IT-Grundschutz: Audits & ISMS-Zertifizierung auf Basis von IT-Grund­schutz

Jetzt individuelles Angebot anfordern

Ganzheitlich & systematisch: Informationssicherheit mit IT-Grundschutz

Angesichts der ständig wachsenden Bedrohungen durch Cyberkriminalität und Datenverletzungen ist eine robuste Informationssicherheitsstrategie unerlässlich.

Mit dem IT-Grundschutz gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) Unternehmen eine Methodik an die Hand, mit der sie ihre Daten, Systeme und Informationen ganzheitlich absichern und erfolgreich ein Managementsystem für Informationssicherheit (ISMS) implementieren können.
 

  Nachweis ganzheitlicher Informationssicherheit

Der ganzheitliche Ansatz unterstützt Sie dabei, Informationen, Daten und bestehende IT- sowie Geschäftsprozesse umfassend zu schützen. 
 

  Prävention statt Rehabilitation

Mit der Umsetzung des IT-Grundschutzes beugen Sie IT-Ausfällen & Datenverlusten – und damit einhergehenden finanziellen sowie Reputationsschäden – vor. 
  

  Passgenaues ISMS dank Baukastenprinzip

Der modulare Aufbau des IT-Grundschutzes ermöglicht eine flexible Anpassung an die spezifischen Anforderungen Ihres Unternehmens. 
  

Was ist IT-Grundschutz?

Der IT-Grundschutz ist eine durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte, systematische Vorgehensweise, mit der Unternehmen und Behörden ein passgenaues Informationssicherheits-Managementsystem (ISMS) aufbauen und langfristig etablieren können. 

Dabei verfolgt der IT-Grundschutz einen ganzheitlichen Ansatz zur Infor­ma­tionssicherheit, der neben technischen Aspekten auch infrastrukturelle, organisatorische und personelle Themen in den Blick nimmt. 

Der IT-Grundschutz setzt sich zusammen aus:

  • den BSI-Standards, die Best Practices zum ISMS-Aufbau beinhalten, und
  • dem IT-Grundschutz-Kompendium, das konkrete Sicherheits­anforderungen enthält.

 

IT-Grundschutz: Die BSI-Standards in der Übersicht

BSI-Standard 200-1 


Definiert grundlegende Anforderungen an ein Managementsystem für Informationssicherheit (ISMS)

- Komponenten eines ISMS
- Aufgaben der Leitungsebene

BSI-Standard 200-2


Etabliert 3 Vorgehensweisen bei der Umsetzung des IT-Grundschutzes:

- Basis-Absicherung
- Standard-Absicherung
- Kern-Absicherung

BSI-Standard 200-3


Stellt ein vereinfachtes Verfahren zur Risikoanalyse dar

-  Risikobezogene Arbeitsschritte bei der Umsetzung des IT-Grundschutzes

BSI-Standard 200-4


Bietet eine praxisnahe Anleitung, um ein Business Continuity Management System (BCMS) in einer Behörde oder einem Unternehmen aufzubauen & erfolgreich zu etablieren

IT-Grundschutz: Vorteile im Überblick

Erfüllung von BSI-Anforderungen
Sie setzen die fundierten Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik um. 
 

Reduzierung von IT-Ausfällen
Durch das Aufdecken von Schwachstellen minimieren Sie IT-Sicherheitsrisiken & deren potenzielle Folgen wie Ausfälle.
 

Nachhaltiger Schutz
Mit IT-Grundschutz schützen Sie sensible Informationen und Daten sowie bestehende IT- & Geschäftsprozesse.
 

Ganzheitliche Informationssicherheit
Die systematische Vorgehensweise deckt technische, infrastrukturelle, organisatorische & personelle Aspekte ab.
  

Gestärktes Vertrauen
Durch die Erfüllung der IT-Grundschutz-Anforderungen erhöhen Sie das Vertrauen bei Kunden & Geschäftspartnern.

Sensibilisierung von Mitarbeitenden
Die Umsetzung des IT-Grundschutzes stärkt das Bewusstsein für Informationssicherheit innerhalb des Unternehmens.
 

Modularer Aufbau
Die Vielzahl von Bausteinen des IT-Grundschutzes ermöglicht eine flexible Anpassung an das eigene Unternehmen.
 

Langfristige Kosteneinparungen
Die Optimierung von Prozessen & die Verhinderung von Si­cher­heitsvorfällen führen langfristig zu Kosteneinsparungen.
 

Unsere Leistungen zum IT-Grundschutz


Standortbestimmung bezüglich der IT-Sicherheit in Ihrer Organisation


Analyse & Bewertung des Managements der Informationssicherheit nach IT-Grundschutz


Durchführung von Gap-Analysen zur Bestimmung von Abweichungen


ISMS-Assessments durch lizenzierte & erfahrene ISMS-Auditor:innen


Planung & Durchführung von IT-Grundschutz-Audits als Basis für Zertifizierungen nach ISO 27001


Planung & Durchführung von Lieferantenaudits

IT-Grundschutz-Bausteine nach IT-Grundschutz-Kompendium

Die IT-Grundschutz-Methodik besteht aus 10 verschiedenen Bausteinen, die die wichtigsten Anforderungen und Empfehlungen zur Absicherung einzelner sowie komplexer Systeme und Prozesse beinhalten. Anwender:innen können gezielt die Bausteine wählen, die für ihre Organisation relevant sind. Die aktuelle Edition 2023 wurde im Februar 2023 veröffentlicht. 

  

ISMS: Sicherheitsmanagement

ISMS.1 Sicherheitsmanagement

ORP: Organisation und Personal

ORP.1 Organisation
ORP.2 Personal
ORP.3 Sensibilisierung und Schulung zur Informationssicherheit
ORP.4 Identitäts- und Berechtigungsmanagement
ORP.5 Compliance Management (Anforderungsmanagement)

CON: Konzeption und Vorgehensweise

CON.1 Kryptokonzept
CON.2 Datenschutz
CON.3 Datensicherungskonzept
CON.6 Löschen und Vernichten
CON.7 Informationssicherheit auf Auslandsreisen
CON.8 Software-Entwicklung
CON.9 Informationsaustausch
CON.10 Entwicklung von Webanwendungen
CON.11.1 Geheimschutz VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD)

OPS: Betrieb

OPS.1.1.1 Allgemeiner IT-Betrieb
OPS.1.1.2 Ordnungsgemäße IT-Administration
OPS.1.1.3 Patch- und Änderungsmanagement
OPS.1.1.4 Schutz vor Schadprogrammen
OPS.1.1.5 Protokollierung
OPS.1.1.6 Software-Tests und -Freigaben
OPS.1.1.7 Systemmanagement
OPS.1.2.2 Archivierung
OPS.1.2.4 Telearbeit
OPS.1.2.5 Fernwartung
OPS.1.2.6 NTP -Zeitsynchronisation
OPS.2.2 Cloud-Nutzung
OPS.2.3 Nutzung von Outsourcing
OPS.3.2 Anbieten von Outsourcing

DER: Detektion und Reaktion

DER.1 Detektion von sicherheitsrelevanten Ereignissen
DER.2.1 Behandlung von Sicherheitsvorfällen
DER.2.2 Vorsorge für die IT-Forensik
DER.2.3 Bereinigung weitreichender Sicherheitsvorfälle
DER.3.1 Audits und Revisionen
DER.3.2 Revision auf Basis des Leitfadens IS-Revision
DER.4 Notfallmanagement

APP: Anwendungen

APP.1.1 Office-Produkte
APP.1.2 Webbrowser
APP.1.4 Mobile Anwendung (Apps)
APP.2.1 Allgemeiner Verzeichnisdienst
APP.2.2 Active Directory Domain Services
APP.2.3 OpenLDAP
APP.3.1 Webanwendungen und Webservices
APP.3.2 Webserver
APP.3.3 Fileserver
APP.3.4 Samba
APP.3.6 DNS-Server
APP.4.2 SAP-ERP-System
APP.4.3 Relationale Datenbanksysteme
APP.4.4 Kubernetes
APP.4.6 SAP ABAP-Programmierung
APP.5.2 Microsoft Exchange und Outlook
APP.5.3 Allgemeiner E-Mail-Client und -Server
APP.5.4 Unified Communications und Collaboration
APP.6 Allgemeine Software
APP.7 Entwicklung von Individualsoftware

SYS: IT-Systeme

SYS.1.1 Allgemeiner Server
SYS.1.2.2 Windows Server 2012
SYS.1.2.3 Windows Server
SYS.1.3 Server unter Linux und Unix
SYS.1.5 Virtualisierung
SYS.1.6 Containerisierung
SYS.1.7 IBM Z
SYS.1.8 Speicherlösungen
SYS.1.9 Terminalserver
SYS.2.1 Allgemeiner Client
SYS.2.2.3 Clients unter Windows
SYS.2.3 Clients unter Linux und Unix
SYS.2.4 Clients unter macOS
SYS.2.5 Client-Virtualisierung
SYS.2.6 Virtual Desktop Infrastructure
SYS.3.1 Laptops
SYS.3.2.1 Allgemeine Smartphones und Tablets
SYS.3.2.2 Mobile Device Management (MDM)
SYS.3.2.3 iOS (for Enterprise)
SYS.3.2.4 Android
SYS.3.3 Mobiltelefon
SYS.4.1 Drucker, Kopierer und Multifunktionsgeräte
SYS.4.3 Eingebettete Systeme
SYS.4.4 Allgemeines IoT-Gerät
SYS.4.5 Wechseldatenträger

IND: Industrielle IT

IND.1 Prozessleit- und Automatisierungstechnik
IND.2.1 Allgemeine ICS-Komponente
IND.2.2 Speicherprogrammierbare Steuerung (SPS)
IND.2.3 Sensoren und Aktoren
IND.2.4 Maschine
IND.2.7 Safety Instrumented Systems
IND.3.2 Fernwartung im industriellen Umfeld

NET: Netze und Kommunikation

NET.1.1 Netzarchitektur und -design
NET.1.2 Netzmanagement
NET.2.1 WLAN-Betrieb
NET.2.2 WLAN-Nutzung
NET.3.1 Router und Switches
NET.3.2 Firewall
NET.3.3 VPN
NET.3.4 Network Access Control
NET.4.1 TK-Anlagen
NET.4.2 VoIP
NET.4.3 Faxgeräte und Faxserver

INF: Infrastruktur

INF.1 Allgemeines Gebäude
INF.2 Rechenzentrum sowie Serverraum
INF.5 Raum sowie Schrank für technische Infrastruktur
INF.6 Datenträgerarchiv
INF.7 Büroarbeitsplatz
INF.8 Häuslicher Arbeitsplatz
INF.9 Mobiler Arbeitsplatz
INF.10 Besprechungs-, Veranstaltungs- und Schulungsraum
INF.11 Allgemeines Fahrzeug
INF.12 Verkabelung
INF.13 Technisches Gebäudemanagement
INF.14 Gebäudeautomation

Zertifizierung nach IT-Grundschutz

ISO 27001-Zertifizierung auf Basis von IT-Grundschutz

Wenn Sie ein ISMS nach IT-Grundschutz implementiert haben, besteht die Möglichkeit einer Zertifizierung „ISO 27001 auf der Basis von IT-Grund­schutz (BSI-Standard 200-2: IT-Grundschutz-Methodik)“. 

Das Zertifikat belegt, dass Ihr ISMS nicht nur die allgemeinen Anforderungen der ISO 27001 erfüllt, sondern auch die wesentlich konkreteren Anforderungen des IT-Grundschutzes. Zertifizierungsgegenstand muss nicht zwingend das gesamte Unternehmen sein. Es ist auch denkbar, die Zertifizierung auf einzelne Geschäftsprozesse, Fachaufgaben oder Organisationseinheiten zu beschränken.

Unsere beim BSI zertifizierten Auditor:innen führen Audits nach ISO 27001 auf der Basis von IT-Grundschutz durch. Nehmen Sie gerne Kontakt zu uns auf. 

  

IT-Grundschutz vs. ISO 27001

Sowohl der IT-Grundschutz als auch die ISO 27001 zielen darauf ab, die IT-Sicherheit in Unternehmen sowie Behörden zu erhöhen. Dennoch gibt es Unterschiede zwischen den beiden Standards.

IT-Grundschutz

  

  • Spezialisierung auf den deutschen Markt & die spezifischen Anforderungen von Organisationen in Deutschland
  • Umfassender Katalog von Sicherheitsmaßnahmen, der spezifische Empfehlungen für die Umsetzung der Informationssicherheit bereitstellt
  • Flexibilität durch modularen Ansatz nach Baukastenprinzip
  • Stärkere Unterstützung durch klare Leitlinien

ISO 27001

  

  • International anerkannter Standard mit weltweiter Anwendbarkeit
  • Legt grundsätzliche, konzeptionelle Anforderungen fest, enthält jedoch keine konkreten, technischen Sicherheitsmaßnahmen
  • Flexibilität in der individuellen Umsetzung & Ausgestaltung des ISMS
  • Durch generische Ausgestaltung höhere Eigeninitiative durch Unternehmen gefordert

Häufig gestellte Fragen (FAQ):

Ist BSI IT-Grundschutz verpflichtend?

Der IT-Grundschutz ist für Unternehmen nicht direkt verpflichtend. Teilweise gibt es jedoch gesetzliche Regelungen, die ein implementiertes ISMS nach ISO 27001 oder nach IT-Grundschutz verlangen. Beispiele hierfür stellen die Anforderungen der NIS-2-Richtlinie, der BSI-Kritisverordnung oder der DiGAV dar. 

Ein Mindestmaß an IT-Sicherheit ist mit Blick auf die zunehmende Cyberbedrohungslage aber auch grundsätzlich ratsam, um Ausfällen, finanziellen Schäden oder Reputationsverlusten vorzubeugen. Hier bietet der IT-Grundschutz Organisationen eine sehr gute Hilfestellung, um die eigene IT-Sicherheit zu verbessern.

Was sind die Basis-, Standard- & Kern-Absicherung nach IT-Grundschutz?
  • Basis-Absicherung: Die Basis-Absicherung ermöglicht eine zeitnahe Umsetzung der wichtigsten SIcherheitsanforderungen. Angestrebt wird eine breite, grundlegende Erst-Absicherung über alle relevanten Geschäftsprozesse hinweg. Geeignet ist die Basis-Absicherung besonders für kleinere Institutionen, die noch am Anfang ihres Sicherheitsprozesses stehen. 
  • Kern-Absicherung: Die Kern-Absicherung fokussiert sich auf einen kleinen, aber sehr relevanten Teil eines Informationsverbundes, der vorrangig abgesichert werden soll. Sie adressiert in erster Linie Unternehmen, mit einigen wenigen Geschäftsprozessen, die wesentlich für den Fortbestand der Organisation sind. 
  • Standard-Absicherung: Die Standard-Absicherung bezieht sich auf die klassische IT-Grundschutz-Vorgehensweise nach BSI-Standard 100-2 und verfolgt das Ziel, ein Unternehmen umfassend und tiefgehend abzusichern. 
Was sind die IT-Grundschutz-Profile?

IT-Grundschutz-Profile enthalten die einzelnen Schritte eines Sicherheitsprozesses für einen definierten Anwendungsbereich, z.B. für Branchen oder Sekoren. Dabei dienen sie als Schablonen, die Unternehmen nutzen können, um ihre Geschäftsprozesse mit reduziertem Aufwand effektiv abzusichern. 

Eine Übersicht über die aktuellen IT-Grundschutz-Profile finden Sie auf der Seite des BSI.

Deckt der IT-Grundschutz auch das Thema Datenschutz mit ab?

Ja, der IT-Grundschutz deckt auch das Thema Datenschutz ab, jedoch nicht in dem Umfang wie es beispielsweise für die Datenschutz-Grundverordnung (DSGVO) erforderlich ist. Unternehmen, die den  IT-Grundschutz implementieren, können von den enthaltenen Sicherheitsmaßnahmen profitieren, müssen allerdings noch weitere Datenschutzanforderungen berücksichtigen. 

Warum wir ein starker Partner für Sie sind

Unabhängigkeit

Unsere Mitarbeitenden unterliegen keinen Zielkonflikten, da sie keinen Produktanbietern, Systemintegratoren, Aktionären, Interessensgruppen oder Regierungsstellen verpflichtet sind.

Expertise

Mit uns haben Sie einen der führenden Experten im Bereich Cyber-Security an Ihrer Seite, der vom BSI als IT-Sicherheitsdienstleister für IS-Revision und Penetrationstests zertifiziert ist.

Internationales Expertennetzwerk

Rund um den Globus: Wir unterstützen Sie sowohl national als auch international. Unser globales Expertennetzwerk steht Ihnen in allen IT-Sicherheitsfragen zur Seite.

Branchenerfahrung

Durch jahrelange Erfahrung in den unterschiedlichsten Branchen können wir Unternehmen verschiedenster Industriezweige bedienen.

Auf Sie zugeschnitten

Wir setzen auf individuelle Leistungen – und Lösungen –, die optimal zu Ihrer derzeitigen Unternehmenssituation und Ihren gesetzten Zielen passen.

 

Sie haben Fragen? Wir helfen gerne!

  

Samantha Murmann

Produktmanagerin Datenschutz & E-Health 

+49 201 8999 699
s.murmann@tuvit.de

Tobias Mielke

Lead Expert Information Security & Privacy  

+49 201 8999 553
t.mielke@tuvit.de

Das könnte Sie auch interessieren

ISO 27001

Mit einem nach ISO 27001 zertifizierten Informationssicherheits-Managementsystem (ISMS) gewährleisten Sie die Verfügbarkeit, Vertraulichkeit und Integrität von betrieblichen Informationen, Daten und Prozessen.
Mehr erfahren

Kritische Infrastrukturen (KRITIS)

Alle zwei Jahre müssen KRITIS-Betreiber gemäß §8a des BSI-Gesetzes belegen, dass ihre IT-Sicherheit auf dem Stand der Technik ist. Wir bieten Unternehmen unterschiedliche Leistungen der Nachweiserbringung.
Mehr erfahren

Digitale Gesundheitsanwendungen

Damit Ihre digitale Gesundheitsanwendung zur Kassenleistung werden kann, müssen Sie nachweisen, dass diese bestimmte Anforderungen an den Datenschutz und die Datensicherheit erfüllt. TÜVIT unterstützt Sie bei der Nachweiserbringung.
Mehr erfahren

Zertifizierte Videosprechstunde

Möchten Videodienstanbieter ihre Dienstleistung offiziell anbieten, müssen sie nachweisen, dass sie die Anforderungen an die Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Daten sowie an die Informationssicherheit erfüllen.
Mehr erfahren

Dokumentenmanagement

Anwender:innen von Dokumentenmanagement-Lösungen (DML) unterliegen ge­setz­lichen Anforderungen für eine revisionssichere Speicherung von Doku­men­ten. Mit einer Prüfung & Zertifizierung nach den PK-DML belegen Sie, dass Sie diese erfüllen.
Mehr erfahren