IT-Lexikon
Compliance & Standards

BSI IT-Grundschutz

Vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Framework für die Umsetzung von Informationssicherheit in Organisationen.

BSI IT-Grundschutz ist ein umfassendes Rahmenwerk für Informationssicherheit, das vom Bundesamt für Sicherheit in der Informationstechnik entwickelt und gepflegt wird. Es bietet einen systematischen Ansatz zur Identifikation und Umsetzung von Sicherheitsmaßnahmen und ist in Deutschland die Referenz für Behörden, KRITIS-Betreiber und viele Unternehmen.

Aufbau des Grundschutz-Kompendiums

Das BSI IT-Grundschutz-Kompendium enthält Bausteine für verschiedene Bereiche: Organisation (ISMS, Personal, Notfallmanagement), Infrastruktur (Gebäude, Rechenzentrum), IT-Systeme (Server, Clients, Mobile), Netze und Anwendungen. Jeder Baustein definiert Gefährdungen und zugehörige Anforderungen in drei Stufen: Basis, Standard und erhöht.

Die Basis-Anforderungen bilden das Minimum, das jede Organisation umsetzen sollte. Standard-Anforderungen erweitern den Schutz auf ein normales Sicherheitsniveau, das für die meisten Unternehmen angemessen ist. Erhöhte Anforderungen kommen bei besonders schutzbedürftigen Systemen oder bei erhöhtem Gefährdungspotenzial zum Tragen. Diese Abstufung ermöglicht eine schrittweise Umsetzung, die sich an den tatsächlichen Risiken orientiert.

Die drei Vorgehensweisen

Vorgehensweise Beschreibung Geeignet für
Basis-Absicherung Minimale Grundsicherung aller relevanten Geschäftsprozesse Einstieg, schnelle Erstabsicherung
Standard-Absicherung Vollständige Umsetzung des Grundschutz-Kompendiums Regelfall für die meisten Organisationen
Kern-Absicherung Fokus auf besonders schutzbedürftige Bereiche (Kronjuwelen) Organisationen mit begrenzten Ressourcen

Die Basis-Absicherung eignet sich als Einstieg und liefert schnelle Ergebnisse. Die Kern-Absicherung konzentriert sich auf die kritischsten Geschäftsprozesse und Assets — ein pragmatischer Ansatz für Unternehmen, die ihre Ressourcen gezielt einsetzen müssen. Die Standard-Absicherung ist die vollständige Umsetzung und Voraussetzung für die Zertifizierung.

BSI-Grundschutz vs. ISO 27001

BSI IT-Grundschutz und ISO 27001 verfolgen dasselbe Ziel — ein funktionierendes ISMS — unterscheiden sich aber im Ansatz. ISO 27001 ist abstrakt und risikobasiert: Unternehmen identifizieren Risiken und wählen passende Kontrollen. BSI-Grundschutz ist konkret und maßnahmenbasiert: Die Bausteine des Kompendiums liefern detaillierte Umsetzungsempfehlungen. In der Praxis empfinden viele KMUs den BSI-Grundschutz als greifbarer, weil er klare Handlungsanweisungen statt abstrakter Anforderungen liefert.

BSI-Grundschutz-Zertifizierung

Organisationen können sich nach BSI IT-Grundschutz zertifizieren lassen. Die Zertifizierung ist kompatibel mit ISO 27001 — ein BSI-Grundschutz-Zertifikat wird als ISO 27001-Zertifikat auf Basis von IT-Grundschutz anerkannt. Die Zertifizierung erfolgt durch vom BSI zugelassene Auditoren und umfasst die Prüfung der Dokumentation, der Umsetzung und der Wirksamkeit der Sicherheitsmaßnahmen.

BSI-Grundschutz und NIS2

Mit dem Inkrafttreten der NIS2-Richtlinie gewinnt BSI IT-Grundschutz zusätzlich an Bedeutung. Das BSI selbst empfiehlt Grundschutz als geeignetes Rahmenwerk zur Erfüllung der NIS2-Anforderungen. Unternehmen, die bereits nach BSI-Grundschutz arbeiten, haben einen erheblichen Vorsprung bei der NIS2-Compliance, da die geforderten Maßnahmen — Risikomanagement, Vorfallbehandlung, Business Continuity — durch die Grundschutz-Bausteine bereits abgedeckt werden.

Relevanz für KMUs

Für mittelständische Unternehmen ist der Einstieg über die Basis-Absicherung oder die Kern-Absicherung besonders attraktiv. Die Basis-Absicherung lässt sich mit überschaubarem Aufwand umsetzen und liefert sofortige Sicherheitsverbesserungen. Die Kern-Absicherung erlaubt es, die kritischsten Systeme — etwa Active Directory, E-Mail-Server und ERP-System — gezielt abzusichern, ohne die gesamte IT-Landschaft auf einmal erfassen zu müssen. Das BSI stellt mit dem Web-Tool 'IT-Grundschutz-Profilen' branchenspezifische Vorlagen bereit, die den Einstieg zusätzlich erleichtern.