Blackfort Technology
BSI IT-Grundschutz: Beratung, Aufbau und Zertifizierung
BSI IT-Grundschutz

BSI IT-Grundschutz · ISMS · Zertifizierung

BSI IT-Grundschutz: Beratung, Aufbau und Zertifizierung

Der BSI IT-Grundschutz ist das führende Rahmenwerk für Informationssicherheit im deutschen öffentlichen Sektor und bei KRITIS-Betreibern. Wir begleiten Aufbau, Implementierung und Zertifizierung – mit nachgewiesener Erfahrung aus anspruchsvollen Referenzprojekten.

Beratungsgespräch anfragen

Was ist der BSI IT-Grundschutz?

Der BSI IT-Grundschutz ist das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Rahmenwerk für Informationssicherheitsmanagement. Sein Kernstück ist das IT-Grundschutz-Kompendium — ein strukturiertes Katalogwerk, das konkrete Sicherheitsanforderungen für spezifische Systemklassen, Prozesse und Infrastrukturen beschreibt: von Serversystemen über WLAN-Infrastrukturen bis zu Gebäudesicherheit und Cloud-Nutzung.

Dieser katalogbasierte Ansatz unterscheidet den IT-Grundschutz fundamental von ISO 27001: Wo ISO 27001 risikobasiert und offen formuliert ist, gibt der IT-Grundschutz konkrete Maßnahmen vor — die sogenannten Bausteine mit ihren Basis-, Standard- und erhöhten Anforderungen. Für Organisationen, die einen klaren, vorgegebenen Umsetzungspfad bevorzugen oder regulatorisch benötigen, ist das ein entscheidender Vorteil.

Für deutsche Bundesbehörden ist der IT-Grundschutz gesetzlich vorgeschrieben. Für viele KRITIS-Betreiber, Landesbehörden und öffentlich-nahe Organisationen ist er der de-facto-Standard. Auch privatwirtschaftliche Unternehmen mit starkem Behördenbezug oder anspruchsvollen Sicherheitsanforderungen wählen ihn zunehmend — auch weil er von BSI-Auditoren direkt geprüft und durch ein offizielles Zertifikat nachgewiesen werden kann.

Die drei Vorgehensweisen des IT-Grundschutzes

Das BSI unterscheidet drei Vorgehensweisen, die sich in Tiefe, Scope und Zertifizierbarkeit unterscheiden:

01

Basis-Absicherung

Schnelleinstieg mit grundlegenden Sicherheitsmaßnahmen für die gesamte Organisation. Deckt ausschließlich die Basis-Anforderungen der relevanten IT-Grundschutz-Bausteine ab. Geeignet als erster Schritt oder für Organisationen mit begrenzten Ressourcen. Eine IT-Grundschutz-Zertifizierung ist auf dieser Basis nicht möglich.

02

Kern-Absicherung

Fokus auf die besonders schützenswerten Geschäftsprozesse und Assets der Organisation — die sogenannten Kronjuwelen. Volle Umsetzungstiefe (Basis-, Standard- und erhöhte Anforderungen) bei bewusst begrenztem Scope. Schneller umsetzbar als die Standard-Absicherung und Grundlage für ein IT-Grundschutz-Testat.

03

Standard-Absicherung

Vollständige IT-Grundschutz-Umsetzung für die gesamte Organisation mit allen relevanten Bausteinen und allen Anforderungsstufen. Aufwändigste, aber umfassendste Vorgehensweise — und die einzige Grundlage für das IT-Grundschutz-Zertifikat des BSI.

IT-Grundschutz-Testat und IT-Grundschutz-Zertifikat

Der Nachweis der IT-Grundschutz-Umsetzung kann auf zwei Wegen erfolgen — abhängig von der gewählten Vorgehensweise und dem angestrebten Reifegrad:

IT-Grundschutz-Testat

Externer Nachweis auf Basis der Kern- oder Basis-Absicherung. Ein IT-Grundschutz-Auditor prüft die Umsetzung und bestätigt den erreichten Stand. Das Testat ist in drei Stufen gegliedert: Einstieg, Aufbau und Betrieb — und ermöglicht so einen gestuften Nachweis des Umsetzungsfortschritts.

  • Basis Kern-Absicherung
  • Drei Testat-Stufen (Einstieg, Aufbau, Betrieb)
  • Externe Auditorenprüfung
  • Schneller erreichbar als Zertifikat

IT-Grundschutz-Zertifikat

Der höchste Nachweis der IT-Grundschutz-Umsetzung. Setzt die vollständige Standard-Absicherung voraus und wird durch einen vom BSI zertifizierten Auditor geprüft. Für Bundesbehörden und anspruchsvolle KRITIS-Nachweise ist das Zertifikat der gefragte Standard.

  • Vollständige Standard-Absicherung
  • BSI-zertifizierter Auditor
  • Regelmäßige Rezertifizierung
  • Anerkannt für Bundesbehörden & KRITIS

IT-Grundschutz oder ISO 27001 — welcher Rahmen passt?

Beide Frameworks adressieren Informationssicherheitsmanagement, aber mit unterschiedlichen Ansätzen und für unterschiedliche Zielgruppen:

KriteriumBSI IT-GrundschutzISO 27001
AnsatzKatalogbasiert, vorschreibendRisikobasiert, flexibel
ZielgruppeBehörden, KRITIS, öffentl. SektorInternational, privatwirtschaftlich
MaßnahmenKonkret vorgegeben (Bausteine)Eigenverantwortlich aus Anhang A
NachweisTestat oder BSI-ZertifikatISO-27001-Zertifikat (akkreditiert)
EinstiegStrukturierter Pfad vorgegebenFlexibler, erfordert mehr Eigenleistung
KombinationKomplementär nutzbarKomplementär nutzbar

Viele Organisationen kombinieren beide Frameworks: ISO 27001 liefert die international anerkannte Zertifizierungsgrundlage, die IT-Grundschutz-Bausteine liefern die technische Tiefe für spezifische Systemklassen. Wir helfen Ihnen, diese Entscheidung auf Basis Ihrer konkreten regulatorischen Verpflichtungen und strategischen Ziele zu treffen.

Referenzprojekt

ISMS-Aufbau und externer CISO für die offizielle nora – Notruf-App

nora – Notruf-App ist die offizielle Notruf-App in Deutschland — eine sicherheitskritische Anwendung im Bereich der öffentlichen Daseinsvorsorge, die höchste Anforderungen an Verfügbarkeit, Vertraulichkeit und regulatorische Konformität stellt.

Blackfort Technology hat für nora – Notruf-App das vollständige ISMS nach BSI IT-Grundschutz aufgebaut, die anschließende Zertifizierung begleitet und während der Projektlaufzeit den externen CISO gestellt. Das Projekt umfasste die Auswahl und Umsetzung relevanter IT-Grundschutz-Bausteine, die Erstellung der gesamten Sicherheitsdokumentation, die Vorbereitung auf das externe Audit sowie die operative Führung der Informationssicherheitsfunktion in einer hochsensiblen, öffentlich exponierten Umgebung.

Dieses Projekt steht exemplarisch für unsere Arbeitsweise: technische IT-Grundschutz-Kompetenz, regulatorisches Verständnis und die Fähigkeit, auch in komplexen, öffentlichkeitswirksamen Projekten operativ Verantwortung zu übernehmen.

ISMS-Aufbau nach BSI IT-GrundschutzZertifizierungsbegleitungExterner CISO während der ProjektlaufzeitÖffentliche Sicherheitsinfrastruktur

Unsere Leistungen rund um den BSI IT-Grundschutz

Gap-Analyse und Reifegradmessung

Strukturierte Bewertung des aktuellen Sicherheitsstands gegen die relevanten IT-Grundschutz-Bausteine. Identifikation von Lücken, Priorisierung nach Risiko und Ableitung eines realistischen Umsetzungsplans.

Scoping und Vorgehensauswahl

Fundierte Entscheidungsunterstützung bei der Wahl zwischen Basis-, Kern- und Standard-Absicherung sowie bei der Definition eines sinnvollen, zertifizierungsfähigen Scopes. Diese Entscheidung prägt den gesamten Projektverlauf.

Bausteinauswahl, Dokumentation und Umsetzungsbegleitung

Auswahl und Umsetzung der relevanten IT-Grundschutz-Bausteine, Erstellung der gesamten Sicherheitsdokumentation (Sicherheitskonzept, Richtlinien, Risikoanalysen) und Begleitung der technischen und organisatorischen Maßnahmenumsetzung.

Zertifizierungsvorbereitung und Auditbegleitung

Vorbereitung auf das externe IT-Grundschutz-Audit, Durchführung interner Vor-Audits, Abstimmung mit dem Auditor und fachliche Begleitung während der Zertifizierungsprüfung.

Externer Informationssicherheitsbeauftragter (ISB/CISO)

Übernahme der ISB-Funktion auf Zeit — von der Projektlaufzeit bis zum dauerhaften Betrieb. Wir stellen die Kontinuität der Informationssicherheitsfunktion sicher, auch wenn interne Ressourcen fehlen oder aufgebaut werden.

Externer Informationssicherheitsbeauftragter

BSI IT-Grundschutz strukturiert umsetzen — mit erfahrenem Partner

Blackfort Technology begleitet Behörden, KRITIS-Betreiber und öffentlich-nahe Organisationen beim Aufbau und der Zertifizierung nach BSI IT-Grundschutz. Vom initialen Assessment bis zur erfolgreichen Zertifizierung — und bei Bedarf mit externem CISO während der gesamten Projektlaufzeit.

Beratungsgespräch anfragenISMS Beratung im Überblick

Häufige Fragen zum BSI IT-Grundschutz

Was ist der BSI IT-Grundschutz?

Der BSI IT-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Rahmenwerk für Informationssicherheit. Anders als ISO 27001, das einen risikobasierten Ansatz verfolgt, bietet der IT-Grundschutz ein detailliertes Katalogwerk – das IT-Grundschutz-Kompendium – mit spezifischen Anforderungen und Sicherheitsmaßnahmen für konkrete Systemklassen, Prozesse und Infrastrukturen. Für deutsche Bundesbehörden ist er Pflicht; für viele KRITIS-Betreiber und öffentlich-nahe Organisationen ist er de-facto-Standard.

Was ist der Unterschied zwischen IT-Grundschutz und ISO 27001?

ISO 27001 ist risikobasiert und international: Sie definiert, was ein ISMS leisten muss, lässt aber offen, wie konkrete Maßnahmen aussehen. Der BSI IT-Grundschutz ist vorschreibend und katalogbasiert: Er beschreibt konkrete Anforderungen für spezifische Bausteine (z.B. Windows-Server, WLAN, Cloud-Nutzung). ISO 27001 eignet sich für international agierende Unternehmen; der IT-Grundschutz ist die bevorzugte Wahl für Behörden, KRITIS-Betreiber und Organisationen mit starkem Deutschlandbezug. Beide Frameworks lassen sich kombinieren: ISO 27001 als Zertifizierungsgrundlage, IT-Grundschutz für die technische Tiefe.

Welche Vorgehensweisen gibt es beim BSI IT-Grundschutz?

Das BSI unterscheidet drei Vorgehensweisen: Die Basis-Absicherung bietet einen schnellen Einstieg mit grundlegenden Sicherheitsmaßnahmen, ermöglicht aber keine Zertifizierung. Die Kern-Absicherung fokussiert auf besonders kritische Geschäftsprozesse und Assets ("Kronjuwelen") und ist die Grundlage für ein IT-Grundschutz-Testat. Die Standard-Absicherung ist die vollständige Umsetzung aller IT-Grundschutz-Anforderungen und Voraussetzung für das IT-Grundschutz-Zertifikat.

Was ist der Unterschied zwischen IT-Grundschutz-Testat und IT-Grundschutz-Zertifikat?

Das IT-Grundschutz-Testat wird von einem externen IT-Grundschutz-Auditor ausgestellt und bestätigt die Umsetzung auf Basis der Kern- oder Basis-Absicherung. Es gibt drei Testat-Stufen: Einstieg, Aufbau und Betrieb. Das IT-Grundschutz-Zertifikat ist der höchste Nachweis: Es setzt die vollständige Standard-Absicherung voraus, wird durch einen vom BSI zertifizierten Auditor geprüft und ist regelmäßig zu erneuern. Das Zertifikat ist der formale Nachweis für Bundesbehörden und anspruchsvolle KRITIS-Anforderungen.

Wie lange dauert die Einführung des BSI IT-Grundschutzes?

Das hängt maßgeblich von der Ausgangssituation, dem gewählten Scope und der Vorgehensweise ab. Eine Kern-Absicherung für einen begrenzten Scope ist in 6–12 Monaten realistisch umsetzbar. Eine vollständige Standard-Absicherung mit anschließender Zertifizierung dauert in der Regel 12–24 Monate – abhängig von der Organisationsgröße, der IT-Komplexität und den verfügbaren internen Ressourcen. Eine realistische Projektplanung am Anfang ist entscheidend für den Projekterfolg.

Zertifizierungspfad

Basis-Absicherung
Kein Testat/Zertifikat
Einstieg
Kern-Absicherung
IT-GS-Testat
3 Stufen
Standard-Absicherung
IT-GS-Zertifikat
Vollständig

Eckdaten

HerausgeberBSI (Bundesamt)
Zentrales DokumentIT-GS-Kompendium
PflichtBundesbehörden, KRITIS
NachweisTestat oder Zertifikat
ErgänzungKompatibel mit ISO 27001
Laufzeit Einführung6–24 Monate

Verwandte Themen

IT-Grundschutz-Beratung

Von der Gap-Analyse bis zur Zertifizierung — mit nachgewiesener Projekterfahrung aus dem öffentlichen Sektor.

Jetzt anfragen

Kontakt aufnehmen

Bereit für den nächsten Schritt?

Sprechen Sie mit uns über Ihre Sicherheitsanforderungen – konkret, ohne Verpflichtung und auf Augenhöhe.

Beratungsgespräch anfragen