Zum Hauptinhalt springen
Informationssicherheit / NIS2

BSI IT-Grundschutz

Das vom Bundesamt für Sicherheit in der Informationstechnik entwickelte Framework für systematische Informationssicherheit.

Der BSI IT-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes und gepflegtes Rahmenwerk für die systematische Umsetzung von Informationssicherheit in Organisationen. Er bietet mit dem IT-Grundschutz-Kompendium eine umfangreiche Sammlung von Bausteinen, Sicherheitsanforderungen und Maßnahmen, die auf typische IT-Systeme und Prozesse zugeschnitten sind. Das Framework eignet sich besonders für deutsche Behörden und öffentliche Einrichtungen, findet aber auch zunehmend in der Privatwirtschaft Anwendung.

Das Framework gliedert sich in vier BSI-Standards: BSI 200-1 (Managementsysteme für Informationssicherheit), BSI 200-2 (IT-Grundschutz-Methodik), BSI 200-3 (Risikoanalyse auf Basis IT-Grundschutz) und BSI 200-4 (Business Continuity Management). Organisationen können den IT-Grundschutz auf drei Absicherungsniveaus anwenden: Basis- und Standard-Absicherung sowie die Kern-Absicherung für besonders schützenswerte Bereiche. Eine Zertifizierung nach IT-Grundschutz ist möglich und wird vom BSI als Nachweis anerkannt.

Der IT-Grundschutz ist zu ISO/IEC 27001 kompatibel – eine IT-Grundschutz-Zertifizierung entspricht inhaltlich weitgehend einer ISO-27001-Zertifizierung. Viele Bundesbehörden und KRITIS-Betreiber sind verpflichtet, die IT-Grundschutz-Methodik anzuwenden. Für Unternehmen, die sowohl nationale Anforderungen als auch internationale Normen erfüllen möchten, bietet der IT-Grundschutz einen bewährten deutschen Einstiegspunkt in ein vollständiges ISMS.

Rechtliche Grundlage

BSI-Standards 200-1 bis 200-4, BSIG (BSI-Gesetz)

Praxisbeispiel

Eine Bundesbehörde mit 300 Beschäftigten muss ihr Informationssicherheitsniveau nachweisen und entscheidet sich für die Standard-Absicherung nach IT-Grundschutz. Auf Basis des IT-Grundschutz-Kompendiums werden die relevanten Bausteine für Server, Netze, Gebäude und Organisation identifiziert und die enthaltenen Anforderungen auf Umsetzung geprüft. Fehlende Maßnahmen werden in einem Maßnahmenplan dokumentiert und priorisiert umgesetzt. Nach zwei Jahren Betrieb wird das ISMS durch einen BSI-auditierten Prüfer geprüft und das IT-Grundschutz-Zertifikat ausgestellt.

Häufige Fragen

Der BSI IT-Grundschutz ist ein deutsches Framework für Informationssicherheit, das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt wurde. Es enthält Bausteine, Sicherheitsanforderungen und Methoden zur systematischen Absicherung von IT-Systemen und Prozessen und ermöglicht eine offizielle Zertifizierung.
Der IT-Grundschutz ist besonders für deutsche Bundesbehörden und öffentliche Einrichtungen relevant, die ihn teilweise verpflichtend anwenden müssen. Auch KRITIS-Betreiber und Unternehmen, die mit Behörden zusammenarbeiten, nutzen ihn. Privatunternehmen können ihn als Alternative oder Ergänzung zu ISO 27001 einsetzen.
Beide Ansätze sind miteinander kompatibel: Der IT-Grundschutz bietet konkretere, auf deutsche Verhältnisse zugeschnittene Umsetzungshinweise, während ISO 27001 ein internationaler, technologieneutraler Standard ist. Eine IT-Grundschutz-Zertifizierung entspricht inhaltlich weitgehend einer ISO-27001-Zertifizierung auf Basis von IT-Grundschutz.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

ISMS (Informationssicherheits-Managementsystem) ISO 27001 CISIS12 Risikobewertung (Risk Assessment) Technische und organisatorische Maßnahmen (TOMs)
Zurück zum Glossar