Deutschlands Unternehmen orientieren sich beim Thema Informationssicherheit häufig an ISO 27001 – doch mit dem BSI IT-Grundschutz existiert hierzulande ein praxisnaher, staatlich anerkannter Baukasten. Er liefert konkrete Maßnahmen, greift modular und passt sich Reifegrad und Risiko an. Im dritten Teil unserer Serie zum Cybersecurity Awareness Month 2025 erklären wir, wo der deutsche Ansatz im Alltag Vorteile bringt. Und wie beide Standards zusammen wirken.
Norderstedt, 27. Oktober 2025 – Die ISO/IEC 27001 ist die Weltsprache der Informationssicherheit: international anerkannt, branchenübergreifend einsetzbar und für global agierende Unternehmen ein verlässlicher Referenzrahmen. Ihr größter Vorzug ist die Vergleichbarkeit über Länder und Sektoren hinweg. Gleichzeitig bleibt die ISO bewusst abstrakt: Sie fordert nachweisbare Prozesse und Kontrollen, überlässt die konkrete Ausgestaltung aber den Organisationen. „Der IT-Grundschutz des BSI geht einen anderen Weg: weniger Theorie, mehr konkrete, auditierbare Anforderungen – und das staatlich anerkannt“, sagt Fadi Zaid, IT-Security- und Privacy-Experte bei LHIND. Seit den 1990er-Jahren hat sich der IT-Grundschutz von einem dicken Handbuch zu einem modularen Baukastensystem entwickelt. „Gerade in Deutschland ist dieser Ansatz für Behörden, regulierte Branchen und mittelständische Unternehmen oft der schnellere Zugriff auf wirksame Sicherheit.“
Bausteine, Reifegrade, Prozesse
Herzstück des IT-Grundschutzes sind die Standards 200-1 bis 200-3 für Informationssicherheit-Managementsysteme (ISMS), Methodik und Risikomanagement sowie das jährlich aktualisierte IT-Grundschutz-Kompendium. Es ist modular aufgebaut: Prozess-Bausteine – etwa Managementsystem, Organisation und Betrieb sowie Detektion und Reaktion – verzahnen sich mit System-Bausteinen für Anwendungen, IT-Systeme, Netze, industrielle IT/OT und physische Infrastruktur.
Jeder Baustein definiert Geltungsbereich, typische Gefährdungen und Anforderungen in drei Stufen: Basis (Grundhygiene), Standard (angemessenes Schutzniveau) und Erhöht (Stand der Technik). Vor allem Behörden und öffentliche Einrichtungen profitieren von seiner staatlichen Anerkennung, ebenso Organisationen mit hohem Regelungsdruck, etwa in KRITIS-Sektoren oder im Finanzwesen – und auch kleinen und mittleren Unternehmen bietet er eine klare Orientierung.
Die Umsetzung folgt einem klaren Vorgehensmodell entlang des Plan-Do-Check-Act-(PDCA-)Zyklus. Nach der Festlegung des Geltungsbereichs werden Strukturanalyse und Schutzbedarfsfeststellung durchgeführt, Zielobjekte modelliert und im IT-Grundschutz-Check systematisch mit den Anforderungen abgeglichen. Für besonders kritische Bereiche schließt sich eine ergänzende Risikoanalyse an. „Informationssicherheit ist kein Zustand, sondern ein kontinuierlicher Prozess, der sich an Technik, Recht und Bedrohungen anpasst“, sagt Zaid.
Drei Einstiegspfade erleichtern den Start: die Basis-Absicherung als schneller Mindestschutz, die Kern-Absicherung für die Kronjuwelen einer Organisation und die Standard-Absicherung für ein gleichmäßiges Gesamtschutzniveau.
Evidenzkultur, Regulierung und Zusammenspiel mit ISO
Der IT-Grundschutz macht Verantwortlichkeiten sichtbar – vom Top-Management über ISB/CISO bis zu Fachbereichen wie IT-Betrieb, Einkauf oder Personal. Nachweise zu umgesetzten Maßnahmen werden fortlaufend gesammelt und mit wenigen, präzisen Kennzahlen auf Wirksamkeit geprüft, etwa zur Abdeckung von Mehrfaktor-Authentifizierung, zur Einhaltung von Patch-Zyklen, zu Ergebnissen von Wiederherstellungstests oder zu Zeiten für Erkennung und Behebung von Vorfällen. In der Praxis beschleunigen Quick-Wins den Fortschritt – etwa Multi-Faktor-Authentifizierung (MFA) für sensible Zugänge, konsequentes Patch-Management, getestete Backups und klare Meldeschienen im Incident-Fall. Umgekehrt lohnt es sich, typische Stolpersteine zu vermeiden: Schutzbedarfe nicht pauschal als „sehr hoch“ etikettieren, Dokumentation nicht mit Wirksamkeit verwechseln und Tools nicht als Allheilmittel missdeuten.
Der deutsche Baukasten ist kein Gegenentwurf, sondern eine Ergänzung zur ISO 27001. Unternehmen können entweder klassisch nach ISO mit eigener Statement of Applicability vorgehen oder ISO „auf Basis von IT-Grundschutz“ realisieren, wobei die Bausteine den Nachweis liefern. Das zahlt auf Regulierung ein: NIS2 adressiert Incident-Management, Meldewege, Business Continuity und Lieferantensicherheit; KRITIS erhöht Anforderungen an Redundanz, Nachweise und Übungen; und der Digital Operational Resilience Act (DORA) schärft Governance, Risikomanagement, Szenariotests und Drittanbietersteuerung. „Die Regulierung gibt den Rahmen, das Kompendium liefert die operativen Maßnahmen. Im Zusammenspiel entsteht Sicherheit, die zugleich anschlussfähig und wirksam ist“, fasst Zaid zusammen.