablauf der Zertifizierung

Antragstellung: Registrierung beim BSI und Auswahl eines BSI-zertifizierten Auditors aus der offiziellen Auditorenliste
Dokumentenprüfung (Phase 1): Prüfung der ISMS-Dokumentation, Referenzdokumente, Strukturanalyse und Modellierung
Vor-Ort-Audit (Phase 2): Überprüfung der tatsächlichen Umsetzung aller Anforderungen vor Ort durch den Auditor
Auditbericht und Zertifikatserteilung: Bei Bestehen wird das ISO 27001-Zertifikat auf Basis von IT-Grundschutz erteilt (Gültigkeit: 3 Jahre)
Überwachungsaudits: Jährliche Überprüfung der Aufrechterhaltung des Sicherheitsniveaus
Re-Zertifizierung: Nach drei Jahren vollständiges Re-Audit erforderlich

Kosten der BSI IT-Grundschutz Zertifizierung

Kostenposition	Kleinunternehmen (bis 50 MA)	Mittelstand (50–250 MA)	Großunternehmen (250+ MA)
Beratung und Vorbereitung	15.000–30.000 €	30.000–60.000 €	60.000–150.000 €
Audit-Gebühren	8.000–15.000 €	15.000–25.000 €	25.000–50.000 €
Technische Maßnahmen	5.000–20.000 €	20.000–50.000 €	50.000–200.000 €
Interne Aufwände	200–400 Personentage	400–800 Personentage	800–2.000 Personentage
Gesamtkosten (extern)	28.000–65.000 €	65.000–135.000 €	135.000–400.000 €

Hinzu kommen jährliche Kosten für die Überwachungsaudits (ca. 5.000–15.000 €) und die Re-Zertifizierung nach drei Jahren.

Testat vs. Zertifikat – Die Unterschiede

Neben dem vollständigen ISO 27001-Zertifikat auf Basis von IT-Grundschutz gibt es auch Auditor-Testate als niedrigschwelligere Nachweise:

Auditor-Testat Basis-Absicherung: Bestätigt die Umsetzung der Basis-Anforderungen – ideal für den Einstieg, niedrigere Kosten (ab ca. 5.000 € Audit-Gebühren)
Auditor-Testat Standard-Absicherung: Bestätigt die vollständige Standard-Absicherung ohne formale BSI-Zertifizierung – guter Mittelweg
ISO 27001-Zertifikat auf Basis von IT-Grundschutz: Höchste Stufe – international anerkannt, ausgestellt vom BSI, erfordert vollständige Umsetzung

BSI IT-Grundschutz für KMU

Viele kleine und mittlere Unternehmen schrecken vor dem BSI Grundschutz zurück, weil sie den Aufwand für zu hoch halten. Doch das BSI hat mit der Basis-Absicherung und dem IT-Grundschutz-Profil speziell Einstiegsmöglichkeiten für KMU geschaffen, die den Aufwand deutlich reduzieren.

Vorteile des BSI IT-Grundschutz für KMU

Klare Handlungsanleitung: Im Gegensatz zur ISO 27001 liefert der IT-Grundschutz konkrete Maßnahmen – ideal für Unternehmen ohne eigene Sicherheitsabteilung
Schrittweiser Einstieg: Mit der Basis-Absicherung beginnen und bei Bedarf schrittweise erweitern
Kostenloser Zugang: Alle BSI-Standards und das gesamte Kompendium sind kostenlos auf der BSI-Website verfügbar
Behördenkonformität: Wer mit öffentlichen Auftraggebern zusammenarbeitet, erfüllt deren Sicherheitsanforderungen
NIS2-Vorbereitung: Die Basis-Absicherung deckt viele NIS2-Anforderungen ab
Wettbewerbsvorteil: Ein BSI-Testat hebt Ihr Unternehmen von Mitbewerbern ab und schafft Vertrauen

Pragmatischer Einstieg für KMU in 5 Schritten

IT-Grundschutz-Profil wählen: Das BSI bietet fertige Profile für verschiedene Organisationstypen (z. B. kleine Unternehmen, Handwerksbetriebe)
Relevante Bausteine identifizieren: Nur die Bausteine anwenden, die für Ihre Organisation und IT-Landschaft tatsächlich relevant sind
Basis-Anforderungen umsetzen: Starten Sie mit den Mindestanforderungen – sie bilden die wichtigste Grundlage
Sicherheitskonzept dokumentieren: Erstellen Sie ein IT-Sicherheitskonzept auf Basis des IT-Grundschutz
Kontinuierlich verbessern: Schrittweise weitere Standard-Anforderungen umsetzen und das Sicherheitsniveau erhöhen

Für wen ist der BSI IT-Grundschutz Pflicht?

Bundesbehörden

Alle Bundesbehörden sind verpflichtet, den BSI IT-Grundschutz anzuwenden. Dies ist im BSI-Gesetz (BSIG) verankert und wird durch den IT-Planungsrat koordiniert.

KRITIS-Betreiber

Betreiber kritischer Infrastrukturen müssen angemessene Sicherheitsmaßnahmen nach dem Stand der Technik nachweisen. Der IT-Grundschutz ist hierfür eine anerkannte Methodik gemäß § 8a BSIG. Betroffen sind unter anderem:

Energieversorger (Strom, Gas, Fernwärme)
Wasserwerke und Abwasserentsorgung
Gesundheitswesen (Krankenhäuser ab 30.000 vollstationären Fällen)
IT- und Telekommunikationsanbieter
Transport und Verkehr (Flughäfen, Bahnen, Häfen)
Finanz- und Versicherungswesen
Ernährungswirtschaft
Siedlungsabfallentsorgung

Landesbehörden und Kommunen

Viele Landesverwaltungen, darunter auch sächsische Behörden und Kommunen, orientieren sich am IT-Grundschutz oder schreiben ihn für ihre Einrichtungen vor. Das Sächsische Informationssicherheitsgesetz (SächsISichG) fordert ein Informationssicherheits-Managementsystem und empfiehlt den BSI IT-Grundschutz als methodische Grundlage.

NIS2-betroffene Unternehmen

Unternehmen, die unter die NIS2-Richtlinie fallen, können den IT Grundschutz als methodische Grundlage für die Erfüllung der vollständigen Cybersicherheitsanforderungen nutzen. Die Basis-Absicherung bietet hierfür einen effizienten Einstieg.

BSI IT-Grundschutz umsetzen – Schritt für Schritt

Phase 1: Initiierung

Managementunterstützung und Budget sichern
Informationssicherheitsbeauftragten benennen
Leitlinie zur Informationssicherheit erstellen und verabschieden
IS-Organisation aufbauen (Rollen, Gremien, Meldewege)

Phase 2: Strukturanalyse

Geschäftsprozesse erfassen und priorisieren
IT-Systeme, Anwendungen und Datenbanken inventarisieren
Netzplan erstellen (Segmente, Übergänge, Schnittstellen)
Räumlichkeiten und physische Infrastruktur dokumentieren

Phase 3: Schutzbedarfsfeststellung

Schutzbedarf für jeden Geschäftsprozess bestimmen (normal, hoch, sehr hoch)
Vererbung des Schutzbedarfs auf IT-Systeme, Anwendungen und Räume
Maximumprinzip und Kumulationseffekte berücksichtigen
Verteilungseffekte bei redundanten Systemen beachten

Phase 4: Modellierung

Relevante IT-Grundschutz-Bausteine den Zielobjekten zuordnen
Soll-Zustand der Sicherheit definieren
Modellierungshinweise des BSI für die korrekte Baustein-Zuordnung beachten

Phase 5: IT-Grundschutz-Check

Soll-Ist-Vergleich für jede einzelne Anforderung durchführen
Umsetzungsgrad dokumentieren (ja, teilweise, nein, entbehrlich)
Defizite und offene Maßnahmen identifizieren

Phase 6: Risikoanalyse (bei erhöhtem Schutzbedarf)

Ergänzende Risikoanalyse nach BSI-Standard 200-3 durchführen
Zusätzliche Gefährdungen identifizieren, die über die Standard-Bausteine hinausgehen
Risiken bewerten (Eintrittswahrscheinlichkeit × Schadenshöhe) und behandeln

Phase 7: Umsetzung und Betrieb

Realisierungsplan erstellen und Maßnahmen nach Dringlichkeit priorisieren
Technische und organisatorische Maßnahmen umsetzen
Mitarbeiter schulen (Security Awareness Schulungen)
Kontinuierliche Verbesserung im PDCA-Zyklus (Plan-Do-Check-Act)

BSI IT-Grundschutz Beratung durch DATUREX GmbH

Die DATUREX GmbH aus Dresden unterstützt Unternehmen und Behörden in ganz Sachsen bei der professionellen Umsetzung des BSI IT-Grundschutz – von der ersten Bestandsaufnahme bis zur erfolgreichen Zertifizierung.

Unsere Leistungen

Gap-Analyse: Bewertung des Ist-Zustands gegen alle relevanten IT-Grundschutz-Anforderungen
Strukturanalyse und Modellierung: Professionelle Erfassung Ihrer IT-Landschaft und Zuordnung der passenden Bausteine
IT-Grundschutz-Check: Systematischer Soll-Ist-Vergleich aller Anforderungen mit Maßnahmenempfehlungen
Risikoanalyse: Ergänzende Analyse für Bereiche mit erhöhtem Schutzbedarf nach BSI-Standard 200-3
Maßnahmenplanung: Priorisierter Umsetzungsplan mit realistischem Zeitrahmen und Budgetschätzung
Dokumentation: Erstellung aller erforderlichen Richtlinien, Konzepte und Verfahrensanweisungen
Zertifizierungsbegleitung: Professionelle Vorbereitung auf das BSI-Audit
Externer ISB: Dauerhafte Übernahme der IT-Sicherheitsbeauftragten-Rolle

Warum DATUREX für IT-Grundschutz?

BSI-zertifizierte und TÜV-geprüfte Berater mit langjähriger Erfahrung
Spezialisierung auf sächsische Behörden, Kommunen und Unternehmen
Erfahrung mit den Schutzzielen der Informationssicherheit in der Praxis
Pragmatischer Ansatz: Aufwand und Nutzen im Gleichgewicht
Kombinierte Expertise in IT-Grundschutz, ISO 27001 und Datenschutz
Persönliche Vor-Ort-Betreuung in Dresden und ganz Sachsen

Häufig gestellte Fragen (FAQ)

Wie lange dauert die Umsetzung des BSI IT-Grundschutz?

Für die Basis-Absicherung rechnen Sie mit 2-4 Monaten, für die Standard-Absicherung mit 12-24 Monaten je nach Organisationsgröße und Komplexität. Die Kern-Absicherung für einzelne kritische Bereiche kann in 6-12 Monaten umgesetzt werden. Ein erfahrener Berater kann den Zeitrahmen erheblich verkürzen.

Was kostet die Umsetzung des IT-Grundschutz?

Die Kosten variieren stark nach Umfang und Ausgangslage. Für ein mittelständisches Unternehmen liegen die Beratungskosten typischerweise bei 20.000 bis 80.000 Euro. Hinzu kommen interne Aufwände und ggf. technische Investitionen. Eine Basis-Absicherung für KMU ist ab ca. 10.000 Euro Beratungskosten realisierbar.

Ist der BSI IT-Grundschutz auch für kleine Unternehmen geeignet?

Ja, insbesondere die Basis-Absicherung ist speziell für den Einstieg konzipiert und erfordert keinen übermäßigen Aufwand. Auch mit dem vereinfachten Vorgehen des IT-Grundschutz-Profils können kleine Unternehmen und Kommunen profitieren. Das BSI stellt zudem kostenlose Hilfsmittel, Checklisten und Mustervorlagen bereit.

Kann ich den IT-Grundschutz nutzen, ohne eine Zertifizierung anzustreben?

Selbstverständlich. Viele Organisationen nutzen den BSI Grundschutz als methodischen Leitfaden ohne Zertifizierungsziel. Die Bausteine und Anforderungen bieten wertvolle Orientierung für die eigene Sicherheitsarbeit und helfen gleichzeitig bei der Erfüllung von Compliance-Anforderungen wie NIS2 oder dem SächsISichG.

Was ist der Unterschied zwischen ISO 27001 und ISO 27001 auf Basis von IT-Grundschutz?

Beide führen zu einem ISO 27001-Zertifikat. Der Unterschied liegt in der Methodik: Die native ISO 27001 erfordert eine eigenständige Risikoanalyse, während die IT-Grundschutz-Variante die BSI-Methodik mit ihren detaillierten Bausteinen und Kreuzreferenztabellen nutzt. Die IT-Grundschutz-Variante ist aufwändiger, bietet dafür aber eine detailliertere und reproduzierbarere Sicherheitsanalyse, die besonders für Behörden und regulierte Branchen Vorteile bietet.

BSI IT-Grundschutz professionell umsetzen

Die DATUREX GmbH begleitet Sie sachsenweit bei der Umsetzung des BSI IT-Grundschutz – von der Gap-Analyse bis zur Zertifizierung.

Kostenlose Erstberatung anfragen

Weitere Leistungen der DATUREX GmbH

Kostenlose Erstberatung

TÜV+BSI zertifizierte Informationssicherheitsexperten. DATUREX GmbH, Dresden.

BSI-Beratung anfragen

Telefon: 0351 / 79593513