BSI Standards Kompendium

Die BSI Standards 200‑1, 200–2 und 200–3 sind die drei Kernstandards des IT-Grundschutz-Frameworks. BSI Standard 200–1 definiert allgemeine Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS) und ist kompatibel mit ISO 27001. BSI Standard 200–2 beschreibt die IT-Grundschutz-Methodik mit drei Vorgehensweisen: Basis-Absicherung, Standard-Absicherung und Kern-Absicherung. BSI Standard 200–3 bündelt alle risikobezogenen Arbeitsschritte und regelt die Risikoanalyse auf Basis des IT-Grundschutzes. Ergänzt werden sie durch BSI Standard 200–4 zum Business Continuity Management.

Die drei Absicherungsstufen im BSI Standard 200–2 richten sich nach dem Schutzbedarf Ihrer Organisation. Die Basis-Absicherung bietet einen schnellen Einstieg mit grundlegenden Sicherheitsmaßnahmen und eignet sich für kleine Organisationen. Die Standard-Absicherung umfasst alle IT-Grundschutz-Bausteine und ermöglicht eine ISO‑27001-Zertifizierung auf Basis von IT-Grundschutz. Die Kern-Absicherung konzentriert sich auf besonders schützenswerte Geschäftsprozesse und Systeme mit erhöhtem Schutzbedarf.

Das IT-Grundschutz Kompendium ist die zentrale Sammlung aller IT-Grundschutz-Bausteine und wird jährlich vom BSI aktualisiert. Es enthält prozess- und systemorientierte Bausteine, die in Schichten organisiert sind: ISMS, Organisation und Personal, Konzepte und Vorgehensweisen, IT-Betrieb sowie Detektion und Reaktion. Jeder Baustein definiert konkrete Gefährdungen und Sicherheitsanforderungen, die bei der Modellierung eines Informationsverbundes angewendet werden.

Die Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz erfolgt in mehreren Schritten. Zunächst wird der Informationsverbund definiert und die Schutzbedarfsfeststellung durchgeführt. Dann folgt die Modellierung nach IT-Grundschutz-Kompendium und der IT-Grundschutz-Check. Anschließend wird eine ergänzende Risikoanalyse nach BSI Standard 200–3 durchgeführt. Nach der Umsetzung aller Maßnahmen prüft ein vom BSI zertifizierter Auditor die Konformität. ADVISORI begleitet den gesamten Prozess und bereitet Ihre Organisation systematisch auf das Audit vor.

Die BSI Standards bieten gegenüber einer reinen ISO‑27001-Implementierung den Vorteil konkreter Handlungsempfehlungen. Während ISO 27001 nur Anforderungen definiert, liefert das IT-Grundschutz Kompendium detaillierte Maßnahmenkataloge für jeden Baustein. Dies reduziert den Interpretationsspielraum und erleichtert die praktische Umsetzung erheblich. Zudem wird die Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz in Deutschland von Behörden und regulierten Branchen bevorzugt anerkannt.

Die Umsetzung der BSI Standards ist insbesondere für Betreiber kritischer Infrastrukturen (KRITIS) nach dem BSI-Gesetz verpflichtend. Auch Bundesbehörden müssen den IT-Grundschutz umsetzen. Mit dem IT-Sicherheitsgesetz 2.0 und der NIS-2-Richtlinie erweitert sich der Kreis der betroffenen Unternehmen auf weitere wichtige und besonders wichtige Einrichtungen. Darüber hinaus fordern viele Branchen-Regulierungen wie BAIT, VAIT oder DORA die Orientierung an anerkannten IT-Sicherheitsstandards wie dem BSI IT-Grundschutz.

ADVISORI begleitet Organisationen durch den gesamten Implementierungsprozess der BSI Standards. Wir beginnen mit einer Gap-Analyse, um den aktuellen Reifegrad Ihres ISMS zu bewerten. Darauf aufbauend erstellen wir eine priorisierte Roadmap und unterstützen bei der Modellierung nach IT-Grundschutz Kompendium, der Schutzbedarfsfeststellung, der Risikoanalyse nach BSI Standard 200–3 und der Umsetzung aller erforderlichen Maßnahmen. Unser Ziel ist eine nachhaltige Implementierung, die Ihre Organisation eigenständig weiterentwickeln kann.