IT-Grundschutz-Kompendium – BSI-Standard für Informationssicherheit
Das BSI IT-Grundschutz-Kompendium: Aufbau, Bausteine und praktische Umsetzung für Unternehmen
Das IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist das zentrale Nachschlagewerk für die Umsetzung von Informationssicherheit in deutschen Unternehmen und Behörden. Es enthält über 100 Bausteine mit konkreten Sicherheitsanforderungen für verschiedene IT-Systeme, Anwendungen, Prozesse und Infrastrukturkomponenten.
Im Gegensatz zur abstrakteren ISO 27001 liefert das IT-Grundschutz-Kompendium konkrete, umsetzbare Maßnahmen — von der Konfiguration eines Webservers bis zur Organisation eines Notfallmanagements. Die DATUREX GmbH unterstützt Unternehmen als externer ISB bei der Umsetzung des BSI IT-Grundschutzes.
Aufbau des IT-Grundschutz-Kompendiums
Das Kompendium ist modular aufgebaut und in Prozess- und System-Bausteine gegliedert:
Wir begleiten Sie von der ersten Bestandsaufnahme bis zum erfolgreichen ISO-27001-Zertifikat — inklusive Annex-A-Controls, Gap-Analyse und Audit-Vorbereitung. Zertifizierung ab 15.000 € (KMU), Beratung ab 350 €/Monat.
Prozess-Bausteine (ISMS, Organisation, Betrieb)
- ISMS — Sicherheitsmanagement (ISMS.1), Sicherheitskonzeption, Notfallmanagement
- ORP — Organisation und Personal: Identitätsmanagement, Schulung, Awareness
- CON — Konzepte: Kryptokonzept, Datensicherungskonzept, Softwareentwicklung, Löschkonzept
- OPS — Betrieb: Patch-Management, Schwachstellenmanagement, Protokollierung, Outsourcing
- DER — Detektion und Reaktion: Monitoring, Vorfallbehandlung, Forensik, BCM
System-Bausteine (Technik)
- APP — Anwendungen: E-Mail, Webbrowser, Webserver, Datenbanken, Office, Directory Services
- SYS — IT-Systeme: Windows Server/Client, Linux, macOS, Mobile Devices, Virtualisierung, Container
- NET — Netze und Kommunikation: Netzarchitektur, Firewall, VPN, WLAN
- INF — Infrastruktur: Gebäude, Rechenzentrum, Serverraum, Verkabelung
- IND — Industrielle IT: Operational Technology (OT), Prozessleittechnik
BSI-Standards und IT-Grundschutz
Das IT-Grundschutz-Kompendium wird durch vier BSI-Standards ergänzt:
- BSI-Standard 200-1 — Managementsysteme für Informationssicherheit (ISMS-Anforderungen)
- BSI-Standard 200-2 — IT-Grundschutz-Methodik: Standard-, Basis- und Kernabsicherung
- BSI-Standard 200-3 — Risikoanalyse auf Basis von IT-Grundschutz
- BSI-Standard 200-4 — Business Continuity Management
Die drei Absicherungsstufen
Basis-Absicherung
Schneller Einstieg mit den wichtigsten Grundschutz-Maßnahmen. Geeignet als erster Schritt für Unternehmen ohne bisheriges ISMS. Fokus auf die kritischsten Bausteine.
Standard-Absicherung
Vollständige Umsetzung des IT-Grundschutzes für den gesamten Informationsverbund. Entspricht dem normalen Schutzbedarf und ist Grundlage für die ISO 27001 Zertifizierung auf Basis von IT-Grundschutz.
Kern-Absicherung
Fokussierte Absicherung besonders schützenswerter Geschäftsprozesse und Assets (Kronjuwelen). Besonders geeignet für Unternehmen, die schnell die kritischsten Bereiche absichern müssen.
IT-Grundschutz umsetzen — Vorgehensweise
- Initiierung — Sicherheitsleitlinie erstellen, ISB benennen, Managementunterstützung sichern
- Strukturanalyse — Informationsverbund erfassen: Geschäftsprozesse, IT-Systeme, Netzwerke, Räumlichkeiten
- Schutzbedarfsfeststellung — Schutzbedarf für Vertraulichkeit, Integrität und Verfügbarkeit bestimmen (normal, hoch, sehr hoch)
- Modellierung — Relevante IT-Grundschutz-Bausteine den erfassten Zielobjekten zuordnen
- IT-Grundschutz-Check — Ist-Soll-Vergleich: Welche Anforderungen sind bereits umgesetzt?
- Risikoanalyse — Für Bereiche mit erhöhtem Schutzbedarf: zusätzliche Risikoanalyse nach BSI-Standard 200-3
- Maßnahmenplanung — Priorisierte Umsetzung der identifizierten Defizite
- Umsetzung und Aufrechterhaltung — Maßnahmen implementieren, regelmäßige Überprüfung, kontinuierliche Verbesserung
IT-Grundschutz vs. ISO 27001
| Kriterium | BSI IT-Grundschutz | ISO 27001 |
|---|---|---|
| Herkunft | Deutsch (BSI) | International (ISO/IEC) |
| Detailgrad | Sehr detailliert (konkrete Maßnahmen) | Abstrakt (Controls, keine konkreten Maßnahmen) |
| Zertifizierung | ISO 27001 auf Basis von IT-Grundschutz | ISO 27001 nativ |
| Risikoanalyse | Vereinfacht (Bausteinzuordnung), ergänzt durch 200-3 | Individuelle Risikoanalyse zwingend |
| Aufwand | Höherer initialer Aufwand, dafür konkreter | Geringerer initialer Aufwand, mehr Spielraum |
| Ideal für | Deutsche Behörden, KRITIS, KMU mit wenig Erfahrung | Internationale Unternehmen, exportorientiert |
Wichtige Bausteine im Detail
ISMS.1 — Sicherheitsmanagement
Der zentrale Baustein für den Aufbau und Betrieb eines Informationssicherheitsmanagementsystems. Er fordert die Benennung eines Informationssicherheitsbeauftragten, die Erstellung einer Sicherheitsleitlinie, die Einbindung der Leitungsebene und den Aufbau einer Sicherheitsorganisation. Dieser Baustein ist für jedes Unternehmen verpflichtend, das IT-Grundschutz umsetzen möchte.
OPS.1.1.3 — Patch- und Änderungsmanagement
Dieser Baustein regelt den strukturierten Umgang mit Software-Updates und Konfigurationsänderungen. Er fordert unter anderem die zeitnahe Bewertung und Installation von Sicherheitsupdates, eine Testumgebung für kritische Patches, Rollback-Konzepte und die Dokumentation aller Änderungen. Patch Management ist eine der effektivsten Maßnahmen gegen Cyberangriffe.
DER.2.1 — Behandlung von Sicherheitsvorfällen
Definiert Anforderungen an die Erkennung, Analyse, Eindämmung und Nachbereitung von Sicherheitsvorfällen. Fordert einen dokumentierten Incident-Response-Plan, definierte Meldewege, forensische Fähigkeiten und die systematische Auswertung von Vorfällen zur Verbesserung der Sicherheitsmaßnahmen.
CON.1 — Kryptokonzept
Regelt den Einsatz kryptographischer Verfahren zum Schutz von Vertraulichkeit, Integrität und Authentizität. Umfasst die Auswahl geeigneter Algorithmen, Schlüsselmanagement, Zertifikatsmanagement und die regelmäßige Überprüfung der eingesetzten Kryptographie auf Aktualität.
IT-Grundschutz für KMU — Praktische Umsetzung
Für kleine und mittelständische Unternehmen kann der Umfang des IT-Grundschutz-Kompendiums zunächst überwältigend wirken. Ein pragmatischer Ansatz für KMU:
Schritt 1: Basis-Absicherung als Einstieg
Beginnen Sie mit der Basis-Absicherung und konzentrieren Sie sich auf die Bausteine mit dem höchsten Sicherheitsgewinn: Sicherheitsmanagement (ISMS.1), Patch-Management (OPS.1.1.3), Virenschutz (OPS.1.1.4), Datensicherung (CON.3) und Sensibilisierung der Mitarbeiter (ORP.3).
Schritt 2: Informationsverbund eingrenzen
Definieren Sie den Informationsverbund zunächst eng — zum Beispiel nur die geschäftskritischen Systeme und Prozesse. Eine vollständige Erfassung aller IT-Systeme kann schrittweise erweitert werden. Dieser fokussierte Ansatz macht die Umsetzung auch mit begrenzten Ressourcen möglich.
Schritt 3: Externer ISB als Ressource
KMU verfügen selten über die Ressourcen für einen internen Informationssicherheitsbeauftragten. Ein externer ISB bringt das notwendige Fachwissen mit und kann die IT-Grundschutz-Umsetzung effizient begleiten, ohne dass eine Vollzeitstelle geschaffen werden muss.
IT-Grundschutz und Zertifizierung
Eine Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz bietet gegenüber der nativen ISO 27001-Zertifizierung einige Besonderheiten:
- Höheres Vertrauen — Die BSI-Zertifizierung prüft nicht nur das Managementsystem, sondern auch die konkrete Umsetzung technischer Maßnahmen
- Detaillierter Auditumfang — Auditoren prüfen die Umsetzung der einzelnen Bausteine und deren Anforderungen im Detail
- Anerkennung bei Behörden — Für Unternehmen, die mit deutschen Behörden zusammenarbeiten, wird die IT-Grundschutz-Zertifizierung oft bevorzugt oder gefordert
- KRITIS-Relevanz — Betreiber kritischer Infrastrukturen können über die IT-Grundschutz-Zertifizierung ihre Pflichten nach dem IT-Sicherheitsgesetz nachweisen
- Zertifizierungsprozess — Phase 1 (Dokumentenprüfung), Phase 2 (Vor-Ort-Audit), jährliche Überwachungsaudits, Rezertifizierung nach drei Jahren
IT-Grundschutz Edition 2023
Das BSI aktualisiert das IT-Grundschutz-Kompendium jährlich. Die Edition 2023 umfasst wesentliche Neuerungen:
- Neue Bausteine — Ergänzungen in den Bereichen Cloud-Sicherheit, Container-Virtualisierung und mobile Geräte
- Anpassung an aktuelle Bedrohungen — Berücksichtigung von Ransomware-Szenarien, Supply-Chain-Angriffen und KI-bezogenen Risiken
- Harmonisierung mit NIS2 — Mapping der IT-Grundschutz-Anforderungen auf die NIS2-Richtlinie
- Vereinfachte Umsetzungshilfen — Verbesserte Kreuzreferenztabellen und Umsetzungshinweise
IT-Grundschutz-Profile
IT-Grundschutz-Profile sind vorgefertigte Absicherungspakete für bestimmte Anwendungsbereiche. Sie vereinfachen die Umsetzung erheblich, weil die Modellierung und Bausteinauswahl bereits vorgegeben ist:
- Profil für Kommunalverwaltungen — Zugeschnitten auf die IT-Landschaft von Städten und Gemeinden
- Profil für Handwerksbetriebe — Einstiegsfreundliches Profil für kleine Handwerksunternehmen mit typischer IT-Ausstattung
- Profil für den Hochschulbereich — Berücksichtigt die besonderen Anforderungen von Forschung und Lehre
- Profil für Reedereien — Spezialprofil für die maritime Wirtschaft
Unternehmen können auch eigene Profile erstellen und veröffentlichen, um branchenspezifische Best Practices zu teilen.
Werkzeuge für die IT-Grundschutz-Umsetzung
Verschiedene Software-Tools unterstützen bei der systematischen Umsetzung des IT-Grundschutzes:
- ISMS-Tool (verinice) — Open-Source ISMS-Tool mit spezieller IT-Grundschutz-Unterstützung. Ermöglicht Modellierung, IT-Grundschutz-Check und Risikoanalyse in einer integrierten Umgebung
- HiScout GRC — Kommerzielles GRC-Tool mit vollständiger IT-Grundschutz-Integration und automatisierter Bausteinzuordnung
- CISIS12 — Speziell für KMU entwickeltes Vorgehensmodell, das als Brücke zwischen einfacher Checkliste und vollständigem IT-Grundschutz dient
- BSI IT-Grundschutz-Webkurs — Kostenloser Online-Kurs des BSI zum Einstieg in die IT-Grundschutz-Methodik
IT-Grundschutz und NIS2
Die NIS2-Richtlinie fordert von betroffenen Unternehmen die Umsetzung angemessener Cybersicherheitsmaßnahmen. Das BSI hat explizit bestätigt, dass der IT-Grundschutz als Umsetzungsgrundlage für NIS2-Anforderungen geeignet ist. Ein nach IT-Grundschutz aufgebautes Sicherheitskonzept deckt die wesentlichen NIS2-Anforderungen ab:
- Risikomanagement und Sicherheitskonzepte (Art. 21 Abs. 2 lit. a)
- Bewältigung von Sicherheitsvorfällen und Incident Response (Art. 21 Abs. 2 lit. b)
- Aufrechterhaltung des Betriebs und Krisenmanagement (Art. 21 Abs. 2 lit. c)
- Sicherheit der Lieferkette (Art. 21 Abs. 2 lit. d)
- Zugangs- und Zugriffskontrollen sowie Passwort-Sicherheit (Art. 21 Abs. 2 lit. i/j)
Häufig gestellte Fragen (FAQ)
Wie lange dauert die Umsetzung von IT-Grundschutz?
Die Dauer hängt stark von der Größe des Informationsverbunds und dem Ausgangszustand ab. Für ein mittelständisches Unternehmen mit 50-200 Mitarbeitern ist die Basis-Absicherung in etwa 3-6 Monaten umsetzbar. Die vollständige Standard-Absicherung mit Zertifizierungsvorbereitung dauert typischerweise 12-18 Monate.
Was kostet die Umsetzung von IT-Grundschutz?
Die Kosten setzen sich aus externer Beratung, internen Personalkosten und ggf. technischen Investitionen zusammen. Für KMU liegen die externen Beratungskosten für die Basis-Absicherung typischerweise bei 10.000-30.000 Euro. Eine vollständige Standard-Absicherung mit Zertifizierung kann 50.000-150.000 Euro kosten, je nach Umfang und Ausgangslage.
Kann ich IT-Grundschutz und ISO 27001 kombinieren?
Ja, das ist sogar der empfohlene Ansatz. Die ISO 27001-Zertifizierung auf Basis von IT-Grundschutz kombiniert die internationale Anerkennung der ISO 27001 mit der konkreten Maßnahmenorientierung des IT-Grundschutzes. Ein nach IT-Grundschutz aufgebautes ISMS erfüllt automatisch die ISO 27001-Anforderungen.
Typische Herausforderungen bei der IT-Grundschutz-Umsetzung
Aus der Beratungspraxis der DATUREX GmbH kennen wir die häufigsten Herausforderungen, mit denen Unternehmen bei der IT-Grundschutz-Umsetzung konfrontiert werden:
- Umfang und Komplexität — Das IT-Grundschutz-Kompendium mit über 100 Bausteinen kann überwältigend wirken. Der Schlüssel liegt in der schrittweisen Umsetzung mit klarer Priorisierung — nicht alles muss auf einmal umgesetzt werden
- Ressourcenmangel — Gerade KMU verfügen selten über dedizierte IT-Sicherheitsspezialisten. Ein externer Informationssicherheitsbeauftragter kann diese Lücke effizient schließen und das notwendige Fachwissen einbringen
- Dokumentationsaufwand — IT-Grundschutz erfordert eine vollständige Dokumentation von Sicherheitsmaßnahmen, Prozessen und Verantwortlichkeiten. ISMS-Tools wie verinice oder HiScout automatisieren einen großen Teil dieses Aufwands und reduzieren den manuellen Dokumentationsaufwand erheblich
- Aktualisierung und Pflege — Die IT-Landschaft und Bedrohungslage ändern sich ständig. Das IT-Grundschutz-Konzept muss regelmäßig aktualisiert und an neue Bausteinversionen, geänderte Anforderungen und veränderte IT-Infrastruktur angepasst werden. Ein jährlicher Review-Zyklus ist empfehlenswert
- Management-Buy-in — Ohne aktive Unterstützung der Geschäftsführung scheitert die IT-Grundschutz-Umsetzung regelmäßig. Die Leitungsebene muss Ressourcen bereitstellen und die Informationssicherheit als strategisches Thema behandeln, nicht nur als technische Aufgabe der IT-Abteilung
DATUREX GmbH — IT-Grundschutz Beratung
- IT-Grundschutz Einstieg — Basis-Absicherung als schneller erster Schritt
- Strukturanalyse — Erfassung des Informationsverbunds und Schutzbedarfsfeststellung
- Modellierung — Zuordnung der relevanten Bausteine zu Ihren Zielobjekten
- IT-Grundschutz-Check — Ist-Soll-Vergleich mit konkretem Maßnahmenkatalog
- Zertifizierungsbegleitung — Vorbereitung auf ISO 27001 auf Basis von IT-Grundschutz
- Laufende Betreuung — Externer ISB für kontinuierliche IT-Grundschutz-Pflege