Was ist BSI IT-Grundschutz?
Zuletzt aktualisiert:
Kurz erklärt: BSI IT-Grundschutz ist die deutsche Methodik für ein Informationssicherheits-Managementsystem. Sie besteht aus den BSI-Standards 200-1 bis 200-4 und dem IT-Grundschutz-Kompendium mit aktuell ca. 100 Bausteinen für typische IT-Komponenten und Prozesse. Drei Vorgehensweisen — Basis-, Standard- und Kern-Absicherung — erlauben eine schrittweise Implementierung. Eine Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz ist möglich und in der deutschen Verwaltung der Standard.
BSI IT-Grundschutz ist die deutsche Methodik des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum Aufbau und Betrieb eines Informationssicherheits-Managementsystems. Anders als die international standardisierte ISO 27001 kombiniert IT-Grundschutz einen Methoden-Rahmen mit einem detaillierten Baustein-Katalog, der für typische IT-Komponenten und Prozesse konkrete Anforderungen vorgibt. Wie ein ISMS praktisch entsteht, zeigt der Ratgeber ISMS aufbauen.
Foundational Facts
- Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI)
- Status: öffentlich und kostenlos verfügbar
- Methodische Standards: BSI-Standards 200-1, 200-2, 200-3, 200-4
- Maßnahmen-Katalog: IT-Grundschutz-Kompendium (jährliche Aktualisierung, aktuell ca. 100 Bausteine)
- Zertifizierung möglich: ISO 27001 auf Basis von IT-Grundschutz (vom BSI lizenziert)
Die BSI-Standards 200-1 bis 200-4
Der methodische Kern des IT-Grundschutzes besteht aus vier Standards:
BSI-Standard 200-1 — Managementsysteme für Informationssicherheit (ISMS)
Beschreibt die Anforderungen an ein ISMS — funktional vergleichbar mit der Hauptnorm der ISO 27001. Themen sind Leitungsaufgaben, Sicherheitsleitlinie, Sicherheitsorganisation, Awareness, Dokumentation und kontinuierliche Verbesserung.
BSI-Standard 200-2 — IT-Grundschutz-Methodik
Beschreibt die praktische Anwendung — wie aus den Bausteinen ein konkreter Schutzplan wird. Definiert die drei Vorgehensweisen (Basis-, Standard-, Kern-Absicherung) und führt durch Strukturanalyse, Schutzbedarfsfeststellung, Modellierung und Sicherheitskonzept.
BSI-Standard 200-3 — Risikomanagement
Beschreibt das Risikomanagement im IT-Grundschutz-Kontext. Ergänzt die Standard-Bausteine um eine ergänzende Risikoanalyse, wenn der Schutzbedarf besonders hoch ist oder atypische Konstellationen vorliegen. Arbeitet mit dem Konzept der „elementaren Gefährdungen” (47 typische Bedrohungen).
BSI-Standard 200-4 — Business Continuity Management
Beschreibt den Aufbau eines BCM-Systems (BCMS) — ergänzt seit 2023 den klassischen IT-Grundschutz um den Aspekt der Geschäfts-Kontinuität nach BSI-Auffassung.
Die drei Vorgehensweisen
BSI-Standard 200-2 definiert drei aufeinander aufbauende Vorgehensweisen:
Basis-Absicherung
- Ziel: schnelle, breite Grundabsicherung
- Vorgehen: nur Basis-Anforderungen aus den relevanten Bausteinen umsetzen
- Geeignet für: Unternehmen am Beginn, KMU mit begrenzten Ressourcen
- Zertifizierung: keine ISO-27001-Zertifizierung möglich
Standard-Absicherung
- Ziel: vollständige Absicherung nach Stand der Technik
- Vorgehen: Basis- + Standard-Anforderungen umsetzen, ggf. ergänzende Risikoanalyse für hohen Schutzbedarf
- Geeignet für: mittelständische und große Unternehmen, KRITIS-Betreiber
- Zertifizierung: ISO 27001 auf Basis von IT-Grundschutz möglich
Kern-Absicherung
- Ziel: fokussierte Absicherung der geschäftskritischsten Werte (Kronjuwelen)
- Vorgehen: Identifikation der kritischsten Geschäftsprozesse und Assets, Anwendung der Standard-Absicherung nur darauf
- Geeignet für: Unternehmen, bei denen Standard-Absicherung im gesamten Unternehmen zu aufwendig wäre
Das IT-Grundschutz-Kompendium
Das Kompendium ist der praktische Kern und enthält rund 100 Bausteine in zehn Schichten:
| Schicht | Inhalt | Beispiele |
|---|---|---|
| ISMS | Sicherheits-Managementprozesse | ISMS.1 Sicherheitsmanagement |
| ORG | übergreifende organisatorische Aspekte | ORG.1, ORG.4 Personal |
| CON | Konzeption und Vorgehensweisen | CON.1 Kryptokonzept, CON.6 Löschen und Vernichten |
| OPS | Betrieb | OPS.1 Eigener IT-Betrieb |
| DER | Detektion und Reaktion | DER.2 Behandlung von Sicherheitsvorfällen |
| APP | Anwendungen | APP.3.1 Webanwendungen, APP.4 Business-Anwendungen |
| SYS | IT-Systeme | SYS.1.1 Allgemeiner Server, SYS.1.5 Virtualisierung |
| IND | industrielle IT (OT/ICS) | IND.1 Prozessleit- und Automatisierungstechnik |
| NET | Netze und Kommunikation | NET.1 Netzwerke, NET.3.2 Firewall |
| INF | Infrastruktur | INF.1 Allgemeines Gebäude, INF.2 Rechenzentrum |
Pro Baustein liefert das Kompendium:
- Beschreibung der adressierten Komponente und ihrer Sicherheitsrelevanz
- Gefährdungslage mit spezifischen Risiken
- Anforderungen in drei Stufen (Basis, Standard, erhöht), zugeordnet zu Verantwortlichen
- Weiterführende Informationen und Verweise
IT-Grundschutz vs. ISO 27001
| Dimension | BSI IT-Grundschutz | ISO 27001 |
|---|---|---|
| Herkunft | Deutschland (BSI) | International (ISO/IEC) |
| Methodik | baustein-orientiert | risikobasiert |
| Detailgrad | sehr hoch, konkret | abstrakt, kontroll-orientiert |
| Maßnahmen-Auswahl | über Bausteine vorgegeben | aus Annex A nach Risikoanalyse |
| Zertifizierung | ISO 27001 auf Basis von IT-Grundschutz | ISO 27001 |
| Verbreitung in DE | hoch, Pflicht in Bundesverwaltung | wachsend |
| Internationale Akzeptanz | gering | sehr hoch |
| Bedeutung für NIS2 | Maßnahmen-Backbone für DE-Unternehmen | weltweit akzeptiert |
Bedeutung im Compliance-Kontext
- Bundesverwaltung Deutschland: IT-Grundschutz ist faktisch verpflichtend
- KRITIS-Betreiber: häufig auf IT-Grundschutz-Basis zertifiziert
- NIS2-Umsetzung: IT-Grundschutz liefert den konkretesten Maßnahmen-Katalog zur Erfüllung der NIS2-Mindestmaßnahmen aus § 30 BSIG
- Lieferanten der öffentlichen Hand: häufige Anforderung in Ausschreibungen
- OT/Industrie-Cluster (Schicht IND): einer der wenigen frei verfügbaren Standards mit OT-Bausteinen
Für mittelständische Unternehmen ohne dezidierten DE-Schwerpunkt ist meist ISO 27001 / ISO 27002 die strategisch flexiblere Wahl. Wer aber primär in Deutschland tätig ist oder die öffentliche Hand zum Kunden hat, profitiert vom Detailgrad und der Konkretion des IT-Grundschutzes.
Weiterführende Links
Häufige Fragen
- Was ist der Unterschied zwischen BSI IT-Grundschutz und ISO 27001?
- Beide ermöglichen den Aufbau eines ISMS, gehen aber methodisch unterschiedlich vor. ISO 27001 ist risikobasiert und kontroll-orientiert — das Unternehmen identifiziert Risiken und wählt aus 93 Annex-A-Controls die passenden aus. BSI IT-Grundschutz ist baustein-orientiert — für jede typische IT-Komponente gibt es einen Baustein mit konkreten Anforderungen, die umgesetzt werden müssen. IT-Grundschutz ist detailreicher und konkreter, ISO 27001 ist flexibler und international anerkannter. Eine Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz vereint beide Vorteile.
- Was sind die BSI-Standards 200-1 bis 200-4?
- Die BSI-Standards bilden den methodischen Kern des IT-Grundschutzes. BSI-Standard 200-1 beschreibt die Anforderungen an ein Managementsystem für Informationssicherheit (analog ISO 27001). 200-2 definiert die drei Vorgehensweisen Basis-, Standard- und Kern-Absicherung sowie die schrittweise Anwendung der Methodik. 200-3 beschreibt das Risikomanagement nach IT-Grundschutz (mit Fokus auf elementare Gefährdungen). 200-4 ist der Standard für Business Continuity Management (BCM).
- Was sind die drei Vorgehensweisen im IT-Grundschutz?
- Basis-Absicherung ist der niedrigschwellige Einstieg mit den wichtigsten Basis-Anforderungen pro Baustein — geeignet für Unternehmen am Beginn. Standard-Absicherung ist der vollständige Standard mit Basis- plus Standard-Anforderungen und der Möglichkeit zur ISO-27001-Zertifizierung. Kern-Absicherung fokussiert auf die geschäftskritischsten Werte (Kronjuwelen) — sinnvoll, wenn Standard-Absicherung im ganzen Unternehmen zu aufwendig wäre. Die drei Vorgehensweisen können nacheinander oder parallel verwendet werden.
- Was ist das IT-Grundschutz-Kompendium?
- Das IT-Grundschutz-Kompendium ist der Maßnahmen-Katalog des BSI mit aktuell rund 100 Bausteinen, geordnet in 10 Schichten (ISMS, ORG, CON, OPS, DER, APP, SYS, IND, NET, INF). Jeder Baustein adressiert eine typische IT-Komponente oder einen Prozess (z. B. „APP.3.1 Webanwendungen" oder „SYS.1.5 Virtualisierung") und enthält Beschreibung der Gefährdungslage, Verantwortlichkeiten und konkrete Anforderungen, die je nach gewählter Absicherungsstufe umzusetzen sind.
- Für wen lohnt sich BSI IT-Grundschutz?
- IT-Grundschutz ist besonders sinnvoll für deutsche öffentliche Verwaltungen (faktisch verpflichtend), KRITIS-Betreiber und Unternehmen mit Schwerpunkt Deutschland, die einen sehr detaillierten und gut dokumentierten Maßnahmen-Katalog brauchen. Für international tätige Unternehmen ist ISO 27001 meist die bessere Wahl, weil sie international anerkannt ist und mit weniger Detail-Vorgaben mehr Flexibilität bietet. Bei einer NIS2-Implementierung kann IT-Grundschutz als Maßnahmen-Backbone dienen.