Ratgeber

BSI IT-Grundschutz: Methodik, Absicherungsstufen und Zertifizierung.

Q: Welche Unternehmen müssen IT-Grundschutz anwenden?

Eine gesetzliche Pflicht zur Anwendung des IT-Grundschutzes besteht für Bundesbehörden und andere öffentliche Stellen des Bundes. Für private Unternehmen ist IT-Grundschutz in der Regel keine gesetzliche Pflicht, kann aber vertraglich vorgeschrieben sein, wenn als Dienstleister oder Auftragnehmer für Behörden oder kritische Infrastrukturen gearbeitet wird. Viele Unternehmen wählen IT-Grundschutz freiwillig, weil die strukturierte Methodik und das Kompendium die Umsetzung erheblich erleichtern.

Q: Was ist die IT-Grundschutz-Zertifizierung?

Das BSI bietet eine formale Zertifizierung nach IT-Grundschutz an, die gleichzeitig einer ISO 27001-Zertifizierung entspricht. Die Prüfung erfolgt durch vom BSI lizenzierte Auditoren. Voraussetzung ist die vollständige Umsetzung der IT-Grundschutz-Methodik einschließlich der Modellierung des Informationsverbunds, der Schutzbedarfsfeststellung und der Umsetzung der relevanten Anforderungen aus dem IT-Grundschutz-Kompendium.

Q: Was sind die drei Absicherungsstufen des IT-Grundschutzes?

Das BSI unterscheidet drei Vorgehensweisen zur Absicherung: Basis-Absicherung für einen schnellen Einstieg mit Mindestanforderungen, Kern-Absicherung für den vorrangigen Schutz besonders kritischer Geschäftsprozesse und Werte sowie Standard-Absicherung für die vollständige und nachhaltige Umsetzung der IT-Grundschutz-Methodik. Nur die Standard-Absicherung ermöglicht die IT-Grundschutz-Zertifizierung.

Der IT-Grundschutz des BSI bietet Unternehmen und Behörden eine strukturierte Methodik zur Informationssicherheit. Welche Absicherungsstufen es gibt, wie die Zertifizierung funktioniert und wie IT-Grundschutz und ISO 27001 zusammenhängen.

Zuletzt aktualisiert: Mai 2026

Hintergrund

Was IT-Grundschutz leistet und für wen er relevant ist.

Der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist eine bewährte Methodik zur systematischen Absicherung von Informationsverbünden. Anders als rein normative Standards liefert er über das IT-Grundschutz-Kompendium konkrete Anforderungen und Umsetzungshinweise für typische IT-Systeme, Anwendungen und Prozesse. Das macht ihn besonders praxistauglich für Organisationen, die nicht auf umfangreiche Sicherheitsexpertise zurückgreifen können.

Für Bundesbehörden ist die Anwendung des IT-Grundschutzes verpflichtend. Für private Unternehmen entsteht eine faktische Pflicht häufig aus vertraglichen Anforderungen öffentlicher Auftraggeber oder aus Branchenstandards. Daneben wählen viele Organisationen IT-Grundschutz als freiwilligen Rahmen, weil die strukturierte Methodik die Umsetzung erheblich beschleunigt und eine anerkannte Zertifizierung ermöglicht.

Das BSI entwickelt den IT-Grundschutz kontinuierlich weiter. Im April 2026 hat das BSI den ersten offiziellen Leitfaden zur Methodik BSI-Grundschutz++ veröffentlicht. Die modernisierte Version nutzt den maschinenlesbaren OSCAL-Standard, folgt dem PDCA-Zyklus und deckt KI-Systeme sowie Cloud-Infrastrukturen deutlich besser ab. Bis 2028 können Organisationen beide Methoden parallel nutzen; danach soll Grundschutz++ den IT-Grundschutz schrittweise ablösen.

Praxishinweis

Eine IT-Grundschutz-Zertifizierung entspricht gleichzeitig einer ISO 27001-Zertifizierung und wird vom BSI und internationalen Partnern gegenseitig anerkannt. Wer IT-Grundschutz umsetzt, erfüllt damit beide Anforderungsrahmen in einem gemeinsamen Prozess.

Kernaspekte

Die sechs Bausteine der IT-Grundschutz-Methodik.

Die BSI-Standards 200-x

Die BSI-Standards 200-1 bis 200-4 bilden das methodische Fundament des IT-Grundschutzes. BSI 200-1 definiert Anforderungen an ein ISMS, BSI 200-2 beschreibt die IT-Grundschutz-Methodik, BSI 200-3 die Risikoanalyse und BSI 200-4 das Business Continuity Management.

BSI 200-1: ISMS-Anforderungen (kompatibel mit ISO 27001)
BSI 200-2: IT-Grundschutz-Methodik und Vorgehensweise
BSI 200-3: Risikoanalyse auf Basis IT-Grundschutz
BSI 200-4: Business Continuity Management

Drei Absicherungsstufen

Das BSI bietet drei Vorgehensweisen zur Absicherung an, die sich in Umfang und Tiefe unterscheiden. Die Wahl hängt von der Risikosituation, den verfügbaren Ressourcen und dem angestrebten Zertifizierungsniveau ab.

Basis-Absicherung: Schneller Einstieg mit Mindestanforderungen
Kern-Absicherung: Vorrangiger Schutz besonders kritischer Assets
Standard-Absicherung: Vollständige Umsetzung, Voraussetzung für Zertifizierung
Nur Standard-Absicherung ermöglicht IT-Grundschutz-Zertifikat

Das IT-Grundschutz-Kompendium

Das IT-Grundschutz-Kompendium ist das zentrale Arbeitswerk. Es gliedert sich in Bausteine zu Prozessen (ISMS, Organisation, Personal, Konzepte) und Systemen (Infrastruktur, IT-Systeme, Netze, Anwendungen). Jeder Baustein enthält Basisanforderungen, Standardanforderungen und erhöhte Anforderungen.

Prozess-Bausteine: ISMS, ORP, CON, OPS, DER, APP
System-Bausteine: INF, NET, SYS, IND
Jährliche Aktualisierung durch das BSI
Umsetzungshinweise als praktische Handlungsanleitung

Schutzbedarfsfeststellung

Die Schutzbedarfsfeststellung klassifiziert alle Objekte des Informationsverbunds nach ihrem Schutzbedarf in den Dimensionen Vertraulichkeit, Integrität und Verfügbarkeit. Das Ergebnis bestimmt, welche Anforderungen aus dem Kompendium verbindlich sind.

Schutzbedarfskategorie normal: Standardanforderungen ausreichend
Schutzbedarfskategorie hoch: Erhöhte Anforderungen erforderlich
Schutzbedarfskategorie sehr hoch: Ergänzende Risikoanalyse nötig
Vererbungsprinzip: Schutzbedarf von Daten auf Systeme übertragen

IT-Grundschutz-Zertifizierung

Das BSI bietet eine formale Zertifizierung an, die gleichzeitig einer ISO 27001-Zertifizierung entspricht. Die Prüfung erfolgt durch BSI-lizenzierte Auditoren in zwei Phasen: Dokumentationsprüfung und Vor-Ort-Audit. Das Zertifikat hat eine Laufzeit von drei Jahren.

Voraussetzung: Vollständige Standard-Absicherung
Auditoren: BSI-lizenziert, unabhängig
Gültigkeit: 3 Jahre, jährliche Überwachungsaudits
Gleichwertig anerkannt mit ISO 27001-Zertifikat

BSI-Grundschutz++

Im April 2026 hat das BSI den ersten offiziellen Leitfaden zur Methodik Grundschutz++ veröffentlicht. Die modernisierte Version strukturiert sich entlang des PDCA-Zyklus, nutzt den maschinenlesbaren OSCAL-Standard (JSON statt PDF) und deckt Cloud-Infrastrukturen sowie KI-Systeme deutlich besser ab. Ab 2028 soll Grundschutz++ verbindlich werden.

OSCAL-Format: maschinenlesbar, werkzeuggestützte Auswertung
PDCA-Zyklus als strukturierendes Prinzip
Bessere Abdeckung von Cloud, KI und hybriden Umgebungen
Parallelbetrieb mit IT-Grundschutz bis 2028 möglich

Vorgehen

IT-Grundschutz strukturiert einführen und zertifizieren.

Geltungsbereich & Absicherungsstufe

Den Informationsverbund abgrenzen und die passende Absicherungsstufe wählen. Für eine Zertifizierung ist Standard-Absicherung erforderlich.

Strukturanalyse und Schutzbedarf

Alle Objekte des Informationsverbunds erfassen, modellieren und ihren Schutzbedarf in den Dimensionen Vertraulichkeit, Integrität und Verfügbarkeit bestimmen.

Bausteine umsetzen

Passende Bausteine aus dem IT-Grundschutz-Kompendium zuordnen, Anforderungen prüfen und Maßnahmen nachweisbar planen, umsetzen und dokumentieren.

Audit vorbereiten und begleiten

Dokumentation für die Auditphase aufbereiten, interne Vorbereitung durchführen und den externen Auditor durch Dokumentationsprüfung und Vor-Ort-Audit begleiten.

FAQ

Häufige Fragen zum IT-Grundschutz.

Verwandte Themen

Was ist der Unterschied zwischen IT-Grundschutz und ISO 27001?+

ISO 27001 ist ein internationaler Standard, der einen risikobasierten Rahmen für Informationssicherheitsmanagementsysteme vorgibt, ohne konkrete Maßnahmen vorzuschreiben. IT-Grundschutz ist eine deutsche Methodik des BSI, die über das Kompendium detaillierte Anforderungen und Umsetzungshinweise liefert. Beide Ansätze lassen sich kombinieren: Das BSI bietet eine ISO 27001-Zertifizierung auf Basis von IT-Grundschutz an, die beide Rahmenwerke gleichzeitig erfüllt.

Welche Unternehmen müssen IT-Grundschutz anwenden?+

Eine gesetzliche Pflicht besteht für Bundesbehörden und öffentliche Stellen des Bundes. Für private Unternehmen entsteht eine faktische Pflicht häufig aus vertraglichen Anforderungen öffentlicher Auftraggeber oder aus Branchenstandards. Viele Organisationen wählen IT-Grundschutz freiwillig, weil die strukturierte Methodik die Umsetzung erheblich erleichtert und eine anerkannte Zertifizierung ermöglicht.

Was ist die IT-Grundschutz-Zertifizierung?+

Was sind die drei Absicherungsstufen des IT-Grundschutzes?+

Das BSI unterscheidet Basis-Absicherung für einen schnellen Einstieg mit Mindestanforderungen, Kern-Absicherung für den vorrangigen Schutz besonders kritischer Assets sowie Standard-Absicherung für die vollständige Umsetzung der IT-Grundschutz-Methodik. Nur die Standard-Absicherung ermöglicht die IT-Grundschutz-Zertifizierung.

Was ist BSI-Grundschutz++?+

BSI-Grundschutz++ ist die modernisierte Weiterentwicklung des IT-Grundschutzes. Im April 2026 hat das BSI den ersten offiziellen Leitfaden veröffentlicht. Grundschutz++ nutzt den maschinenlesbaren OSCAL-Standard (JSON statt PDF), folgt dem PDCA-Zyklus und deckt Cloud-Infrastrukturen sowie KI-Systeme deutlich besser ab. Bis 2028 können Organisationen beide Methoden parallel nutzen; danach soll Grundschutz++ schrittweise verbindlich werden. Bestehende IT-Grundschutz-Implementierungen behalten ihre Gültigkeit.

Leistung Informationssicherheit Zur Leistung Standard ISO 27001 Zur Seite Kerndisziplin ISMS aufbauen Zur Leistung

ISMS aufbauen und ISO 27001 zertifizieren lassen.

IT-Grundschutz und ISO 27001 sind kompatibel. Wenn ein ISMS nach ISO 27001 das Ziel ist, helfen wir beim Aufbau.

Zum ISMS-Aufbau