Was ist IT-Grundschutz? Der deutsche Weg zum ISMS
Was ist BSI IT-Grundschutz? IT-Grundschutz ist die Methodik des BSI für den Aufbau und Betrieb eines Informationssicherheits-Managementsystems. Sie liefert mit BSI-Standards und dem IT-Grundschutz-Kompendium (aktuell Edition 2023) konkrete Bausteine und Anforderungen, statt nur abstrakte Ziele zu formulieren. IT-Grundschutz ist kompatibel zur ISO/IEC 27001:2022 und lässt sich als ISO 27001 auf Basis von IT-Grundschutz zertifizieren.
Das Wichtigste in Kürze
- Was es ist: Eine praxisnahe Methodik des BSI, die den Weg zu einem ISMS mit fertigen Bausteinen und Prüffragen vorzeichnet.
- Kernbausteine: Die BSI-Standards 200-1 bis 200-4 und das IT-Grundschutz-Kompendium mit Bausteinen für Technik, Organisation und Prozesse.
- Wann sinnvoll: Wenn ein Unternehmen konkrete Handlungsanleitung statt reiner Zieldefinition braucht, besonders im DACH- und Behördenumfeld.
Wie IT-Grundschutz aufgebaut ist
Den Rahmen bilden die BSI-Standards. Der Standard 200-1 beschreibt die allgemeinen Anforderungen an ein ISMS. Der Standard 200-2 legt die Vorgehensweise fest und bietet drei Absicherungsarten an: Basis-Absicherung für einen schnellen Einstieg, Standard-Absicherung für den umfassenden Schutz und Kern-Absicherung für die wichtigsten Werte zuerst. Der Standard 200-3 deckt die Risikoanalyse ab, der Standard 200-4 das Business Continuity Management.
Das Herzstück ist das IT-Grundschutz-Kompendium in der Edition 2023. Es bündelt über 100 Bausteine in zehn Schichten für Themen wie Server, Netze, Anwendungen und organisatorische Abläufe. Jeder Baustein nennt typische Gefährdungen und konkrete Anforderungen. Genau diese Konkretheit unterscheidet den deutschen Weg von einer reinen Zielnorm.
Die vier BSI-Standards bilden das methodische Gerüst des IT-Grundschutzes von ISMS bis Notfallmanagement
Quelle: BSI
Wie ein Projekt in der Praxis abläuft
Am Anfang steht die Strukturanalyse: Welche Geschäftsprozesse, Anwendungen, Systeme und Räume gehören zum Informationsverbund? Darauf folgt die Schutzbedarfsfeststellung, die jedem Objekt einen Schutzbedarf von normal über hoch bis sehr hoch zuordnet. Der Schutzbedarf steuert, wie tief die Absicherung gehen muss.
Anschließend werden die passenden Bausteine des Kompendiums zugeordnet und ihre Anforderungen umgesetzt. Ein Soll-Ist-Abgleich zeigt die Lücken. Für Bereiche mit hohem oder sehr hohem Schutzbedarf ergänzt eine Risikoanalyse nach Standard 200-3 die Basis. Das Ergebnis ist ein nachvollziehbarer, prüfbarer Sicherheitsstand.
Der Einstieg in IT-Grundschutz
- ✓Informationsverbund und Geltungsbereich klar abgrenzen
- ✓Mit der Basis-Absicherung starten, um früh Wirkung zu zeigen
- ✓Schutzbedarf je Prozess und System sauber feststellen
- ✓Bausteine des Kompendiums zuordnen und Umsetzung dokumentieren
IT-Grundschutz oder ISO 27001
Die beiden Ansätze stehen nicht im Widerspruch. ISO/IEC 27001:2022 ist die internationale Norm für ISMS und stark verbreitet. Sie formuliert Ziele und überlässt die konkrete Ausgestaltung dem Unternehmen. IT-Grundschutz liefert die fehlende Bauanleitung dazu und führt über die Zertifizierung ISO 27001 auf Basis von IT-Grundschutz beide Welten zusammen.
Wer international auftritt und maximale Flexibilität will, wählt oft die reine ISO 27001. Wer konkrete Vorgaben, Behördennähe oder eine belastbare Referenz im DACH-Raum braucht, findet im IT-Grundschutz den pragmatischeren Weg. Beide führen zu einem zertifizierbaren Managementsystem.
Die häufigsten Stolpersteine
Der häufigste Fehler ist ein zu weit gefasster Geltungsbereich. Wer den gesamten Konzern auf einmal absichern will, verliert sich in Komplexität, bevor die erste Maßnahme greift. Der IT-Grundschutz bietet mit der Kern-Absicherung bewusst einen Weg, zuerst die wichtigsten Werte zu schützen und den Umfang später auszubauen.
Ein zweiter Stolperstein ist die Dokumentation. IT-Grundschutz lebt von nachvollziehbaren Entscheidungen, doch in der Praxis wird die Pflege oft vernachlässigt, sobald der erste Aufbau steht. Ein ISMS ist ein laufender Betrieb, der regelmäßige Reviews und einen klaren Verantwortlichen braucht. Nur so bleibt der Sicherheitsstand aktuell, statt mit der Zeit zu veralten.
Werkzeuge und der Weg zur Zertifizierung
Für die Umsetzung stehen Werkzeuge bereit, die den Informationsverbund, die Bausteine und den Soll-Ist-Abgleich verwalten. Sie nehmen einem Team die aufwendige Buchführung ab und halten den Stand der Umsetzung nachvollziehbar. Gerade bei größeren Verbünden ist eine solche Unterstützung der Unterschied zwischen einem gepflegten und einem verwaisten ISMS.
Am Ende steht auf Wunsch die Zertifizierung. Sie erfolgt durch beim BSI zertifizierte Auditoren, die den Sicherheitsstand unabhängig prüfen. Das ISO-27001-Zertifikat auf Basis von IT-Grundschutz ist ein belastbarer Nachweis gegenüber Kunden, Partnern und Aufsichtsbehörden. Die Basis-Absicherung endet beim BSI-Testat, das vollständige Zertifikat erfordert ein Auditor-Audit mit Entscheidung durch das BSI. Der Weg dorthin zwingt zu der Sorgfalt, die ein wirksames Sicherheitsmanagement ohnehin braucht.
Häufige Fragen
Jede Frage ist verschlossen. Ein Tippen entriegelt die Antwort.
Ist IT-Grundschutz Pflicht?
Nicht generell. Für Bundesbehörden ist er weitgehend verbindlich. Unternehmen wählen ihn freiwillig, oft weil er als Umsetzungsweg für ISO 27001 oder als Nachweis im KRITIS-Umfeld dient.
Was kostet der Einstieg?
Der Aufwand hängt vom Geltungsbereich ab. Die Basis-Absicherung senkt die Einstiegshürde bewusst, weil sie zunächst die wichtigsten Anforderungen abdeckt und den vollständigen Ausbau später zulässt.
Was ist die Schutzbedarfsfeststellung?
Ein Schritt, der jedem Objekt im Informationsverbund einen Schutzbedarf zuordnet: normal, hoch oder sehr hoch. Er steuert, wie intensiv die Sicherheitsmaßnahmen ausfallen müssen.
Ersetzt IT-Grundschutz die ISO 27001?
Nein, er ergänzt sie. Über die Zertifizierung ISO 27001 auf Basis von IT-Grundschutz lassen sich die konkreten Bausteine mit der international anerkannten Norm verbinden.
Wie aktuell ist das Kompendium?
Aktuell gilt die Edition 2023 des IT-Grundschutz-Kompendiums (Stand BSI). Das BSI pflegt die Bausteine regelmäßig weiter, damit sie mit der technischen Entwicklung Schritt halten.
Lesetipps der Redaktion
LesetippDas Klumpenrisiko, das kein Lieferanten-Audit siehtLesetippDer schwächste Zulieferer öffnet die kritische AnlageLesetippWelche Entscheidungsrechte des CISO schriftlich geregelt sein müssen
Mehr aus dem MBF Media Netzwerk
cloudmagazinFlexera 2026: Was der Mittelstand wirklich übernehmen kannMyBusinessFutureDigitaler Produktpass: Was Hersteller tun müssenDigital ChiefsSouveräne KI: die Verantwortung bleibt im Haus





