Entdeckt, erklärt

IT-Grundschutz

Mit dem IT-Grundschutz gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) Unternehmen eine Methodik an die Hand, mit der sie ihre Daten, Systeme und Informationen ganzheitlich absichern und erfolgreich ein Managementsystem für Informationssicherheit (ISMS) implementieren können.

Individuelles Angebot anfordern

Informationssicherheit nach IT-Grundschutz

Der IT-Grundschutz ist eine durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte, systematische Vorgehensweise, mit der Unternehmen und Behörden ein passgenaues Informationssicherheits-Managementsystem (ISMS) aufbauen und langfristig etablieren können.

Dabei verfolgt der IT-Grundschutz einen ganzheitlichen Ansatz zur Informationssicherheit, der neben technischen Aspekten auch infrastrukturelle, organisatorische und personelle Themen in den Blick nimmt.

Der IT-Grundschutz setzt sich zusammen aus:

den BSI-Standards, die Best Practices zum ISMS-Aufbau beinhalten, und
dem IT-Grundschutz-Kompendium, das konkrete Sicherheitsanforderungen enthält.

Ganzheitliche Informationssicherheit

Der ganzheitliche Ansatz unterstützt Sie dabei, Informationen, Daten und bestehende IT- sowie Geschäftsprozesse umfassend zu schützen.

Prävention statt Rehabilitation

Mit der Umsetzung des IT-Grundschutzes beugen Sie IT-Ausfällen & Datenverlusten – und damit einhergehenden finanziellen sowie Reputationsschäden – vor.

Passgenaues ISMS dank Baukastenprinzip

Der modulare Aufbau des IT-Grundschutzes ermöglicht eine flexible Anpassung an die spezifischen Anforderungen Ihres Unternehmens.

Besonderheiten des IT-Grundschutzes

Spezialisierung auf den deutschen Markt & die spezifischen Anforderungen von Organisationen in Deutschland
Umfassender Katalog von Sicherheitsmaßnahmen, der spezifische Empfehlungen für die Umsetzung der Informationssicherheit bereitstellt
Flexibilität durch modularen Ansatz nach Baukastenprinzip
Unterstützung durch klare Leitlinien

IT-Grundschutz: Die BSI-Standards in der Übersicht

BSI-Standard 200-1
Definiert grundlegende Anforderungen an ein Managementsystem für Informationssicherheit (ISMS)
- Komponenten eines ISMS
- Aufgaben der Leitungsebene
BSI-Standard 200-2
Etabliert 3 Vorgehensweisen bei der Umsetzung des IT-Grundschutzes:
- Basis-Absicherung
- Standard-Absicherung
- Kern-Absicherung

BSI-Standard 200-3
Stellt ein vereinfachtes Verfahren zur Risikoanalyse dar
- Risikobezogene Arbeitsschritte bei der Umsetzung des IT-Grundschutzes
BSI-Standard 200-4
Bietet eine praxisnahe Anleitung, um ein Business Continuity Management System (BCMS) in einer Behörde oder einem Unternehmen aufzubauen & erfolgreich zu etablieren

IT-Grundschutz: Die BSI-Standards in der Übersicht

Definiert grundlegende Anforderungen an ein Managementsystem für Informationssicherheit (ISMS)

Komponenten eines ISMS
Aufgaben der Leitungsebene

Etabliert 3 Vorgehensweisen bei der Umsetzung des IT-Grundschutzes:

Basis-Absicherung
Standard-Absicherung
Kern-Absicherung

Stellt ein vereinfachtes Verfahren zur Risikoanalyse dar

Risikobezogene Arbeitsschritte bei der Umsetzung des IT-Grundschutzes

Bietet eine praxisnahe Anleitung, um ein Business Continuity Management System (BCMS) in einer Behörde oder einem Unternehmen aufzubauen & erfolgreich zu etablieren

Wir helfen Ihnen weiter - so oder so

Endlich loslegen!

Wir beraten Sie

TÜV NORD IT Secure Communication I Berlin

Zu den Beratungsleistungen Kontakt aufnehmen

Ziel erreicht?

Wir prüfen das

TÜV Informationstechnik I Essen

Zu den Prüfangeboten Kontakt aufnehmen

Standards im Vergleich

IT-Grundschutz vs. ISO 27001

Sowohl der IT-Grundschutz als auch die ISO 27001 zielen darauf ab, die IT-Sicherheit in Unternehmen sowie Behörden zu erhöhen. Dennoch gibt es Unterschiede zwischen den beiden Standards.

IT-Grundschutz

Spezialisierung auf den deutschen Markt & die spezifischen Anforderungen von Organisationen in Deutschland
Umfassender Katalog von Sicherheitsmaßnahmen, der spezifische Empfehlungen für die Umsetzung der Informationssicherheit bereitstellt
Flexibilität durch modularen Ansatz nach Baukastenprinzip
Stärkere Unterstützung durch klare Leitlinien

ISO 27001

International anerkannter Standard mit weltweiter Anwendbarkeit
Legt grundsätzliche, konzeptionelle Anforderungen fest, enthält jedoch keine konkreten, technischen Sicherheitsmaßnahmen
Flexibilität in der individuellen Umsetzung & Ausgestaltung des ISMS
Durch generische Ausgestaltung höhere Eigeninitiative durch Unternehmen gefordert

Informationssicherheit im Fokus

IT-Grundschutz: Vorteile im Überblick

Erfüllung von BSI-Anforderungen
Sie setzen die fundierten Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik um.
Reduzierung von IT-Ausfällen
Durch das Aufdecken von Schwachstellen minimieren Sie IT-Sicherheitsrisiken & deren potenzielle Folgen wie Ausfälle.
Nachhaltiger Schutz
Mit IT-Grundschutz schützen Sie sensible Informationen und Daten sowie bestehende IT- & Geschäftsprozesse.
Ganzheitliche Informationssicherheit
Die systematische Vorgehensweise deckt technische, infrastrukturelle, organisatorische & personelle Aspekte ab.
Gestärktes Vertrauen
Durch die Erfüllung der IT-Grundschutz-Anforderungen erhöhen Sie das Vertrauen bei Kunden & Geschäftspartnern.
Sensibilisierung von Mitarbeitenden
Die Umsetzung des IT-Grundschutzes stärkt das Bewusstsein für Informationssicherheit innerhalb des Unternehmens.
Modularer Aufbau
Die Vielzahl von Bausteinen des IT-Grundschutzes ermöglicht eine flexible Anpassung an das eigene Unternehmen.
Langfristige Kosteneinsparungen
Die Optimierung von Prozessen & die Verhinderung von Sicherheitsvorfällen führen langfristig zu Kosteneinsparungen.

Häufig gestellte Fragen (FAQ)

Was Sie über BSI IT-Grundschutz wissen müssen
IT-Grundschutz-Bausteine nach IT-Grundschutz-Kompendium

Was Sie über BSI IT-Grundschutz wissen müssen

Der IT-Grundschutz ist für Unternehmen nicht direkt verpflichtend. Teilweise gibt es jedoch gesetzliche Regelungen, die ein implementiertes ISMS nach ISO 27001 oder nach IT-Grundschutz verlangen. Beispiele hierfür stellen die Anforderungen der NIS-2-Richtlinie, der BSI-Kritisverordnung oder der DiGAV dar.

Ein Mindestmaß an IT-Sicherheit ist mit Blick auf die zunehmende Cyberbedrohungslage aber auch grundsätzlich ratsam, um Ausfällen, finanziellen Schäden oder Reputationsverlusten vorzubeugen. Hier bietet der IT-Grundschutz Organisationen eine sehr gute Hilfestellung, um die eigene IT-Sicherheit zu verbessern.

Basis-Absicherung: Die Basis-Absicherung ermöglicht eine zeitnahe Umsetzung der wichtigsten SIcherheitsanforderungen. Angestrebt wird eine breite, grundlegende Erst-Absicherung über alle relevanten Geschäftsprozesse hinweg. Geeignet ist die Basis-Absicherung besonders für kleinere Institutionen, die noch am Anfang ihres Sicherheitsprozesses stehen.
Kern-Absicherung: Die Kern-Absicherung fokussiert sich auf einen kleinen, aber sehr relevanten Teil eines Informationsverbundes, der vorrangig abgesichert werden soll. Sie adressiert in erster Linie Unternehmen, mit einigen wenigen Geschäftsprozessen, die wesentlich für den Fortbestand der Organisation sind.
Standard-Absicherung: Die Standard-Absicherung bezieht sich auf die klassische IT-Grundschutz-Vorgehensweise nach BSI-Standard 100-2 und verfolgt das Ziel, ein Unternehmen umfassend und tiefgehend abzusichern.

IT-Grundschutz-Profile enthalten die einzelnen Schritte eines Sicherheitsprozesses für einen definierten Anwendungsbereich, z.B. für Branchen oder Sekoren. Dabei dienen sie als Schablonen, die Unternehmen nutzen können, um ihre Geschäftsprozesse mit reduziertem Aufwand effektiv abzusichern.

Eine Übersicht über die aktuellen IT-Grundschutz-Profile finden Sie auf der Seite des BSI.

Ja, der IT-Grundschutz deckt auch das Thema Datenschutz ab, jedoch nicht in dem Umfang wie es beispielsweise für die Datenschutz-Grundverordnung (DSGVO) erforderlich ist. Unternehmen, die den IT-Grundschutz implementieren, können von den enthaltenen Sicherheitsmaßnahmen profitieren, müssen allerdings noch weitere Datenschutzanforderungen berücksichtigen.

IT-Grundschutz-Bausteine nach IT-Grundschutz-Kompendium

Die IT-Grundschutz-Methodik besteht aus 10 verschiedenen Bausteinen, die die wichtigsten Anforderungen und Empfehlungen zur Absicherung einzelner sowie komplexer Systeme und Prozesse beinhalten. Anwender:innen können gezielt die Bausteine wählen, die für ihre Organisation relevant sind. Die aktuelle Edition 2023 wurde im Februar 2023 veröffentlicht.