Zum Inhalt springen

Entdeckt, erklärt

IT-Grundschutz

Mit dem IT-Grundschutz gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) Unternehmen eine Methodik an die Hand, mit der sie ihre Daten, Systeme und Informationen ganzheitlich absichern und erfolgreich ein Managementsystem für Informationssicherheit (ISMS) implementieren können.

Individuelles Angebot anfordern

Informationssicherheit nach IT-Grundschutz

Der IT-Grundschutz ist eine durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte, systematische Vorgehensweise, mit der Unternehmen und Behörden ein passgenaues Informationssicherheits-Managementsystem (ISMS) aufbauen und langfristig etablieren können. 

Dabei verfolgt der IT-Grundschutz einen ganzheitlichen Ansatz zur Infor­ma­tionssicherheit, der neben technischen Aspekten auch infrastrukturelle, organisatorische und personelle Themen in den Blick nimmt. 

Der IT-Grundschutz setzt sich zusammen aus:

  • den BSI-Standards, die Best Practices zum ISMS-Aufbau beinhalten, und
  • dem IT-Grundschutz-Kompendium, das konkrete Sicherheits­anforderungen enthält.

Ganzheitliche Informationssicherheit

Der ganzheitliche Ansatz unterstützt Sie dabei, Informationen, Daten und bestehende IT- sowie Geschäftsprozesse umfassend zu schützen.

Prävention statt Rehabilitation

Mit der Umsetzung des IT-Grundschutzes beugen Sie IT-Ausfällen & Datenverlusten – und damit einhergehenden finanziellen sowie Reputationsschäden – vor.

Passgenaues ISMS dank Baukastenprinzip

Der modulare Aufbau des IT-Grundschutzes ermöglicht eine flexible Anpassung an die spezifischen Anforderungen Ihres Unternehmens.

Besonderheiten des IT-Grundschutzes

  • Spezialisierung auf den deutschen Markt & die spezifischen Anforderungen von Organisationen in Deutschland
  • Umfassender Katalog von Sicherheitsmaßnahmen, der spezifische Empfehlungen für die Umsetzung der Informationssicherheit bereitstellt
  • Flexibilität durch modularen Ansatz nach Baukastenprinzip
  • Unterstützung durch klare Leitlinien

IT-Grundschutz: Die BSI-Standards in der Übersicht

  • BSI-Standard 200-1
    Definiert grundlegende Anforderungen an ein Managementsystem für Informationssicherheit (ISMS)

    - Komponenten eines ISMS
    - Aufgaben der Leitungsebene

  • BSI-Standard 200-2
    Etabliert 3 Vorgehensweisen bei der Umsetzung des IT-Grundschutzes:

    - Basis-Absicherung
    - Standard-Absicherung
    - Kern-Absicherung

 

  • BSI-Standard 200-3
    Stellt ein vereinfachtes Verfahren zur Risikoanalyse dar

    - Risikobezogene Arbeitsschritte bei der Umsetzung des IT-Grundschutzes

  • BSI-Standard 200-4
    Bietet eine praxisnahe Anleitung, um ein Business Continuity Management System (BCMS) in einer Behörde oder einem Unternehmen aufzubauen & erfolgreich zu etablieren

IT-Grundschutz: Die BSI-Standards in der Übersicht

Definiert grundlegende Anforderungen an ein Managementsystem für Informationssicherheit (ISMS)

  • Komponenten eines ISMS
  • Aufgaben der Leitungsebene

Etabliert 3 Vorgehensweisen bei der Umsetzung des IT-Grundschutzes:

  • Basis-Absicherung
  • Standard-Absicherung
  • Kern-Absicherung

Stellt ein vereinfachtes Verfahren zur Risikoanalyse dar

  • Risikobezogene Arbeitsschritte bei der Umsetzung des IT-Grundschutzes

Bietet eine praxisnahe Anleitung, um ein Business Continuity Management System (BCMS) in einer Behörde oder einem Unternehmen aufzubauen & erfolgreich zu etablieren

Wir helfen Ihnen weiter - so oder so

Endlich loslegen!

Wir beraten Sie


TÜV NORD IT Secure Communication I Berlin
Ziel erreicht?

Wir prüfen das


TÜV Informationstechnik I Essen
Standards im Vergleich

IT-Grundschutz vs. ISO 27001

Sowohl der IT-Grundschutz als auch die ISO 27001 zielen darauf ab, die IT-Sicherheit in Unternehmen sowie Behörden zu erhöhen. Dennoch gibt es Unterschiede zwischen den beiden Standards.

IT-Grundschutz

  • Spezialisierung auf den deutschen Markt & die spezifischen Anforderungen von Organisationen in Deutschland
  • Umfassender Katalog von Sicherheitsmaßnahmen, der spezifische Empfehlungen für die Umsetzung der Informationssicherheit bereitstellt
  • Flexibilität durch modularen Ansatz nach Baukastenprinzip
  • Stärkere Unterstützung durch klare Leitlinien

ISO 27001

  • International anerkannter Standard mit weltweiter Anwendbarkeit
  • Legt grundsätzliche, konzeptionelle Anforderungen fest, enthält jedoch keine konkreten, technischen Sicherheitsmaßnahmen
  • Flexibilität in der individuellen Umsetzung & Ausgestaltung des ISMS
  • Durch generische Ausgestaltung höhere Eigeninitiative durch Unternehmen gefordert
Informationssicherheit im Fokus

IT-Grundschutz: Vorteile im Überblick

  • Erfüllung von BSI-Anforderungen
    Sie setzen die fundierten Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik um. 
  • Reduzierung von IT-Ausfällen
    Durch das Aufdecken von Schwachstellen minimieren Sie IT-Sicherheitsrisiken & deren potenzielle Folgen wie Ausfälle.
  • Nachhaltiger Schutz
    Mit IT-Grundschutz schützen Sie sensible Informationen und Daten sowie bestehende IT- & Geschäftsprozesse.
  • Ganzheitliche Informationssicherheit
    Die systematische Vorgehensweise deckt technische, infrastrukturelle, organisatorische & personelle Aspekte ab.
  • Gestärktes Vertrauen
    Durch die Erfüllung der IT-Grundschutz-Anforderungen erhöhen Sie das Vertrauen bei Kunden & Geschäftspartnern.
  • Sensibilisierung von Mitarbeitenden
    Die Umsetzung des IT-Grundschutzes stärkt das Bewusstsein für Informationssicherheit innerhalb des Unternehmens.
  • Modularer Aufbau
    Die Vielzahl von Bausteinen des IT-Grundschutzes ermöglicht eine flexible Anpassung an das eigene Unternehmen.
  • Langfristige Kosteneinsparungen
    Die Optimierung von Prozessen & die Verhinderung von Sicherheitsvorfällen führen langfristig zu Kosteneinsparungen.

Was Sie über BSI IT-Grundschutz wissen müssen

Der IT-Grundschutz ist für Unternehmen nicht direkt verpflichtend. Teilweise gibt es jedoch gesetzliche Regelungen, die ein implementiertes ISMS nach ISO 27001 oder nach IT-Grundschutz verlangen. Beispiele hierfür stellen die Anforderungen der NIS-2-Richtlinie, der BSI-Kritisverordnung oder der DiGAV dar. 

Ein Mindestmaß an IT-Sicherheit ist mit Blick auf die zunehmende Cyberbedrohungslage aber auch grundsätzlich ratsam, um Ausfällen, finanziellen Schäden oder Reputationsverlusten vorzubeugen. Hier bietet der IT-Grundschutz Organisationen eine sehr gute Hilfestellung, um die eigene IT-Sicherheit zu verbessern.

  • Basis-Absicherung: Die Basis-Absicherung ermöglicht eine zeitnahe Umsetzung der wichtigsten SIcherheitsanforderungen. Angestrebt wird eine breite, grundlegende Erst-Absicherung über alle relevanten Geschäftsprozesse hinweg. Geeignet ist die Basis-Absicherung besonders für kleinere Institutionen, die noch am Anfang ihres Sicherheitsprozesses stehen.
  • Kern-Absicherung: Die Kern-Absicherung fokussiert sich auf einen kleinen, aber sehr relevanten Teil eines Informationsverbundes, der vorrangig abgesichert werden soll. Sie adressiert in erster Linie Unternehmen, mit einigen wenigen Geschäftsprozessen, die wesentlich für den Fortbestand der Organisation sind.
  • Standard-Absicherung: Die Standard-Absicherung bezieht sich auf die klassische IT-Grundschutz-Vorgehensweise nach BSI-Standard 100-2 und verfolgt das Ziel, ein Unternehmen umfassend und tiefgehend abzusichern. 

IT-Grundschutz-Profile enthalten die einzelnen Schritte eines Sicherheitsprozesses für einen definierten Anwendungsbereich, z.B. für Branchen oder Sekoren. Dabei dienen sie als Schablonen, die Unternehmen nutzen können, um ihre Geschäftsprozesse mit reduziertem Aufwand effektiv abzusichern. 

Eine Übersicht über die aktuellen IT-Grundschutz-Profile finden Sie auf der Seite des BSI.

Ja, der IT-Grundschutz deckt auch das Thema Datenschutz ab, jedoch nicht in dem Umfang wie es beispielsweise für die Datenschutz-Grundverordnung (DSGVO) erforderlich ist. Unternehmen, die den  IT-Grundschutz implementieren, können von den enthaltenen Sicherheitsmaßnahmen profitieren, müssen allerdings noch weitere Datenschutzanforderungen berücksichtigen. 

IT-Grundschutz-Bausteine nach IT-Grundschutz-Kompendium

Die IT-Grundschutz-Methodik besteht aus 10 verschiedenen Bausteinen, die die wichtigsten Anforderungen und Empfehlungen zur Absicherung einzelner sowie komplexer Systeme und Prozesse beinhalten. Anwender:innen können gezielt die Bausteine wählen, die für ihre Organisation relevant sind. Die aktuelle Edition 2023 wurde im Februar 2023 veröffentlicht.