BSI IT-Grundschutz
Deutsches Rahmenwerk des BSI für Informationssicherheit mit über 200 Bausteinen und drei Absicherungsstufen. Preskriptiver Ansatz mit konkreten Umsetzungshinweisen - Pflicht-Referenz für KRITIS-Betreiber und Bundesbehörden.
Der BSI IT-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Rahmenwerk für Informationssicherheit. Er bietet deutschen Behörden und Unternehmen eine strukturierte, preskriptive Methodik mit konkreten Umsetzungshinweisen - im Gegensatz zum risikobasierten, prinzipienorientierten Ansatz der ISO 27001. Das BSI IT-Grundschutz-Kompendium wird jährlich aktualisiert und umfasst aktuell über 200 Bausteine.
Definition und Ziele
Der IT-Grundschutz wurde 1994 eingeführt und seitdem kontinuierlich weiterentwickelt. Seit 2017 ist er mit ISO 27001 harmonisiert und ermöglicht eine ISO-27001-Zertifizierung auf Basis von IT-Grundschutz. Ziel ist es, Behörden und Unternehmen eine vollständige Methodik bereitzustellen, die sowohl Risikomanagement als auch konkrete technische und organisatorische Maßnahmen umfasst.
Aufbau des IT-Grundschutz-Kompendiums
Das Kompendium ist in 10 Schichten gegliedert:
| Schicht | Kürzel | Inhalte |
|---|---|---|
| ISMS | ISMS | Sicherheitsmanagement (Grundlagen) |
| Anwendungen | APP | Bürosoftware, E-Mail, Web-Browser, ERP-Systeme |
| Systeme | SYS | Server, Clients, mobile Geräte, IoT |
| Infrastruktur | INF | Gebäude, Rechenzentren, Verkabelung |
| Netze und Kommunikation | NET | Netzwerkarchitektur, WLAN, VPN |
| Industrielle IT | IND | SCADA, ICS, Automatisierungstechnik |
| Betrieb | OPS | Patch-Management, Datensicherung, Protokollierung |
| Detektion und Reaktion | DER | Monitoring, Forensik, Incident Management |
| Sicherheitskonzeption | CON | Kryptographie, Datenschutz, Outsourcing |
| Personal | ORP | Organisation, Awareness, Personalmanagement |
Jeder Baustein enthält: Beschreibung der Gefährdungslage, Anforderungen in drei Stufen (Basis, Standard, erhöht) und Umsetzungshinweise.
Die 3 Absicherungsstufen
BSI IT-Grundschutz unterscheidet drei Schutzstufen, die sich nach dem Schutzbedarf der zu sichernden Informationen richten:
- Basis-Absicherung: Schnelleinstieg für KMU. Umfasst die wichtigsten Sicherheitsanforderungen mit minimalem Aufwand. Geeignet als Einstieg oder für Systeme mit normalem Schutzbedarf.
- Standard-Absicherung: Vollständige Umsetzung aller Basis- und Standard-Anforderungen. Basis für die ISO-27001-Zertifizierung auf Grundlage von IT-Grundschutz.
- Kern-Absicherung: Schützt besonders kritische Assets (sogenannte “Kronjuwelen”) mit erhöhtem Aufwand. Geeignet wenn nicht alle Systeme sofort vollständig abgesichert werden können.
BSI IT-Grundschutz vs. ISO 27001
| Kriterium | BSI IT-Grundschutz | ISO 27001 |
|---|---|---|
| Ansatz | Preskriptiv - konkrete Maßnahmenkataloge | Risikobasiert - prinzipienorientiert |
| Herkunft | Deutsches BSI | Internationaler Standard |
| Maßnahmen | ~800 konkrete Anforderungen | 93 Controls (Annex A) |
| Zielgruppe | Behörden, KRITIS-Betreiber, dt. Unternehmen | International tätige Unternehmen |
| Aufwand | Sehr hoch (vollständige Dokumentation) | Skalierbar nach Scope |
| Zertifizierung | ISO 27001 auf Basis IT-Grundschutz möglich | ISO 27001 direkt |
§8a BSIG und KRITIS-Pflicht
Betreiber kritischer Infrastrukturen (KRITIS) nach §8a BSI-Gesetz (BSIG) sind verpflichtet, Sicherheitsmaßnahmen nach dem Stand der Technik umzusetzen und dies dem BSI nachzuweisen. Der IT-Grundschutz ist die wichtigste deutsche Referenz für diesen Nachweis. KRITIS-Betreiber müssen alle zwei Jahre eine Prüfung durch das BSI oder akkreditierte Prüfer bestehen.
BSI-Grundschutz-Zertifizierung
Die BSI-Grundschutz-Zertifizierung erfolgt in drei Stufen:
- Grundschutz-Check: Selbstbewertung gegen alle Basis-Anforderungen - kein externes Audit
- Aufbau-Zertifikat: Prüfung durch BSI-zertifizierten Auditor gegen Standard-Absicherung
- ISO-27001-Zertifikat auf Basis IT-Grundschutz: Vollständige Zertifizierung durch akkreditierte Zertifizierungsstelle - international anerkannt
AWARE7 empfiehlt Unternehmen ohne starken Behördenbezug den direkten ISO-27001-Weg, da dieser international anerkannt ist und bei gleichem Aufwand breitere Marktanforderungen erfüllt.
