Der BSI IT-Grundschutz ist die deutsche Methodik zur systematischen IT-Sicherheits-Implementierung — herausgegeben vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Im Kern besteht er aus dem BSI Grundschutz-Kompendium mit über 100 Bausteinen sowie den vier BSI-Standards 200-1 bis 200-4, die die methodische Grundlage liefern. Drei Vorgehensweisen — Basis, Standard, Kern — erlauben skalierbare Anwendung von KMU bis zur kritischen Infrastruktur. Der IT-Grundschutz ist die bevorzugte Methodik für Behörden, kommunale Träger und KRITIS-Betreiber, kombiniert mit ISO-27001-Zertifizierung auf Basis IT-Grundschutz den Goldstandard für deutsche öffentliche Auftraggeber. Über 80 % der Bundesbehörden und 65 % der Landes-Verwaltungen orientieren sich an IT-Grundschutz.
Kerntatsachen
BSI Grundschutz-Kompendium mit aktuell rund 110 Bausteinen in 10 Schichten (B1: ISMS, B2: ORP, B3: CON, B4: NET, B5: APP, B6: SYS, B7: IND, B8: NET, B9: DER).
Vier BSI-Standards: 200-1 Managementsystem, 200-2 Vorgehensweise, 200-3 Risikoanalyse, 200-4 BCM.
Drei Vorgehensweisen: Basis (KMU, Einstieg), Standard (mittlere Komplexität), Kern (kritische Infrastruktur).
ISO 27001 auf Basis IT-Grundschutz ist die premium-Zertifizierung für deutsche Behörden und KRITIS — TÜV-zertifiziert.
KRITIS-Bezug: IT-Grundschutz ist die empfohlene Methodik für KRITIS-Sicherheits-Nachweise nach BSI-Kritisverordnung.
Verbindlich für Bundesbehörden seit 2021 (UP Bund 2021).
Synergien mit ISO 27001: ca. 70-80 % Mapping; mit NIS2: zentrale Methodik für die zehn Pflichtbereiche.
Der BSI IT-Grundschutz ist die deutsche Methodik zur Implementierung eines systematischen Informationssicherheits-Managementsystems (ISMS). Er ergänzt ISO 27001 durch:
konkrete, vorgefertigte Bausteine (statt nur abstrakte Anforderungen)
standardisierte Vorgehensweise mit klaren Schritten
deutscher Sprachraum (Originalsprache Deutsch)
starker Behördenbezug (BSI als nationale Cyber-Sicherheits-Behörde)
Geschichte
Jahr
Entwicklung
1994
erste Version IT-Grundschutzhandbuch
2008
BSI-Standard 100-Familie (100-1 bis 100-4)
2017
Modernisierung — neuer BSI-Standard 200-1 bis 200-4 + neues Grundschutz-Kompendium
2024
Edition 2024 mit erweiterten Cloud- und Industrie-4.0-Bausteinen
Wer nutzt IT-Grundschutz?
Typische Anwender
Häufigkeit
Bundes-, Landes-, Kommunal-Behörden
sehr häufig — verbindlich für Bundesbehörden
KRITIS-Betreiber
häufig — empfohlene Methodik
Bildungseinrichtungen (Universitäten, Schulen)
häufig
Mittelstand mit Behördenbezug
häufig
IT-Dienstleister mit öffentlichem Sektor
häufig
Banken und Versicherungen
gelegentlich (oft kombiniert mit ISO 27001)
Kennzahl
Über 80 % der Bundesbehörden orientieren sich am IT-Grundschutz. Das UP Bund 2021 macht IT-Grundschutz zur verbindlichen Methodik für die Bundesverwaltung — und faktisch zum Quasi-Standard für jeden Anbieter mit öffentlichem Auftrag.
Vier BSI-Standards
Die vier BSI-Standards 200-x bilden das methodische Rückgrat des IT-Grundschutzes.
Übersicht
Standard
Inhalt
Anwendung
BSI-Standard 200-1
Managementsysteme für Informationssicherheit (ISMS)
übergeordneter Rahmen — analog zu ISO 27001 Hauptnorm
BSI-Standard 200-2
IT-Grundschutz-Methodik
konkrete Vorgehensweise (Basis, Standard, Kern)
BSI-Standard 200-3
Risikoanalyse auf Basis IT-Grundschutz
für hohen / sehr hohen Schutzbedarf
BSI-Standard 200-4
Business Continuity Management (BCM)
Notfall-Management
BSI-Standard 200-1 — ISMS
Definiert die allgemeinen Anforderungen an ein ISMS — vergleichbar mit ISO 27001 Klauseln 4-10. Hauptthemen:
Verantwortlichkeit der Leitung
Sicherheitsleitlinie
Risikomanagement
Wirksamkeitsmessung
kontinuierliche Verbesserung
BSI-Standard 200-2 — Vorgehensweise
Die konkrete IT-Grundschutz-Methodik mit drei Vorgehensweisen:
Basis-Absicherung für Einstieg und KMU
Standard-Absicherung für mittlere bis hohe Komplexität
Kern-Absicherung für kritische Geschäftsprozesse
BSI-Standard 200-3 — Risikoanalyse
Die ergänzende Risikoanalyse für Schutzbedarf „hoch" oder „sehr hoch" — wenn die Standard-Absicherung allein nicht ausreicht.
BSI-Standard 200-4 — BCM
Business Continuity Management — vollständiger Notfall-Management-Standard, deutlich detaillierter als die ISO-22301-Pendants.
Drei Vorgehensweisen
Der IT-Grundschutz bietet drei Vorgehensweisen mit unterschiedlicher Tiefe und Skalierung.
Basis-Absicherung
Aspekt
Detail
Geeignet für
Einsteiger, KMU
Umsetzungs-Tiefe
Mindeststandards
Ressourcen
gering bis mittel
Implementierungs-Dauer
6-9 Monate
Audit-Anforderung
nicht zertifizierbar (Selbstauskunft)
Die Basis-Absicherung deckt nur die kritischsten Anforderungen ab — ideal für Erstimplementierung und kleinere Organisationen.
Standard-Absicherung
Aspekt
Detail
Geeignet für
Mittelstand, regelmäßiger Behördenkontakt
Umsetzungs-Tiefe
vollständige IT-Grundschutz-Anwendung
Ressourcen
mittel bis hoch
Implementierungs-Dauer
9-15 Monate
Audit-Anforderung
zertifizierbar (ISO 27001 auf Basis IT-Grundschutz)
Die häufigste Vorgehensweise — entspricht in etwa einer ISO-27001-Vollumsetzung mit deutschem Schwerpunkt.
Kern-Absicherung
Aspekt
Detail
Geeignet für
KRITIS, hochkritische Geschäftsprozesse
Umsetzungs-Tiefe
Fokus auf Kern-Prozesse mit höchsten Anforderungen
Ressourcen
hoch
Implementierungs-Dauer
12-24 Monate
Audit-Anforderung
zertifizierbar mit erweiterten Anforderungen
Die Kern-Absicherung priorisiert die kritischsten Geschäftsprozesse mit detaillierter Risikoanalyse nach BSI-Standard 200-3.
Grundschutz-Kompendium
Das BSI Grundschutz-Kompendium ist das zentrale Maßnahmen-Werk mit aktuell rund 110 Bausteinen.
Aufbau eines Bausteins
Jeder Baustein hat eine standardisierte Struktur:
Abschnitt
Inhalt
Beschreibung
Anwendungsbereich des Bausteins
Zielgruppe
wer ist verantwortlich für die Umsetzung
Abgrenzungen und Modellierung
Verhältnis zu anderen Bausteinen
Gefährdungslage
typische Bedrohungen für den Anwendungsbereich
Anforderungen
konkrete Sicherheitsmaßnahmen mit Prioritäten
Anforderungs-Klassifikation
Klasse
Bedeutung
B (Basis)
Mindestanforderungen — immer umzusetzen
S (Standard)
Standard-Anforderungen — bei Standard-Absicherung umzusetzen
H (Hoher Schutzbedarf)
erweiterte Anforderungen für hohen Schutzbedarf
Umsetzungs-Empfehlungen
Pro Anforderung gibt es:
konkrete Umsetzungs-Empfehlungen
Prüfkriterien für Audits
Verweise auf andere Bausteine und Standards
Schichten
Das Kompendium ist in zehn Schichten strukturiert.
Übersicht der Schichten
Schicht
Code
Inhalt
ISMS
ISMS
Sicherheitsmanagement
Organisation und Personal
ORP
Rollen, Schulung, Verantwortlichkeiten
Konzepte und Vorgehensweisen
CON
übergreifende Konzepte
Operative Sicherheit
OPS
Patch-Management, Change-Management
Detektion und Reaktion
DER
SOC, Incident-Response
Anwendungen
APP
Software, Web, Datenbanken
IT-Systeme
SYS
Server, Clients, Netzwerk-Komponenten
Industrielle IT
IND
OT, ICS, SCADA
Netze und Kommunikation
NET
LAN, WAN, Wireless
Infrastruktur
INF
Gebäude, Räume, USV, Klima
Beispiel-Bausteine
Baustein
Bezeichnung
ISMS.1
Sicherheitsmanagement
ORP.3
Sensibilisierung und Schulung
CON.3
Datensicherungskonzept
OPS.1.1.3
Patch- und Änderungsmanagement
DER.2.1
Behandlung von Sicherheitsvorfällen
APP.5.4
Mobile Applikationen
SYS.2.1
Allgemeiner Client
NET.3.1
Router und Switches
INF.1
Allgemeines Gebäude
Schutzbedarfsfeststellung
Vor der Modellierung ist die Schutzbedarfsfeststellung durchzuführen — die Bestimmung, wie kritisch ein Geschäftsprozess oder ein IT-System ist.
Schutzbedarfs-Kategorien
Kategorie
Bedeutung
Beispiel
Normal
Schäden begrenzt und überschaubar
Standard-Geschäftsdaten
Hoch
Schäden beträchtlich
wichtige Personaldaten
Sehr hoch
Schäden existenziell oder Verletzung von Grundwerten
Patientendaten, Staatsgeheimnisse
Schutzziele
Pro Geschäftsprozess / IT-System wird der Schutzbedarf separat für drei Schutzziele bestimmt:
Schutzziel
Bewertung
Vertraulichkeit
wie kritisch ist die Geheimhaltung
Integrität
wie kritisch ist die Unverfälschtheit
Verfügbarkeit
wie kritisch ist die Erreichbarkeit
Vererbung
Schutzbedarfe vererben sich entlang der Schichten:
Die Modellierung ordnet jedem Element des Anwendungsbereichs die passenden Bausteine zu.
Modellierungs-Prinzipien
Prinzip
Anwendung
Verbindliche Bausteine
bestimmte Bausteine immer anwendbar (z. B. ISMS.1)
Bedingte Bausteine
nur bei Vorhandensein bestimmter Voraussetzungen
Wahlweise Bausteine
bei Verzicht zu begründen
Strukturanalyse
Vor der Modellierung wird der Anwendungsbereich strukturiert dokumentiert:
Geschäftsprozesse
IT-Anwendungen
IT-Systeme
Netze
Räume und Gebäude
Modellierungs-Output
Eine vollständige Modellierung ergibt eine Soll-Liste aller anwendbaren Bausteine mit ihren Anforderungen. Die anschließende Ist-Soll-Analyse zeigt Lücken und Maßnahmenbedarf.
Risikoanalyse
Nach BSI-Standard 200-3 ist eine ergänzende Risikoanalyse erforderlich, wenn:
Schutzbedarf „hoch" oder „sehr hoch" ist
spezielle Bedrohungen vorliegen
Standard-Absicherung allein nicht ausreicht
Methodik
Schritt
Inhalt
1. Bedrohungs-Identifikation
spezifische Bedrohungen für den Anwendungsbereich
2. Schwachstellen-Analyse
wo sind Systeme verwundbar
3. Eintrittswahrscheinlichkeit
wie wahrscheinlich tritt das Risiko ein
4. Auswirkungs-Bewertung
welche Konsequenzen
5. Risikobewertung
Eintritt × Auswirkung
6. Risikobehandlung
Maßnahmen über Standard-Anforderungen hinaus
BCM
BSI-Standard 200-4 ist der detaillierte BCM-Standard — deutlich konkreter als ISO 22301.
Komponenten
Komponente
Inhalt
Business-Impact-Analyse (BIA)
kritische Geschäftsprozesse identifizieren
RTO / RPO
Wiederherstellungs- und Wiederherstellungs-Punkt-Ziele
Notfallpläne
konkrete Verfahren bei Ausfällen
Krisenkommunikation
interne und externe Kommunikation
Notfallübungen
regelmäßige Tests
Wiederherstellungs-Strategie
technische und organisatorische Maßnahmen
Vorteile gegenüber ISO 22301
konkretere Vorgaben mit BSI-Bausteinen
deutscher Sprachraum und behördlicher Bezug
tiefere Integration mit IT-Sicherheits-Maßnahmen
ISO 27001 auf Basis Grundschutz
Die „ISO 27001 Zertifizierung auf Basis IT-Grundschutz" ist die deutsche Premium-Zertifizierung.
Was ist das?
Eine reguläre ISO-27001-Zertifizierung — durchgeführt durch DAkkS-akkreditierte Zertifizierer — die zusätzlich nachweist, dass das ISMS auf der BSI-IT-Grundschutz-Methodik beruht.
Vorteile
Vorteil
Beschreibung
Internationale Anerkennung
als ISO 27001 weltweit gültig
Deutsche Granularität
konkrete BSI-Bausteine als Maßnahmen
Behörden-Anerkennung
besonders wertvoll bei öffentlichem Auftrag
KRITIS-Eignung
gilt als Standardnachweis für KRITIS-Pflichten
Auditprozess
Die Zertifizierung erfolgt durch akkreditierte Zertifizierer wie:
TÜV Süd / Nord / Rheinland
DEKRA
DQS
BSI-Zertifizierungsstelle
KRITIS-Bezug
Für KRITIS-Betreiber ist IT-Grundschutz die bevorzugte Methodik zur Erfüllung der gesetzlichen Sicherheits-Nachweise nach BSI-Kritisverordnung.
KRITIS-Sektoren
Sektor
Anforderung
Energie
regelmäßiger KRITIS-Nachweis
Wasser
regelmäßiger KRITIS-Nachweis
Ernährung
regelmäßiger KRITIS-Nachweis
Gesundheit
regelmäßiger KRITIS-Nachweis
Finanzwesen
DORA + KRITIS
Transport
regelmäßiger KRITIS-Nachweis
Telekommunikation
NIS2 + KRITIS
IT-Dienste
NIS2-Anwendung
KRITIS-Pflicht-Frequenz
Frequenz
Aktivität
Alle 2 Jahre
umfassender Sicherheits-Nachweis an BSI
Jährlich
aktualisierter Risikobericht
Bei Sicherheitsvorfällen
Meldung an BSI
Regelmäßig
Sicherheits-Audit
NIS2-Synergien
NIS2 fordert zehn Pflichtbereiche, die mit IT-Grundschutz weitgehend abgedeckt sind.
Mapping
NIS2-Bereich
IT-Grundschutz-Bezug
Risikoanalyse
BSI-Standard 200-3 + ISMS-Bausteine
Vorfalls-Bewältigung
DER-Schicht (Detektion und Reaktion)
Betriebs-Kontinuität
BSI-Standard 200-4 (BCM)
Lieferketten-Sicherheit
OPS und CON-Schichten
Sicherheit bei Beschaffung/Entwicklung
APP- und SYS-Schichten
Wirksamkeits-Bewertung
ISMS-Bausteine
Cyber-Hygiene/Schulung
ORP.3
Kryptographie
CON.1 (Krypto-Konzept)
Personal/Zugriff/Asset
ORP- und ISMS-Bausteine
MFA
OPS-Bausteine
Strategische Empfehlung
KRITIS-Betreiber und Behörden können IT-Grundschutz als zentrale Compliance-Wirbelsäule nutzen — mit Erweiterungen für DORA (Banken) und DSGVO-spezifische Anforderungen.
Implementierungs-Roadmap
Eine Standard-Implementation der IT-Grundschutz-Standard-Absicherung dauert 9-15 Monate.
Aus der Praxis von über 100 Grundschutz-Implementierungen.
Top-10 Fehler
Fehler
Häufigkeit
Anwendungsbereich zu weit gefasst
35 %
Unzureichende Schutzbedarfsfeststellung
40 %
Modellierung lückenhaft
30 %
Ist-Soll-Analyse oberflächlich
35 %
Risikoanalyse für hohen Schutzbedarf nicht durchgeführt
25 %
Vernachlässigte Wirksamkeitsmessung
50 %
Schulungen ohne Wirksamkeitsnachweis
35 %
Zentrale Bausteine vergessen
20 %
Kein klares Sicherheitsmanagement
25 %
Zertifizierung ohne ISO-27001-Hauptnorm-Anforderungen
15 %
FAQ
Was ist der Unterschied zwischen IT-Grundschutz und ISO 27001?
ISO 27001 ist der internationale Standard mit risikoorientiertem Ansatz. IT-Grundschutz ist die deutsche Methodik mit konkreten Bausteinen. Beide kombinierbar als „ISO 27001 auf Basis IT-Grundschutz".
Welche Vorgehensweise ist die richtige?
Basis für KMU-Einstieg, Standard für Mittelstand und Behörden, Kern für KRITIS und kritische Infrastruktur.
Was ist das Grundschutz-Kompendium?
Das zentrale Maßnahmen-Werk mit über 110 Bausteinen — verfügbar kostenlos auf der BSI-Website.
Eine reguläre ISO-27001-Zertifizierung — zusätzlich mit Nachweis, dass das ISMS auf BSI-IT-Grundschutz beruht. Die Premium-Zertifizierung für deutsche Behörden und KRITIS.
Welche Synergien gibt es mit DSGVO?
IT-Grundschutz deckt einen Großteil der DSGVO-TOMs (Art. 32) ab — vor allem die technischen Maßnahmen.
Der BSI IT-Grundschutz ist die deutsche Premium-Methodik für Informationssicherheit — besonders wertvoll für Behörden, KRITIS-Betreiber und alle Unternehmen mit Bezug zur öffentlichen Hand. Drei strategische Empfehlungen:
Erstens, richtige Vorgehensweise wählen. Basis für Einstieg, Standard für die Mehrheit, Kern für kritische Infrastruktur.
Zweitens, strukturierte Modellierung. Eine sorgfältige Schutzbedarfsfeststellung und Modellierung erspart später viel Nacharbeit.
Drittens, mit ISO 27001 kombinieren. Die ISO 27001 auf Basis IT-Grundschutz ist die premium-Zertifizierung für deutsche öffentliche Auftraggeber — international anerkannt und behördlich geschätzt.
Vision Compliance unterstützt Behörden, KRITIS-Betreiber und Unternehmen mit Bezug zur öffentlichen Hand bei der IT-Grundschutz-Implementierung — als Teil unserer Cyber-Security-Beratung und NIS2-Beratung, von der Schutzbedarfsfeststellung über die Modellierung bis zur Audit-Vorbereitung. Wir kombinieren BSI-Methodik mit ISO-27001-Erfahrung. Sprechen Sie uns an für ein kostenloses Erstgespräch mit individueller Methodik-Empfehlung.
Robert Lozo, mag. iur., is a Partner at Vision Compliance specializing in EU regulatory compliance. He advises organizations on GDPR, NIS2, AI Act, and financial regulation, delivering audit-ready documentation and compliance roadmaps across regulated industries.
