BSI IT-Grundschutz
Der BSI IT-Grundschutz ist ein Rahmenwerk des Bundesamts für Sicherheit in der Informationstechnik, das Unternehmen und Behörden eine systematische Methodik zur Umsetzung von Informationssicherheit bietet - mit sehr detaillierten, praxisnahen Bausteinen.
Inhaltsverzeichnis (6 Abschnitte)
Der BSI IT-Grundschutz ist das bekannteste deutsche Sicherheitsrahmenwerk und wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben und gepflegt. Er bietet Unternehmen, Behörden und Institutionen eine systematische, sehr praxisnahe Methodik zur Einführung und zum Betrieb eines Informationssicherheitsmanagementsystems (ISMS). Im Gegensatz zu ISO 27001 enthält IT-Grundschutz konkrete, detaillierte Umsetzungsempfehlungen - keine abstrakte Rahmenvorschrift.
Geschichte und Entwicklung
Der IT-Grundschutz wurde 1994 als „IT-Grundschutzhandbuch” eingeführt. Über die Jahre entwickelte er sich von einer Sammlung konkreter Maßnahmen hin zu einer vollständigen ISMS-Methodik. Die aktuelle modernisierte Fassung (seit 2017) ist grundlegend überarbeitet und in vier BSI-Standards gegliedert, die das IT-Grundschutz-Kompendium ergänzen.
Die BSI-Standards
BSI-Standard 200-1: ISMS
Beschreibt allgemeine Anforderungen an ein ISMS - kompatibel mit ISO 27001. Legt fest, wie ein ISMS aufgebaut, betrieben und verbessert werden soll. Dieser Standard ist die strategische Grundlage; die technische Umsetzung folgt in 200-2.
BSI-Standard 200-2: IT-Grundschutz-Methodik
Das Kernstück. Beschreibt drei Vorgehensweisen zur Anwendung des IT-Grundschutzes, abhängig von Schutzbedarf und verfügbaren Ressourcen:
Basis-Absicherung Schnelleinstieg für Unternehmen mit geringen Ressourcen oder als erster Schritt. Fokus auf die wichtigsten Grundschutzanforderungen. Kein vollständiges ISMS, aber deutlich besser als gar keine Systematik.
Standard-Absicherung Vollständige IT-Grundschutz-Methodik mit Strukturanalyse, Schutzbedarfsfeststellung und Modellierung nach IT-Grundschutz-Kompendium. Geeignet für die große Mehrheit der Unternehmen. Grundlage für die ISO-27001-Zertifizierung auf Basis von IT-Grundschutz.
Kern-Absicherung Fokussiert auf die besonders kritischen Assets eines Unternehmens („Kronjuwelen”). Ideal, wenn nicht alle Systeme sofort in den Scope aufgenommen werden können oder sollen.
BSI-Standard 200-3: Risikoanalyse
Ergänzt die Standard-Absicherung um eine vollständige Risikoanalyse für Systeme mit erhöhtem Schutzbedarf, die über die Grundschutz-Bausteine hinausgehen.
BSI-Standard 200-4: Business Continuity Management
Beschreibt den Aufbau eines BCM-Systems nach BSI-Methodik, kompatibel mit ISO 22301.
Das IT-Grundschutz-Kompendium
Das IT-Grundschutz-Kompendium (jährlich aktualisiert) ist die eigentliche Arbeitsbibliothek. Es enthält Bausteine - strukturierte Sicherheitsanforderungen für spezifische Themenbereiche. Das Kompendium 2023 umfasst über 100 Bausteine in zehn Schichten:
| Schicht | Beispiel-Bausteine |
|---|---|
| ISMS | ISMS.1 Sicherheitsmanagement |
| ORP | ORP.1 Organisation, ORP.2 Personal, ORP.4 Identitäts- und Berechtigungsmanagement |
| CON | CON.1 Kryptokonzept, CON.7 Informationssicherheit auf Auslandsreisen |
| OPS | OPS.1.1.2 Ordnungsgemäße IT-Administration, OPS.2.2 Cloud-Nutzung |
| DER | DER.1 Detektion von sicherheitsrelevanten Ereignissen, DER.2.1 Incident Management |
| APP | APP.3.1 Webanwendungen, APP.4.3 Relationale Datenbanksysteme |
| SYS | SYS.1.1 Allgemeiner Server, SYS.2.2.3 Windows-Clients |
| IND | IND.2.1 Allgemeine ICS-Komponente (Kritische Infrastruktur) |
| NET | NET.1.1 Netzarchitektur, NET.3.2 Firewall |
| INF | INF.1 Allgemeines Gebäude, INF.8 Häuslicher Arbeitsplatz |
Jeder Baustein enthält:
- Gefährdungen: Was kann schiefgehen?
- Anforderungen: Was muss umgesetzt werden? (Basis / Standard / Erhöht)
- Umsetzungshinweise: Wie wird es konkret umgesetzt?
IT-Grundschutz vs. ISO 27001
| Merkmal | IT-Grundschutz | ISO 27001 |
|---|---|---|
| Herausgeber | BSI (Deutschland) | ISO/IEC (international) |
| Detailgrad | Sehr hoch (konkrete Maßnahmen) | Niedrig (Anforderungen, kein Wie) |
| Zielgruppe | Primär Deutschland, Behörden | Global, alle Branchen |
| Sprache | Deutsch (+ englische Übersetzung) | Englisch (+ Übersetzungen) |
| Anerkennung | Stark in DE, besonders Behörden | International Standard |
| Aufwand | Höher (wegen Detailtiefe) | Geringer für Einstieg |
| Zertifizierung | ISO 27001-Zertifikat auf Basis IT-GS | ISO 27001-Zertifikat |
Wichtig: Die BSI bietet eine ISO-27001-Zertifizierung auf Basis von IT-Grundschutz an. Diese ist vom DAkkS akkreditiert und genießt hohes Ansehen in der deutschen Verwaltung und Industrie. Das IT-Grundschutz-Zertifikat selbst (ohne ISO 27001) gibt es in drei Stufen: Einstiegsstufe, Aufbaustufe und Zertifikat.
Wer sollte IT-Grundschutz einsetzen?
Empfohlen für:
- Bundesbehörden und Landesbehörden (oft verpflichtend)
- Unternehmen im Umfeld öffentlicher Auftraggeber
- KRITIS-Betreiber (kritische Infrastrukturen)
- Unternehmen, die ISO 27001 + deutschen regulatorischen Anforderungen gerecht werden wollen
- Rüstungszulieferer und VS-NfD-Bearbeitung
Eher ISO 27001 direkt:
- International agierende Unternehmen
- Unternehmen, die Kunden in Branchen ohne DE-Bezug bedienen
- Start-ups mit begrenzten Ressourcen (Basis-Absicherung als Einstieg dennoch sinnvoll)
Praxistipp: Einstieg mit IT-Grundschutz-Check
Das BSI stellt einen kostenlosen IT-Grundschutz-Check bereit, der den Reifegrad einer Organisation bewertet. Als Einstieg eignet sich der Basis-Absicherungs-Check aus BSI-Standard 200-2, der sich als Workshop in einem Tag durchführen lässt und sofortige Quick-Wins identifiziert.
Weiterführende Informationen: BSI IT-Grundschutz Schulungen von AWARE7 | ISO 27001 Beratung
Quellen & Referenzen
- [1] BSI IT-Grundschutz-Kompendium 2023 - Bundesamt für Sicherheit in der Informationstechnik
- [2] BSI-Standard 200-1 - ISMS - Bundesamt für Sicherheit in der Informationstechnik
- [3] BSI-Standard 200-2 - IT-Grundschutz-Methodik - Bundesamt für Sicherheit in der Informationstechnik
Fragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
Dipl.-Math. (WWU Münster) und Promovend am Promotionskolleg NRW (Hochschule Rhein-Waal) mit Forschungsschwerpunkt Phishing-Awareness, Behavioral Security und Nudging in der IT-Sicherheit. Verantwortet den Aufbau und die Pflege von ISMS, leitet interne Audits nach ISO/IEC 27001:2022 und berät als externer ISB in KRITIS-Branchen. Lehrbeauftragter für Communication Security an der Hochschule Rhein-Waal und NIS2-Schulungsleiter bei der isits AG.
6 Publikationen
- Different Seas, Different Phishes — Large-Scale Analysis of Phishing Simulations Across Different Industries (2025)
- Evaluating the Usability and Security of Personal Password Stores (2025)
- Self-promotion with a Chance of Warnings: Exploring Cybersecurity Communication Among Government Institutions on LinkedIn (2024)
- Exploring the Effects of Cybersecurity Awareness and Decision-Making Under Risk (2024)
- Understanding User Perceptions of Security Indicators in Web Browsers (2024)
- A Systematic Analysis of NIS2 Compliance Challenges for SMEs (2024)
