Eine Landesbehörde schreibt einen IT-Dienstleistungs-Auftrag aus. Die Vergabe-Bedingungen fordern eine Zertifizierung „nach ISO 27001 auf Basis von IT-Grundschutz” — der formelle Name für das deutsche Pendant zur reinen ISO-Zertifizierung. Ohne Vertrautheit mit dem Bausteinkonzept, der Modellierung und der Tabelle der elementaren Gefährdungen ist die Angebots-Erstellung ein Glücksspiel.
BSI IT-Grundschutz ist die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Methodik für Informationssicherheit in Deutschland. Sie kombiniert ein Managementsystem (BSI Standard 200-1, kompatibel mit ISO 27001) mit einer Bausteinkonzeption: Pro Asset-Typ liefert das Kompendium konkrete Anforderungen, die nach Basis-, Standard- und erhöhter Schutzbedarfs-Stufe abgestuft sind.
Was umfasst der Standard?
IT-Grundschutz besteht aus zwei Hauptteilen: den BSI-Standards (Methodik) und dem IT-Grundschutz-Kompendium (Inhalte).
Die BSI-Standards 200-x
- BSI 200-1 — Managementsysteme für Informationssicherheit (ISMS): Beschreibt die ISMS-Anforderungen analog zu ISO 27001 Hauptteil. Wer nach 200-2 vorgeht, erfüllt automatisch die ISO-27001-Anforderungen.
- BSI 200-2 — IT-Grundschutz-Methodik: Definiert die drei Vorgehensweisen Basis-, Standard- und Kern-Absicherung sowie die Schritte Strukturanalyse, Schutzbedarfsfeststellung, Modellierung und Basis-Sicherheitscheck.
- BSI 200-3 — Risikoanalyse auf der Basis von IT-Grundschutz: Methodik für Werte mit erhöhtem Schutzbedarf oder ohne passenden Baustein.
- BSI 200-4 — Business Continuity Management: Eigener Standard für BCM, abgestimmt auf den IT-Grundschutz-Rahmen.
Die drei Vorgehensweisen
- Basis-Absicherung: Schneller Einstieg mit den Basis-Anforderungen aller relevanten Bausteine. Ergebnis ist das BSI-Testat „Basis-Absicherung”, keine vollwertige ISO-27001-Zertifizierung.
- Standard-Absicherung: Vollständige Umsetzung nach 200-2 — inklusive Standard-Anforderungen aller Bausteine. Voraussetzung für die Zertifizierung „ISO 27001 auf Basis von IT-Grundschutz”.
- Kern-Absicherung: Konzentriert sich zuerst auf die geschäftskritischen „Kronjuwelen” und erweitert später. Geeignet für Organisationen mit klar identifizierbaren Kern-Werten.
Das IT-Grundschutz-Kompendium
Das Kompendium ist die inhaltliche Substanz des IT-Grundschutzes. Es ist in zehn Schichten gegliedert:
- ISMS — Sicherheitsmanagement
- ORP — Organisation und Personal
- CON — Konzepte und Vorgehensweisen
- OPS — Betrieb
- DER — Detektion und Reaktion
- APP — Anwendungen
- SYS — IT-Systeme
- IND — Industrielle IT
- NET — Netze und Kommunikation
- INF — Infrastruktur
Jeder Baustein enthält Beschreibung, Gefährdungslage, Anforderungen (Basis, Standard, erhöht) und Verweise auf elementare Gefährdungen. Die Anforderungen sind konkret formuliert („Es MUSS …” für Basis, „SOLLTE …” für Standard).
Zertifizierungsprozess
Die Zertifizierung erfolgt durch BSI-zertifizierte Auditteam-Leiter aus akkreditierten Zertifizierungsstellen, im formellen Auftrag des BSI.
Phase 1 — Dokumentenprüfung. Sicherheitsrichtlinien, Strukturanalyse, Schutzbedarfsfeststellung, Modellierung, Basis-Sicherheitscheck, Risikoanalysen für hohen Schutzbedarf.
Phase 2 — Vor-Ort-Audit. Wirksamkeitsprüfung der Anforderungen aus den Bausteinen. Auditoren prüfen Stichproben aus jedem Baustein, oft mit technischen Tests (z. B. Konfigurations-Reviews).
Auditbericht und BSI-Prüfung. Der Auditbericht geht an das BSI, das die Zertifizierung formal ausstellt. Das Zertifikat ist drei Jahre gültig, mit jährlichen Überwachungs-Audits.
Voraussetzungen:
- Vollständig dokumentiertes ISMS nach BSI 200-1/200-2
- Strukturanalyse, Schutzbedarfsfeststellung und Modellierung abgeschlossen
- Basis-Sicherheitscheck mit dokumentierten Reife-Graden
- Risikoanalysen nach 200-3 für hohen Schutzbedarf und Werte ohne Baustein
- Mindestens ein interner Audit-Zyklus und Management-Review
Mapping zu anderen Standards
| Standard | Verhältnis zu IT-Grundschutz |
|---|---|
| ISO/IEC 27001:2022 | BSI 200-1/200-2 erfüllen ISO-27001-Anforderungen; Zertifikat „ISO 27001 auf Basis von IT-Grundschutz” möglich |
| ISO/IEC 27002:2022 | Anforderungen aus IT-Grundschutz-Bausteinen mappen auf Annex-A-Kontrollen; offizielle Mapping-Tabellen vom BSI |
| ISO/IEC 27005:2022 | BSI 200-3 als deutsches Pendant zur Risikoanalyse |
| ISO 22301 | BSI 200-4 als deutscher BCM-Standard |
| C5 (BSI) | Cloud-Anforderungen, ergänzen IT-Grundschutz für Cloud-Bereitstellungen |
| NIS-2-Richtlinie / KRITIS | IT-Grundschutz ist anerkannte Methodik zum Nachweis der Sicherheits-Anforderungen |
| BSI TR-03161 | Sichere Apps; ergänzt IT-Grundschutz für mobile Anwendungen |
Implementierungs-Aufwand
KMU (10–50 Personen): 8–14 Monate Aufbau, 0,3–0,7 FTE für Betrieb. Höher als ISO 27001, weil die Detailtiefe pro Baustein größer ist.
Mittelstand (50–500 Personen): 14–24 Monate Aufbau, 1–2 FTE für Betrieb.
Behörden / KRITIS (variabel): 18–36 Monate Aufbau, dauerhaft 2–10 FTE im IT-Sicherheits-Team, ergänzt um dezentrale Verantwortliche pro Fachbereich.
Werkzeug-Empfehlung: Reine Excel-Pflege scheitert bei Standard-Absicherung spätestens ab 50 Werten oder 30+ Bausteinen. Etablierte GRC-Werkzeuge oder spezialisierte Grundschutz-Tools (z. B. verinice) sind verbreitet.
Verwandte Standards
- ISO/IEC 27001: Internationale Alternative; Zertifikat „ISO 27001 auf Basis von IT-Grundschutz” verbindet beide Welten.
- ISO/IEC 27002: Liefert Umsetzungs-Hinweise zu Annex-A-Kontrollen; Mapping mit Bausteinen verfügbar.
- ISO/IEC 27005: Internationale Risikomanagement-Methodik als Alternative zu BSI 200-3.
- BSI C5: Cloud-Anforderungen, ergänzen IT-Grundschutz für Cloud-Themen.
Quellen
- BSI: IT-Grundschutz — offizielle Übersicht
- BSI Standards 200-1, 200-2, 200-3, 200-4 — Methodik-Dokumente (kostenfrei)
- IT-Grundschutz-Kompendium — Bausteine (kostenfrei)
- BSI: Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz — Zertifizierungs-Schema