Zum Inhalt springen

GlossarDefinition

Was ist BSI IT-Grundschutz?

Zuletzt aktualisiert:

Kurz erklärt: BSI IT-Grundschutz ist die deutsche Methodik für ein Informationssicherheits-Managementsystem. Sie besteht aus den BSI-Standards 200-1 bis 200-4 und dem IT-Grundschutz-Kompendium mit aktuell ca. 100 Bausteinen für typische IT-Komponenten und Prozesse. Drei Vorgehensweisen — Basis-, Standard- und Kern-Absicherung — erlauben eine schrittweise Implementierung. Eine Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz ist möglich und in der deutschen Verwaltung der Standard.

BSI IT-Grundschutz ist die deutsche Methodik des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum Aufbau und Betrieb eines Informationssicherheits-Managementsystems. Anders als die international standardisierte ISO 27001 kombiniert IT-Grundschutz einen Methoden-Rahmen mit einem detaillierten Baustein-Katalog, der für typische IT-Komponenten und Prozesse konkrete Anforderungen vorgibt. Wie ein ISMS praktisch entsteht, zeigt der Ratgeber ISMS aufbauen.

Foundational Facts

  • Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI)
  • Status: öffentlich und kostenlos verfügbar
  • Methodische Standards: BSI-Standards 200-1, 200-2, 200-3, 200-4
  • Maßnahmen-Katalog: IT-Grundschutz-Kompendium (jährliche Aktualisierung, aktuell ca. 100 Bausteine)
  • Zertifizierung möglich: ISO 27001 auf Basis von IT-Grundschutz (vom BSI lizenziert)

Die BSI-Standards 200-1 bis 200-4

Der methodische Kern des IT-Grundschutzes besteht aus vier Standards:

BSI-Standard 200-1 — Managementsysteme für Informationssicherheit (ISMS)

Beschreibt die Anforderungen an ein ISMS — funktional vergleichbar mit der Hauptnorm der ISO 27001. Themen sind Leitungsaufgaben, Sicherheitsleitlinie, Sicherheitsorganisation, Awareness, Dokumentation und kontinuierliche Verbesserung.

BSI-Standard 200-2 — IT-Grundschutz-Methodik

Beschreibt die praktische Anwendung — wie aus den Bausteinen ein konkreter Schutzplan wird. Definiert die drei Vorgehensweisen (Basis-, Standard-, Kern-Absicherung) und führt durch Strukturanalyse, Schutzbedarfsfeststellung, Modellierung und Sicherheitskonzept.

BSI-Standard 200-3 — Risikomanagement

Beschreibt das Risikomanagement im IT-Grundschutz-Kontext. Ergänzt die Standard-Bausteine um eine ergänzende Risikoanalyse, wenn der Schutzbedarf besonders hoch ist oder atypische Konstellationen vorliegen. Arbeitet mit dem Konzept der „elementaren Gefährdungen” (47 typische Bedrohungen).

BSI-Standard 200-4 — Business Continuity Management

Beschreibt den Aufbau eines BCM-Systems (BCMS) — ergänzt seit 2023 den klassischen IT-Grundschutz um den Aspekt der Geschäfts-Kontinuität nach BSI-Auffassung.

Die drei Vorgehensweisen

BSI-Standard 200-2 definiert drei aufeinander aufbauende Vorgehensweisen:

Basis-Absicherung

  • Ziel: schnelle, breite Grundabsicherung
  • Vorgehen: nur Basis-Anforderungen aus den relevanten Bausteinen umsetzen
  • Geeignet für: Unternehmen am Beginn, KMU mit begrenzten Ressourcen
  • Zertifizierung: keine ISO-27001-Zertifizierung möglich

Standard-Absicherung

  • Ziel: vollständige Absicherung nach Stand der Technik
  • Vorgehen: Basis- + Standard-Anforderungen umsetzen, ggf. ergänzende Risikoanalyse für hohen Schutzbedarf
  • Geeignet für: mittelständische und große Unternehmen, KRITIS-Betreiber
  • Zertifizierung: ISO 27001 auf Basis von IT-Grundschutz möglich

Kern-Absicherung

  • Ziel: fokussierte Absicherung der geschäftskritischsten Werte (Kronjuwelen)
  • Vorgehen: Identifikation der kritischsten Geschäftsprozesse und Assets, Anwendung der Standard-Absicherung nur darauf
  • Geeignet für: Unternehmen, bei denen Standard-Absicherung im gesamten Unternehmen zu aufwendig wäre

Das IT-Grundschutz-Kompendium

Das Kompendium ist der praktische Kern und enthält rund 100 Bausteine in zehn Schichten:

SchichtInhaltBeispiele
ISMSSicherheits-ManagementprozesseISMS.1 Sicherheitsmanagement
ORGübergreifende organisatorische AspekteORG.1, ORG.4 Personal
CONKonzeption und VorgehensweisenCON.1 Kryptokonzept, CON.6 Löschen und Vernichten
OPSBetriebOPS.1 Eigener IT-Betrieb
DERDetektion und ReaktionDER.2 Behandlung von Sicherheitsvorfällen
APPAnwendungenAPP.3.1 Webanwendungen, APP.4 Business-Anwendungen
SYSIT-SystemeSYS.1.1 Allgemeiner Server, SYS.1.5 Virtualisierung
INDindustrielle IT (OT/ICS)IND.1 Prozessleit- und Automatisierungstechnik
NETNetze und KommunikationNET.1 Netzwerke, NET.3.2 Firewall
INFInfrastrukturINF.1 Allgemeines Gebäude, INF.2 Rechenzentrum

Pro Baustein liefert das Kompendium:

  • Beschreibung der adressierten Komponente und ihrer Sicherheitsrelevanz
  • Gefährdungslage mit spezifischen Risiken
  • Anforderungen in drei Stufen (Basis, Standard, erhöht), zugeordnet zu Verantwortlichen
  • Weiterführende Informationen und Verweise

IT-Grundschutz vs. ISO 27001

DimensionBSI IT-GrundschutzISO 27001
HerkunftDeutschland (BSI)International (ISO/IEC)
Methodikbaustein-orientiertrisikobasiert
Detailgradsehr hoch, konkretabstrakt, kontroll-orientiert
Maßnahmen-Auswahlüber Bausteine vorgegebenaus Annex A nach Risikoanalyse
ZertifizierungISO 27001 auf Basis von IT-GrundschutzISO 27001
Verbreitung in DEhoch, Pflicht in Bundesverwaltungwachsend
Internationale Akzeptanzgeringsehr hoch
Bedeutung für NIS2Maßnahmen-Backbone für DE-Unternehmenweltweit akzeptiert

Bedeutung im Compliance-Kontext

  • Bundesverwaltung Deutschland: IT-Grundschutz ist faktisch verpflichtend
  • KRITIS-Betreiber: häufig auf IT-Grundschutz-Basis zertifiziert
  • NIS2-Umsetzung: IT-Grundschutz liefert den konkretesten Maßnahmen-Katalog zur Erfüllung der NIS2-Mindestmaßnahmen aus § 30 BSIG
  • Lieferanten der öffentlichen Hand: häufige Anforderung in Ausschreibungen
  • OT/Industrie-Cluster (Schicht IND): einer der wenigen frei verfügbaren Standards mit OT-Bausteinen

Für mittelständische Unternehmen ohne dezidierten DE-Schwerpunkt ist meist ISO 27001 / ISO 27002 die strategisch flexiblere Wahl. Wer aber primär in Deutschland tätig ist oder die öffentliche Hand zum Kunden hat, profitiert vom Detailgrad und der Konkretion des IT-Grundschutzes.

Häufige Fragen

Was ist der Unterschied zwischen BSI IT-Grundschutz und ISO 27001?
Beide ermöglichen den Aufbau eines ISMS, gehen aber methodisch unterschiedlich vor. ISO 27001 ist risikobasiert und kontroll-orientiert — das Unternehmen identifiziert Risiken und wählt aus 93 Annex-A-Controls die passenden aus. BSI IT-Grundschutz ist baustein-orientiert — für jede typische IT-Komponente gibt es einen Baustein mit konkreten Anforderungen, die umgesetzt werden müssen. IT-Grundschutz ist detailreicher und konkreter, ISO 27001 ist flexibler und international anerkannter. Eine Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz vereint beide Vorteile.
Was sind die BSI-Standards 200-1 bis 200-4?
Die BSI-Standards bilden den methodischen Kern des IT-Grundschutzes. BSI-Standard 200-1 beschreibt die Anforderungen an ein Managementsystem für Informationssicherheit (analog ISO 27001). 200-2 definiert die drei Vorgehensweisen Basis-, Standard- und Kern-Absicherung sowie die schrittweise Anwendung der Methodik. 200-3 beschreibt das Risikomanagement nach IT-Grundschutz (mit Fokus auf elementare Gefährdungen). 200-4 ist der Standard für Business Continuity Management (BCM).
Was sind die drei Vorgehensweisen im IT-Grundschutz?
Basis-Absicherung ist der niedrigschwellige Einstieg mit den wichtigsten Basis-Anforderungen pro Baustein — geeignet für Unternehmen am Beginn. Standard-Absicherung ist der vollständige Standard mit Basis- plus Standard-Anforderungen und der Möglichkeit zur ISO-27001-Zertifizierung. Kern-Absicherung fokussiert auf die geschäftskritischsten Werte (Kronjuwelen) — sinnvoll, wenn Standard-Absicherung im ganzen Unternehmen zu aufwendig wäre. Die drei Vorgehensweisen können nacheinander oder parallel verwendet werden.
Was ist das IT-Grundschutz-Kompendium?
Das IT-Grundschutz-Kompendium ist der Maßnahmen-Katalog des BSI mit aktuell rund 100 Bausteinen, geordnet in 10 Schichten (ISMS, ORG, CON, OPS, DER, APP, SYS, IND, NET, INF). Jeder Baustein adressiert eine typische IT-Komponente oder einen Prozess (z. B. „APP.3.1 Webanwendungen" oder „SYS.1.5 Virtualisierung") und enthält Beschreibung der Gefährdungslage, Verantwortlichkeiten und konkrete Anforderungen, die je nach gewählter Absicherungsstufe umzusetzen sind.
Für wen lohnt sich BSI IT-Grundschutz?
IT-Grundschutz ist besonders sinnvoll für deutsche öffentliche Verwaltungen (faktisch verpflichtend), KRITIS-Betreiber und Unternehmen mit Schwerpunkt Deutschland, die einen sehr detaillierten und gut dokumentierten Maßnahmen-Katalog brauchen. Für international tätige Unternehmen ist ISO 27001 meist die bessere Wahl, weil sie international anerkannt ist und mit weniger Detail-Vorgaben mehr Flexibilität bietet. Bei einer NIS2-Implementierung kann IT-Grundschutz als Maßnahmen-Backbone dienen.
Kategorie