Thema

BSI IT-Grundschutz – Der Standard für Informationssicherheit

3 Minuten Lesezeit
Künstlerische Textur in Blau, Weiß und Türkis mit linearen Mustern und bewegter Oberfläche.

Was ist der BSI IT-Grundschutz?

Der BSI IT-Grundschutz ist eine bewährte Methodik, die Unternehmen und Organisationen dabei unterstützt, ihre Daten, Systeme und Informationen abzusichern und ein effektives Managementsystem für Informationssicherheit (ISMS) aufzubauen. Entwickelt vom Bundesamt für Sicherheit in der Informationstechnik (BSI), bietet der IT-Grundschutz seit 1994 eine strukturierte Vorgehensweise zur Identifikation, Bewertung und Reduzierung von Sicherheitsrisiken. Betrachtet werden sowohl technische als auch infrastrukturelle, organisatorische und personelle Aspekte der Informationssicherheit. Um den fortlaufenden technologischen Entwicklungen und den sich verändernden Bedrohungslagen Rechnung zu tragen, wird der IT-Grundschutz regelmäßig aktualisiert. 

Veröffentlichungen des IT-Grundschutzes:

  • BSI-Standards für Methoden, Prozesse und Verfahren 
  • IT-Grundschutz-Kompendium mit praxisnahen Sicherheitsbausteinen 

Was ist das BSI?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zentrale deutsche Behörde für IT-Sicherheit. Es entwickelt Sicherheitsstandards, berät Unternehmen und Behörden und führt Zertifizierungen durch. Das Ziel des BSI ist es, eine sichere Nutzung von Informations- und Kommunikationstechnologie (IKT) in Wirtschaft, Verwaltung und Gesellschaft zu gewährleisten. Die gesetzliche Grundlage seines Handelns ist das Gesetz zur Stärkung der Sicherheit in der Informationstechnik (BSI-Gesetz). 

Die BSI-Standards – Grundlage für IT-Sicherheit

Die BSI-Standards bieten detaillierte Empfehlungen zur Einführung und Umsetzung eines ISMS:

BSI-Standard 200-1: ISMS – Managementsysteme für Informationssicherheit

Definiert die grundlegenden Anforderungen an ein ISMS und legt den Rahmen für dessen Implementierung und kontinuierliche Verbesserung fest. 

BSI-Standard 200-2: IT-Grundschutz-Methodik

Beschreibt eine detaillierte Methodik für Aufbau und Pflege eines ISMS und die Vorgehensweise zur Identifikation und Umsetzung geeigneter Sicherheitsmaßnahmen. 

BSI-Standard 200-3: Risikoanalyse auf Basis von IT-Grundschutz 

Ermöglicht eine strukturierte Risikobewertung und die Ableitung gezielter Schutzmaßnahmen. 

BSI-Standard 200-4: Business Continuity Management (BCM) 

Unterstützt Unternehmen bei der Entwicklung eines Business Continuity Managements, um Geschäftsprozesse bei Störungen aufrechtzuerhalten. 

Das IT-Grundschutz-Kompendium – Bausteine für mehr Sicherheit

Das IT-Grundschutz-Kompendium bietet eine umfassende Sammlung von 47 elementaren Gefährdungen und IT-Sicherheitsbausteinen. Diese sind in 10 Schichten unterteilt: 

  • ISMS – Sicherheitsmanagement (z.B. Richtlinien, Prozesse) 
  • ORP – Organisation und Personal (z.B. IT-Sicherheitsorganisation) 
  • CON – Konzepte und Vorgehensweisen (z.B. Sicherheitsstrategien) 
  • OPS – Betrieb (z.B. Betrieb sicherer IT-Systeme) 
  • DER – Detektion und Reaktion (z.B. Incident Management) 
  • APP – Anwendungen (z.B. sichere Softwareentwicklung) 
  • SYS – IT-Systeme (z.B. Server- und Client-Sicherheit) 
  • IND – Industrielle IT (z.B. Schutz von Industrieanlagen) 
  • NET – Netze und Kommunikation (z.B. Netzwerksicherheit) 
  • INF – Infrastruktur (z.B. physische Sicherheit, Rechenzentren) 
Grafik zeigt die Prozess- und System-Bausteine des BSI IT-Grundschutzkompendiums.

Jeder Baustein enthält eine Beschreibung des Zielobjektes, eine Zielsetzung, eine Abgrenzung zu anderen Bausteinen, eine Risikobewertung und konkrete Sicherheitsanforderungen (Basis-Anforderungen, Standard-Anforderungen und Anforderungen bei erhöhtem Schutzbedarf).  

Der Weg zum ISMS mit einem IT-Sicherheitskonzept nach BSI IT-Grundschutz

Das IT-Sicherheitskonzept ist ein wesentlicher Bestandteil des Managementsystems für Informationssicherheit (ISMS) und wird nach dem BSI IT-Grundschutz in mehreren Schritten entwickelt und umgesetzt: 

1. Festlegung des Informationsverbunds

Der Informationsverbund definiert unter Berücksichtigung der Sicherheitsziele den Geltungsbereich des ISMS und umfasst alle relevanten Systeme, Prozesse und Ressourcen. 

2. Strukturanalyse

Für die Strukturanalyse werden zunächst alle zu schützenden Assets (Daten, Anwendungen, IT-Systeme, Netzwerke, Infrastruktur) erfasst. Anschließend wird ein Netzplan zur Visualisierung der Kommunikationswege erstellt. 

3. Schutzbedarfsfeststellung

Bei der Schutzbedarfsfeststellung wird ermittelt, welchen Schutz die zuvor ermittelten Assets benötigen. Dafür wird jedes Asset hinsichtlich der drei Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit bewertet. Die Einstufung erfolgt in die Kategorien normal, hoch und sehr hoch.  

4. Bausteinmodellierung

Den identifizierten Assets werden geeignete IT-Grundschutz-Bausteine aus dem Kompendium zugeordnet. 

5. IT-Grundschutz-Check 

Zur Überprüfung der bestehenden Sicherheitsmaßnahmen wird anhand der Anforderungen der Bausteine ein Soll-Ist-Vergleich durchgeführt. 

6. Risikoanalyse

Die spezifischen Risiken für den Informationsverbund werden bewertet und geeignete Sicherheitsmaßnahmen abgeleitet. Anschließend wird entschieden, in welchem Umfang die Sicherheitsmaßnahmen umzusetzen sind. 

7. Umsetzung der Maßnahmen

Bei der Implementierung der Sicherheitsmaßnahmen wird nach Kritikalität und Kosten-Nutzen-Verhältnis priorisiert. 

8. Regelmäßige Überprüfung und Verbesserung

Das ISMS sollte kontinuierlich überwacht, bewertet und weiterentwickelt werden, um die Wirksamkeit der umgesetzten Sicherheitsmaßnahmen zu prüfen und sich neuen Bedrohungen und Technologien anzupassen. 

Fazit – Warum BSI IT-Grundschutz für Ihr Unternehmen wichtig ist

Der BSI IT-Grundschutz bietet Unternehmen eine praxiserprobte und flexible Methodik zur Erhöhung der Informationssicherheit. Durch die strukturierte Vorgehensweise und standardisierten Bausteine ermöglicht er eine effiziente Umsetzung von Sicherheitsmaßnahmen. 

Mit einem ISMS nach BSI IT-Grundschutz können Unternehmen nicht nur gesetzliche Anforderungen erfüllen, sondern auch ihre Resilienz gegenüber Cyberangriffen und Sicherheitsvorfällen stärken. 

Ihr Ansprechpartner
Porträtfoto von Leonhard

Leonhard Lischka

Geschäftsführung und Projektmanagement
leonhard.lischka@umbrellaconsulting.de
Leonhard sorgt dafür, dass komplexe IT- und Netzwerkinfrastrukturprojekte effizient geplant und erfolgreich umgesetzt werden. Mit seinem strukturierten Ansatz optimiert er Prozesse, koordiniert Teams und stellt sicher, dass technische Lösungen nahtlos integriert werden – immer mit Blick auf Stabilität, Sicherheit und Effizienz.
Weitere Inhalte

Themen & Beiträge

Farbstarkes abstraktes Gemälde mit Pink, Blau und Gelbgrün.

IT-Grundschutz++ – Neuer digitaler Ansatz des Bundesamts für Sicherheit in der Informationstechnik (BSI) 

Mit dem Projekt Grundschutz++ modernisiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) den etablierten IT-Grundschutz grundlegend. Ziel ist es, das bisher überwiegend dokumentenbasierte Regelwerk schrittweise durch eine strukturierte, maschinenlesbare Form zu erweitern und damit eine stärker digital integrierte Informationssicherheit zu ermöglichen.  Doch was bedeutet der IT-Grundschutz++ konkret für Unternehmen und Behörden? In diesem Artikel erklären wir, welche Neuerungen der […]

Abstrakte Malerei mit intensiven Blautönen, strukturellen Linien und roten Akzenten.

ISO/IEC 27001: Der Standard für Ihr Informationssicherheits-managementsystem (ISMS) 

Was ist die ISO/IEC 27001? – Definition & Ziele  Die ISO/IEC 27001 ist ein weltweit anerkannter Standard für Informationssicherheit zur Einrichtung und zum Betrieb von Informationssicherheitsmanagementsystemen (ISMS). Sie definiert klare Anforderungen an die Sicherheitsorganisation eines Unternehmens und legt Maßnahmen zur Identifikation, Bewertung und Minimierung von Risiken fest.   Ziele der ISO/IEC 27001:  Struktur der ISO/IEC 27001:2022  Die ISO/IEC 27001:2022 folgt der modernen Harmonized Structure (HS). Dies erleichtert die Integration mit anderen Managementsystemen, wie beispielsweise der ISO 9001 deutlich. Gleichzeitig lassen sich […]

Dunkle abstrakte Malerei mit Tiefe in Grün, Blau und Weiß.

smartNIS: Die smarte Antwort auf die NIS-2-Richtlinie für Erneuerbare Energien 

Die europäische NIS-2-Richtlinie ist Realität: Mit der Verabschiedung des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes am 13. November 2025 im Deutschen Bundestag besteht für Betreiber kritischer Infrastrukturen akuter Handlungsbedarf. Besonders betroffen sind Unternehmen im Bereich Erneuerbare Energien – Windparks, Solaranlagen und Umspannwerke zählen zur KRITIS im Energiesektor. 

Blau dominierender Bildausschnitt eines abstrakten Gemäldes mit feinen Linien und goldenen Details.

Netzwerktechnologien

Was sind Netzwerktechnologien?  Netzwerktechnologien ermöglichen die sichere und effiziente Datenübertragung zwischen IT-Systemen. Ein zentrales Konzept ist das Routing, das den Datenpfad von Datenpaketen durch das Netzwerk bestimmt. Router treffen Routing-Entscheidungen auf Grundlage verschiedener Kriterien wie Netzwerktopologie, Verfügbarkeit von Verbindungen und Routing-Protokoll. Router mit lokaler Sicht kennen nur ihre direkten Nachbarn und entscheiden den nächsten Hop […]

Drei Personen im Seminarraum schauen gemeinsam in ein Buch, durchs Fenster gesehen.

IT-Sicherheit und Agentenfilme faszinieren dich schon immer – aber Hacker, Computer-Nerd oder James Bond zu werden war einfach keine Option?

Komm zu uns