BSI IT-Grundschutz für KMU: Einstieg ohne BSI-Berater

Der BSI IT-Grundschutz hat einen Ruf: komplex, bürokratisch, für Behörden. Das stimmt teilweise - das vollständige BSI IT-Grundschutz-Kompendium umfasst über 2.000 Seiten. Aber das BSI hat in den letzten Jahren erheblich investiert, um KMU-taugliche Einstiegspfade zu schaffen. Wer pragmatisch vorgeht, kann den BSI IT-Grundschutz auch ohne dediziertes IT-Sicherheitsteam nutzen.

BSI IT-Grundschutz - Was ist das eigentlich?

Der BSI IT-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebener methodischer Standard für Informationssicherheit. Er ist kompatibel mit ISO/IEC 27001, komplett auf Deutsch verfasst und - ein entscheidender Vorteil - kostenlos verfügbar unter bsi.bund.de/grundschutz.

Das Rahmenwerk besteht aus drei Kernelementen:

BSI IT-Grundschutz-Kompendium: Über 100 thematische Bausteine, die jeweils Beschreibungen, Anforderungen und konkrete Maßnahmen enthalten. Beispiele sind ISMS.1 (Sicherheitsmanagement), ORP.4 (Identitäts- und Berechtigungsmanagement) oder SYS.1.1 (Windows Server).

BSI-Standards: Vier ergänzende Dokumente, die den methodischen Rahmen bilden:

• BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS)
• BSI-Standard 200-2: IT-Grundschutz-Methodik
• BSI-Standard 200-3: Risikoanalyse
• BSI-Standard 200-4: Business Continuity Management (BCM)

Grundschutz-Profile: Seit 2020 bietet das BSI sogenannte Profile an - fertige Blaupausen für bestimmte Unternehmenstypen. Für KMU ist das besonders relevant: Das Mittelstandsprofil reduziert den Aufwand erheblich, weil nicht alle 100+ Bausteine bearbeitet werden müssen.

Wie unterscheidet sich der IT-Grundschutz von ISO 27001?

Der BSI IT-Grundschutz ist detailliert, konkret und auf Deutsch verfügbar. ISO 27001 ist dagegen abstrakt, international anerkannt und der übliche Zertifizierungsrahmen. Beide schließen sich nicht aus - im Gegenteil: Viele Unternehmen nutzen den IT-Grundschutz als operative Methode und lassen sich gleichzeitig nach ISO 27001 zertifizieren.

Das BSI-Profil für kleine Unternehmen

Das BSI Grundschutz-Profil „Cybersicherheit für KMU” (2022) ist der beste Einstiegspunkt. Es destilliert das gesamte Kompendium auf 47 konkrete Anforderungen, die speziell auf kleine und mittlere Unternehmen zugeschnitten sind - im übersichtlichen Tabellenformat zum Download unter bsi.bund.de/grundschutzprofile.

Die 47 Anforderungen decken folgende Bereiche ab:

• ISMS: Leitlinie zur Informationssicherheit, Schulung und Sensibilisierung der Mitarbeiter
• Personal: Geeignete Auswahl, Einweisung in IT-Nutzungsregeln
• Organisation: Strukturierte Regelung der IT-Sicherheitsverantwortlichkeiten
• IT-Systeme: Härtung von Clients, Servern und mobilen Geräten, Patch-Management, Verschlüsselung
• Netzwerk: Netzwerksegmentierung, Firewall, WLAN-Sicherheit
• Datensicherung: Backup-Strategie und regelmäßige Restore-Tests
• Notfallmanagement: Notfallplan und Kontaktlisten

Das Profil unterscheidet zwischen Standard-Anforderungen (das Minimum für alle KMU) und Anforderungen bei erhöhtem Schutzbedarf (für besonders kritische Informationen). Der realistische Zeitaufwand für die Umsetzung des KMU-Profils liegt bei 4 bis 12 Wochen - deutlich weniger als der vollständige IT-Grundschutz, der Monate bis Jahre dauern kann.

Wichtigste BSI-Bausteine für KMU

Zehn Bausteine aus dem Kompendium sind für jedes KMU besonders relevant:

1. ISMS.1 - Sicherheitsmanagement

Verabschieden Sie eine Informationssicherheits-Leitlinie (maximal zwei Seiten reichen!), benennen Sie Verantwortlichkeiten und führen Sie regelmäßige Schulungen durch.

2. ORP.2 - Personal

Sicherheitsüberprüfung bei sensiblen Positionen, Einarbeitung mit Sicherheitshinweisen und ein klar definiertes Austrittsverfahren: Accounts sperren, Schlüssel und Zugangskarten zurückfordern.

3. ORP.4 - Identitäts- und Berechtigungsmanagement

Erstellen Sie ein Benutzerkonten-Konzept, trennen Sie Admin-Konten von normalen Benutzerkonten und überprüfen Sie die Berechtigungen regelmäßig.

4. ORP.5 - Grundlegende Anforderungen

Sicherheitsregeln schriftlich festhalten - in einem Format, das Mitarbeiter tatsächlich lesen und verstehen.

5. CON.3 - Datensicherungskonzept

Die 3-2-1-Regel implementieren (drei Kopien, zwei Medien, eine extern), Backup-Tests dokumentieren und die Notfallwiederherstellung regelmäßig testen.

6. INF.1 - Allgemeines Gebäude

Serverraum-Zugang physisch sichern. Kein unkontrollierter Zugang für Lieferanten oder Besucher.

7. NET.1.1 - Netzwerkarchitektur und -design

Netzwerksegmentierung einrichten (Trennung von Büro, Server und Gäste-WLAN) und die Netzwerktopologie dokumentieren.

8. NET.1.2 - Netzwerkmanagement

Firewall konfigurieren und aktuell halten, alle Netzwerkgeräte auf aktuellem Patch-Stand halten.

9. SYS.2.2 - Windows Clients

Automatische Updates aktiviert? Lokale Firewall aktiv? Endpoint-Schutz (AV/EDR) auf allen Rechnern im Einsatz?

10. OPS.1.1.4 - Schutz vor Schadprogrammen

Zentral verwalteter Virenschutz mit automatischen Definition-Updates und Scan aller eingehenden Dateien und E-Mails.

BSI IT-Grundschutz vs. ISO 27001 - Entscheidungshilfe

Welches Rahmenwerk passt zu Ihrem Unternehmen? In vielen Fällen lautet die Antwort: beide.

BSI IT-Grundschutz eignet sich besonders, wenn Sie in der öffentlichen Verwaltung arbeiten (dort oft Pflicht), Deutsch als Arbeitssprache nutzen, einen kostengünstigen Einstieg ohne externen Beratungsaufwand suchen oder NIS2-Anforderungen erfüllen müssen - der BSI IT-Grundschutz wird von Behörden als Nachweis anerkannt.

ISO 27001 ist die richtige Wahl, wenn internationale Geschäftspartner ein Zertifikat fordern, Sie eine Zertifizierung gegenüber Kunden nachweisen müssen oder vertragliche Anforderungen dies verlangen.

Die Kombination beider Frameworks ist für viele KMU der sinnvollste Weg: BSI IT-Grundschutz als operative Umsetzungsmethode, ISO 27001 als Zertifizierungsrahmen nach außen. Das BSI bietet ein offizielles Mapping, über das eine IT-Grundschutz-Umsetzung direkt zur ISO-27001-Zertifizierung führen kann.

Kostenvergleich

	BSI IT-Grundschutz (ohne Zertifizierung)	ISO 27001 Zertifizierung
Werkzeuge	0 EUR (verinice ist kostenlos)	-
Beratung	0-5.000 EUR	10.000-30.000 EUR
Zertifizierungsstelle	-	5.000-15.000 EUR
Zeitaufwand	4-12 Wochen (KMU-Profil)	6-18 Monate

Kostenlose BSI-Werkzeuge und Vorlagen

Alle Ressourcen des BSI sind kostenlos unter bsi.bund.de verfügbar:

• BSI IT-Grundschutz-Kompendium (Edition 2023): Vollständiger PDF-Download aller Bausteine sowie eine durchsuchbare Online-Datenbank
• BSI KMU-Profil: Komprimierte Excel-Tabelle mit 47 Anforderungen im Checklisten-Format
• verinice (Open Source): ISMS-Tool mit integrierten BSI IT-Grundschutz-Templates, Risikoanalyse und Maßnahmen-Tracking - für Basis-Funktionen kostenlos
• Musterdokumente: Vorlage für eine Informationssicherheits-Leitlinie, Risikobewertungsbogen und Schutzbedarfsfeststellung
• BSI-Hilfsmittel: Netzwerk-Leitfaden (Netze@BSI) und der BSI-Leitfaden zur Einführung von IT-Grundschutz
• 10-Punkte-Leitfaden „Informationssicherheit für KMU” - praxisnah und sofort umsetzbar

Darüber hinaus bietet das BSI über sein Cyber-Sicherheitsnetz kostenlose Erst-Beratung für KMU, einen jährlichen Lagebericht zu aktuellen Bedrohungen in Deutschland und laufende Warnmeldungen zu Schwachstellen und Angriffen.

Pragmatischer Einstieg in 8 Schritten

Schritt 1 - BSI KMU-Profil herunterladen (Tag 1)

Unter bsi.bund.de das IT-Grundschutz-Profil für KMU herunterladen. Das ist Ihr Fahrplan.

Schritt 2 - Status-Quo erheben (Woche 1)

Gehen Sie alle 47 Anforderungen durch und bewerten Sie ehrlich: erfüllt, teilweise erfüllt oder nicht erfüllt. Schönreden hilft an dieser Stelle niemandem.

Schritt 3 - Lücken priorisieren (Woche 2)

Welche Lücken haben den höchsten Risiko-Impact? Priorisieren Sie die fünf kritischsten.

Schritt 4 - Leitlinie verfassen (Woche 3-4)

Schreiben Sie ein bis zwei Seiten: Was ist Ihrem Unternehmen wichtig? Wer trägt welche Verantwortung? Lassen Sie die Leitlinie von der Geschäftsführung unterzeichnen.

Schritt 5 - Top-5-Lücken schließen (Monat 2-3)

Erstellen Sie einen konkreten Maßnahmenplan mit Zuständigkeiten und Fristen. Beginnen Sie mit Quick Wins: Multi-Faktor-Authentifizierung, Backups und Patch-Management.

Schritt 6 - Dokumentieren (Monat 3-4)

Halten Sie schriftlich fest, was umgesetzt wurde. Formulieren Sie Policies kurz und verständlich. Füllen Sie die BSI-Checklisten aus.

Schritt 7 - Mitarbeiter schulen (Monat 5-6)

Schulen Sie die Grundlagen: Phishing erkennen, sichere Passwörter, Verhalten im Notfall. Das BSI stellt kostenlose Schulungsmaterialien bereit.

Schritt 8 - Kontinuierlich verbessern (fortlaufend)

Quartalsweise prüfen, welche Lücken noch offen sind. Jährlich einen vollständigen Status-Check wiederholen. BSI-Warnmeldungen abonnieren, um über neue Bedrohungen informiert zu bleiben.

Realistische Erwartungen

Vollständiger IT-Grundschutz für ein KMU dauert 6 bis 18 Monate. Das KMU-Profil lässt sich in 3 bis 6 Monaten umsetzen. Wer sich auf die wesentlichen Maßnahmen konzentriert, erreicht mit drei Monaten ernsthafter Arbeit ein Sicherheitsniveau, das für die meisten KMU ausreicht.

---

BSI IT-Grundschutz bietet deutschen Unternehmen den direktesten Weg zu systematischer Informationssicherheit. AWARE7 unterstützt bei der pragmatischen Umsetzung - vom KMU-Profil bis zur ISO-27001-Zertifizierung.

Kostenlose Erstberatung | ISO 27001 Beratung