Der IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist das zentrale Rahmenwerk für Informationssicherheit in Deutschland. Er bietet Unternehmen, Behörden und Organisationen eine systematische Methodik, um IT-Systeme und Geschäftsprozesse wirksam gegen Cyberbedrohungen zu schützen. In diesem vollständigen Leitfaden erfahren Sie alles über die BSI-Standards, das IT-Grundschutz-Kompendium, Zertifizierungswege und die praktische Umsetzung — insbesondere für kleine und mittlere Unternehmen.

1. Was ist IT-Grundschutz? — Die BSI-Definition

Der BSI IT-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik entwickeltes Konzept, das Organisationen dabei unterstützt, ein angemessenes Sicherheitsniveau für ihre Informationstechnik zu erreichen. Im Kern verfolgt der IT-Grundschutz einen umfassenden Ansatz: Er betrachtet nicht nur technische Maßnahmen, sondern bezieht auch organisatorische, personelle und infrastrukturelle Aspekte der Informationssicherheit ein.

Das Besondere am IT-Grundschutz ist die Katalogisierung bewährter Sicherheitsmaßnahmen. Statt für jedes System eine individuelle Risikoanalyse durchzuführen, stellt das BSI vorgefertigte Sicherheitsanforderungen bereit, die auf typische IT-Umgebungen zugeschnitten sind. Dadurch wird der Aufwand für die Implementierung eines Informationssicherheits-Managementsystems (ISMS) erheblich reduziert.

Die drei wesentlichen Schutzziele der Informationssicherheit — Vertraulichkeit, Integrität und Verfügbarkeit — bilden die Grundlage des gesamten IT-Grundschutz-Frameworks. Jede Sicherheitsmaßnahme im Kompendium dient dem Schutz mindestens eines dieser Ziele.

2. Die BSI-Standards im Überblick

Das BSI hat vier zentrale Standards veröffentlicht, die gemeinsam das methodische Fundament des IT-Grundschutzes bilden. Diese Standards beschreiben, wie ein ISMS aufgebaut, gepflegt und weiterentwickelt werden soll.

BSI-Standard 200-1: Managementsysteme für Informationssicherheit

Der BSI-Standard 200-1 definiert die allgemeinen Anforderungen an ein ISMS. Er beschreibt, welche Komponenten ein funktionierendes Managementsystem umfassen muss — von der Leitlinie zur Informationssicherheit über die Sicherheitsorganisation bis hin zum kontinuierlichen Verbesserungsprozess. Der Standard ist kompatibel zur ISO 27001 und erweitert deren Anforderungen um praxisnahe Empfehlungen.

BSI-Standard 200-2: IT-Grundschutz-Methodik

Der BSI-Standard 200-2 ist das Herzstück der IT-Grundschutz-Methodik. Er beschreibt drei Vorgehensweisen zur Umsetzung des IT-Grundschutzes: die Basis-Absicherung, die Standard-Absicherung und die Kern-Absicherung. Für jede Vorgehensweise legt der Standard fest, welche Schritte in welcher Reihenfolge durchzuführen sind — von der Strukturanalyse über die Modellierung bis zur Umsetzungsplanung.

BSI-Standard 200-3: Risikomanagement

Der BSI-Standard 200-3 ergänzt die IT-Grundschutz-Methodik um ein systematisches Risikomanagement. Er kommt insbesondere dann zum Einsatz, wenn die Standard-Anforderungen des Kompendiums nicht ausreichen — etwa bei erhöhtem Schutzbedarf oder bei Systemen, die nicht durch vorhandene BSI-Bausteine abgedeckt werden. Der Standard beschreibt die Gefährdungsanalyse, Risikobewertung und Risikobehandlung.

BSI-Standard 200-4: Business Continuity Management

Der BSI-Standard 200-4 widmet sich dem Notfallmanagement und der Geschäftskontinuität. Er bietet einen praxisorientierten Einstieg in das Business Continuity Management (BCM) und beschreibt, wie Organisationen sich auf Notfälle und Krisen vorbereiten können. Dieser Standard ergänzt den IT-Grundschutz um die Fähigkeit, auch bei schwerwiegenden Sicherheitsvorfällen den Geschäftsbetrieb aufrechtzuerhalten.

3. IT-Grundschutz-Kompendium und BSI-Bausteine

Das IT-Grundschutz-Kompendium ist die zentrale Sammlung aller Sicherheitsanforderungen und bildet das operative Werkzeug für die Umsetzung des IT-Grundschutzes. Es wird jährlich vom BSI aktualisiert und enthält die sogenannten BSI-Bausteine — modulare Sicherheitsanforderungen für typische Prozesse, Systeme und Anwendungen.

Die BSI-Bausteine sind in zehn Schichten organisiert:

• ISMS — Sicherheitsmanagement und Organisation
• ORP — Organisation und Personal
• CON — Konzepte und Vorgehensweisen (z. B. Datensicherung, Kryptografie)
• OPS — Betrieb (z. B. Patch-Management, Protokollierung)
• DER — Detektion und Reaktion auf Sicherheitsvorfälle
• APP — Anwendungen (z. B. E-Mail, Webserver, Datenbanken)
• SYS — IT-Systeme (z. B. Server, Clients, mobile Geräte)
• IND — Industrielle IT und Operational Technology
• NET — Netze und Kommunikation
• INF — Infrastruktur (z. B. Serverraum, Rechenzentrum)

Jeder Baustein enthält eine Beschreibung der Gefährdungslage sowie konkrete Basis- und Standard-Anforderungen. Zusätzlich werden Anforderungen bei erhöhtem Schutzbedarf formuliert. Diese Struktur ermöglicht es Organisationen, gezielt die für sie relevanten Bausteine auszuwählen und umzusetzen.

4. IT-Grundschutz-Vorgehensweise: Basis, Standard, Kern

Der BSI-Standard 200-2 definiert drei Vorgehensweisen, die sich in Umfang, Tiefe und Aufwand unterscheiden. Die Wahl der geeigneten Vorgehensweise hängt von der Größe der Organisation, dem Schutzbedarf und den verfügbaren Ressourcen ab.

Basis-Absicherung

Die Basis-Absicherung ist der Einstieg in den IT-Grundschutz. Sie konzentriert sich auf die Umsetzung der Basis-Anforderungen aller relevanten Bausteine. Ziel ist es, mit überschaubarem Aufwand ein grundsätzliches Sicherheitsniveau zu erreichen. Die Basis-Absicherung eignet sich besonders für Organisationen, die erstmals ein ISMS aufbauen oder über begrenzte Ressourcen verfügen.

Standard-Absicherung

Die Standard-Absicherung geht über die Basis-Absicherung hinaus und umfasst sowohl Basis- als auch Standard-Anforderungen. Sie bietet ein vollständiges Sicherheitsniveau und ist die Voraussetzung für eine ISO-27001-Zertifizierung auf Basis von IT-Grundschutz. Organisationen, die ein vollständiges ISMS betreiben möchten, sollten die Standard-Absicherung anstreben.

Kern-Absicherung

Die Kern-Absicherung konzentriert sich auf besonders schützenswerte Geschäftsprozesse und Assets — die sogenannten „Kronjuwelen“ einer Organisation. Statt den gesamten Informationsverbund abzusichern, werden gezielt die kritischsten Bereiche mit erhöhtem Schutzbedarf behandelt. Diese Vorgehensweise eignet sich als Ergänzung oder als priorisierter Einstieg für Organisationen mit begrenztem Budget.

5. IT-Grundschutz vs. ISO 27001 — Unterschiede und Gemeinsamkeiten

Die Frage, ob IT-Grundschutz oder ISO 27001 die bessere Wahl ist, stellen sich viele Unternehmen. Tatsächlich schließen sich beide Ansätze nicht aus — im Gegenteil: Der IT-Grundschutz ist vollständig kompatibel zur ISO 27001.

Fazit: Für Unternehmen, die primär in Deutschland tätig sind und einen detaillierten Umsetzungsleitfaden benötigen, bietet der IT-Grundschutz erhebliche Vorteile. International agierende Unternehmen profitieren von der globalen Anerkennung der ISO 27001. Eine Kombination beider Ansätze ist über die BSI-Zertifizierung „ISO 27001 auf Basis von IT-Grundschutz“ möglich.

6. IT-Grundschutz-Zertifizierung — Ablauf und Voraussetzungen

Die IT-Grundschutz-Zertifizierung bescheinigt einer Organisation, dass ihr ISMS den Anforderungen der ISO 27001 in Verbindung mit dem IT-Grundschutz entspricht. Das BSI selbst fungiert als Zertifizierungsstelle und vergibt das Zertifikat „ISO 27001 auf Basis von IT-Grundschutz“.

Voraussetzungen für die Zertifizierung

• Vollständige Umsetzung der Standard-Absicherung nach BSI-Standard 200-2
• Dokumentiertes ISMS mit aktueller Sicherheitsleitlinie
• Durchführung interner Audits und Managementbewertungen
• Mindestens ein vollständiger PDCA-Zyklus (Plan-Do-Check-Act)
• Aktuelle Strukturanalyse und Modellierung nach IT-Grundschutz-Kompendium

Der Zertifizierungsprozess

1. Vorbereitung: Aufbau des ISMS, Durchführung der Strukturanalyse, Modellierung und Umsetzung der Sicherheitsmaßnahmen
2. Antragstellung: Einreichung des Zertifizierungsantrags beim BSI
3. Dokumentenprüfung: Ein vom BSI zertifizierter Auditor prüft die Dokumentation
4. Vor-Ort-Audit: Prüfung der tatsächlichen Umsetzung vor Ort
5. Zertifikatserteilung: Bei positivem Ergebnis erteilt das BSI das Zertifikat (Gültigkeit: 3 Jahre)
6. Überwachungsaudits: Jährliche Überprüfungen während der Gültigkeitsdauer

Auch ohne formale Zertifizierung bietet die Orientierung am IT-Grundschutz erhebliche Vorteile. Viele Organisationen nutzen das Framework als internen Leitfaden und verzichten bewusst auf die Zertifizierung — etwa aus Kostengründen oder weil keine regulatorische Pflicht besteht.

7. IT-Grundschutz für KMU — Einstieg und Umsetzung

Kleine und mittlere Unternehmen (KMU) stehen bei der Umsetzung des IT-Grundschutzes vor besonderen Herausforderungen: begrenzte personelle Ressourcen, fehlendes Spezialwissen und knappe Budgets. Dennoch ist der IT-Grundschutz auch für KMU ein geeignetes Framework — wenn die richtige Vorgehensweise gewählt wird.

Empfohlene Schritte für KMU

1. Bestandsaufnahme: Erfassen Sie alle IT-Systeme, Anwendungen und Geschäftsprozesse in Ihrem Unternehmen
2. Basis-Absicherung starten: Beginnen Sie mit der Basis-Absicherung — sie bietet den schnellsten Weg zu einem grundsätzlichen Sicherheitsniveau
3. Relevante Bausteine auswählen: Konzentrieren Sie sich auf die Bausteine, die Ihre tatsächliche IT-Landschaft abbilden
4. Schrittweise erweitern: Bauen Sie das Sicherheitsniveau sukzessive aus — von der Basis- zur Standard-Absicherung
5. Externe Unterstützung nutzen: Ein erfahrener Informationssicherheitsbeauftragter kann den Einstieg erheblich beschleunigen

Insbesondere Unternehmen, die unter die NIS2-Richtlinie fallen oder als KRITIS-Betreiber eingestuft werden, profitieren von der strukturierten Herangehensweise des IT-Grundschutzes. Die Anforderungen der NIS2-Richtlinie lassen sich durch den IT-Grundschutz systematisch und nachweisbar erfüllen.

Typische Stolpersteine vermeiden

• Zu viel auf einmal: Starten Sie pragmatisch mit der Basis-Absicherung statt sofort die Standard-Absicherung anzustreben
• Nur Technik im Fokus: Vergessen Sie nicht die organisatorischen und personellen Maßnahmen
• Fehlende Managementunterstützung: Ohne Rückhalt der Geschäftsführung scheitern ISMS-Projekte regelmäßig
• Dokumentation vernachlässigen: Lückenhafte Dokumentation ist einer der häufigsten Mängel bei Audits

8. Der Informationssicherheitsbeauftragte im IT-Grundschutz

Im Rahmen des IT-Grundschutzes nimmt der Informationssicherheitsbeauftragte (ISB) eine zentrale Rolle ein. Er ist verantwortlich für den Aufbau, die Pflege und die Weiterentwicklung des ISMS und fungiert als zentraler Ansprechpartner für alle Fragen der Informationssicherheit.

Zu seinen Kernaufgaben im Kontext des IT-Grundschutzes gehören:

• Steuerung des Sicherheitsprozesses gemäß BSI-Standard 200-1
• Durchführung der Strukturanalyse und Schutzbedarfsfeststellung
• Modellierung des Informationsverbunds nach IT-Grundschutz-Kompendium
• Planung und Überwachung der Maßnahmenumsetzung
• Durchführung interner Audits und Berichterstattung an die Geschäftsleitung
• Sensibilisierung und Schulung der Mitarbeiter
• Koordination bei Sicherheitsvorfällen

Gerade für KMU, die keinen Vollzeit-ISB beschäftigen können, bietet sich die Bestellung eines externen Informationssicherheitsbeauftragten an. Dieser bringt die erforderliche Expertise im IT-Grundschutz mit und kann das Unternehmen flexibel und kosteneffizient unterstützen. Mehr über das Tätigkeitsprofil erfahren Sie im Artikel zu den Aufgaben des ISB.

Häufig gestellte Fragen zum IT-Grundschutz

Sie möchten ein Informationssicherheits-Managementsystem nach ISO 27001 aufbauen oder zertifizieren? Unsere Spezialisten begleiten Sie von der Gap-Analyse bis zum Audit.