Erstgespräch
Erstgespräch buchen
Leistungen
Übersicht → GAP-Analyse Audit ISMS AIMS BCMS RMS
ISMS
Übersicht → ISO 27001 Interim ISB & CISO NIS-2 BSI IT-Grundschutz Cyber Resilience Act DORA TISAX®
AIMS
Übersicht → ISO 42001 EU AI Act Thema Schatten-KI
BCMS
Übersicht → ITSCM Notfallmanagement Schwachstellenmanagement
RMS
Solutions
Übersicht → SOC SIEM Partner
Über uns
Übersicht → Presse & Kommunikation
+49 40-298 4553-0 contact@securam-consulting.com
BSI IT-Grundschutz Beratung – Strukturanalyse und Modellierung nach BSI-Standard 200-2

ISMS — BSI-Methodik

BSI IT-Grundschutz — Beratung und Implementierung

Von der Strukturanalyse bis zur Zertifizierungsbegleitung nach BSI-Standard 200-2 — methodisch fundiert, regulatorisch zuverlässig.

Abschnitt 01

Warum BSI IT-Grundschutz Beratung?

Das IT-Grundschutz-Kompendium des BSI ist kein schlankes Regelwerk. Es umfasst aktuell mehr als 100 Bausteine aus Prozess- und Systemkategorien — von ORP.1 (Organisation) bis SYS.4.5 (Wechseldatenträger). Hinter jedem Baustein stehen Anforderungen auf drei Niveaus: Basis, Standard und erhöhter Schutzbedarf. Wer das Kompendium zum ersten Mal aufschlägt, sieht sich einem strukturierten, aber umfangreichen Regelwerk gegenüber, dessen Einstieg methodisches Wissen voraussetzt.

Die häufigste Fehlerquelle liegt nicht im fehlenden Willen zur Umsetzung, sondern im methodischen Einstieg: Eine fehlerhafte Modellierung führt dazu, dass relevante Anforderungen übersehen oder nicht relevante Anforderungen aufwendig bearbeitet werden.

Hinzu kommt der regulatorische Druck: Für Bundesbehörden und nachgeordnete Behörden ist der IT-Grundschutz über den Umsetzungsplan Bund (UP Bund) verbindlich vorgeschrieben. KRITIS-Betreiber müssen gemäß §8a BSIG alle zwei Jahre nachweisen, dass sie angemessene technische und organisatorische Maßnahmen umgesetzt haben. Der IT-Grundschutz ist der anerkannte methodische Rahmen dafür.

Unternehmen außerhalb der Verwaltung, die eine ISO 27001-Zertifizierung auf Basis von IT-Grundschutz anstreben, stehen vor einer doppelten Anforderung: sowohl die normative Struktur der ISO 27001 als auch die methodischen Anforderungen des BSI-Standard 200-2 zu erfüllen. Die Bausteinauswahl, die Schutzbedarfsfeststellung und die Modellierung sind dabei Kernschritte, die erfahrungsgemäß ohne externe Begleitung zu Fehlern führen — insbesondere bei der Abgrenzung des Informationsverbundes und der Zuordnung von Bausteinen zu Zielobjekten.

SECURAM kennt die praktischen Hürden dieser Methodik. Die BSI IT-Grundschutz Beratung setzt dort an, wo Checklisten nicht weiterhelfen: bei der kontextgerechten Anwendung der Methode auf die tatsächliche IT-Landschaft der Organisation.

Abschnitt 02

IT-Grundschutz Kompendium: Methodik verstehen, bevor man implementiert

Das IT-Grundschutz-Kompendium gliedert seine Bausteine in Prozessbausteine (ISMS, ORP, CON, OPS, DER) und Systembausteine (APP, SYS, IND, NET, INF) und beschreibt für jeden Baustein drei Anforderungsebenen. Welcher Baustein für welches Zielobjekt gilt, bestimmt die Modellierung nach BSI-Standard 200-2, Abschnitt 8.

Drei Schutzbedarfsstufen

  • Basis-Absicherung
  • Standard-Absicherung
  • Erhöhter Schutzbedarf
  • Kern-Absicherung (für ausgewählte Zielobjekte)

Der BSI-Grundschutz-Check — im Sprachgebrauch des BSI der „Basis-Sicherheitscheck“ beziehungsweise „Standard-Sicherheitscheck“ — ist kein einmaliger Prüfschritt, sondern ein kontinuierlich fortzuschreibendes Dokument. Organisationen, die ihren Grundschutz-Verbund regelmäßig aktualisieren, stehen bei externen Prüfungen erheblich besser da als solche, die das Sicherheitskonzept nur für das Audit auffrischen.

Abschnitt 03

BSI-Standard 200-2 und der Weg zur Grundschutz-Zertifizierung

Zwei Zertifizierungswege stehen zur Auswahl. Der erste führt über eine akkreditierte Zertifizierungsstelle zur ISO 27001-Zertifizierung auf Basis von IT-Grundschutz — dieser Weg kombiniert die internationale Anerkennbarkeit der ISO 27001 mit der methodischen Tiefe des Grundschutzes. Der zweite Weg ist das BSI-Grundschutz-Testat, das vom BSI selbst oder von autorisierten Prüfstellen ausgestellt wird und drei Stufen kennt: Einstiegsstufe, Aufbaustufe und Standardabsicherung.

Welcher Weg passt, hängt vom Verwendungszweck ab. Wer den Nachweis gegenüber deutschen Behörden oder im KRITIS-Kontext erbringt, kommt mit dem Testat aus. Die Wahl sollte früh im Projekt fallen — sie beeinflusst den Umfang der Prüfvorbereitung.

Wer außerdem international tätig ist oder Kunden hat, die ein ISO-27001-Zertifikat sehen wollen, wählt ohnehin den kombinierten Weg. Die Kombinierbarkeit ist vom BSI anerkannt und von akkreditierten Zertifizierungsstellen prüfbar.

Abschnitt 04

Zusammenhang mit ISO 27001 und anderen ISMS-Rahmenwerken

BSI IT-Grundschutz und ISO 27001 adressieren dasselbe Ziel: ein strukturiertes, nachweisbares Informationssicherheits-Management. Der Grundschutz ist konkreter — er gibt über 800 Einzelmaßnahmen vor und lässt weniger Spielraum bei der Ausgestaltung. ISO 27001 ist abstrakter, dafür international anerkannt und außerhalb Deutschlands von Zertifizierungsstellen weltweit auditierbar.

Für Organisationen, die gleichzeitig NIS-2-Anforderungen erfüllen müssen, bietet ein ISMS nach IT-Grundschutz gute Ausgangsvoraussetzungen: Die Maßnahmen des Kompendiums decken die Anforderungsbereiche des Art. 21 NIS-2 (Richtlinie (EU) 2022/2555) weitgehend ab. Eine detaillierte Lückenanalyse zeigt, wo ergänzende Maßnahmen notwendig sein dürften.

Relevante Rahmenwerke im Überblick

  • BSI-Standard 200-1 (ISMS)
  • BSI-Standard 200-2 (IT-Grundschutz-Methodik)
  • BSI-Standard 200-3 (Risikoanalyse)
  • ISO/IEC 27001:2022
  • NIS-2, Art. 21
  • §8a BSIG (KRITIS)

Einen vollständigen Überblick über alle ISMS-Leistungen von SECURAM bietet die ISMS-Übersichtsseite.

Grundschutz-Implementierung starten

In einem kostenfreien Erstgespräch klären wir den Ausgangspunkt, den sinnvollen Scope und den realistischen Zeitrahmen für Ihre Grundschutz-Implementierung.

Erstgespräch vereinbaren

Leistungsumfang der BSI IT-Grundschutz Beratung

SECURAM unterstützt den gesamten Grundschutz-Prozess — von der ersten Bestandsaufnahme bis zur begleiteten Zertifizierung.

  • Grundschutz-Check (Schnellbewertung)

    Systematischer Abgleich des bestehenden Sicherheitsniveaus mit den Basis-Anforderungen des IT-Grundschutz-Kompendiums. Der Grundschutz-Check liefert einen schnellen Überblick über offene Lücken und priorisierte Handlungsfelder — als Einstieg vor einer vollständigen Implementierung.

  • Strukturanalyse

    Erfassung des Informationsverbundes: Geschäftsprozesse, Anwendungen, IT-Systeme, Räume und Netze werden systematisch erhoben und in einem Strukturplan dokumentiert. Die Qualität der Strukturanalyse bestimmt die Güte der gesamten nachfolgenden Grundschutz-Bearbeitung.

  • Schutzbedarfsfeststellung

    Bewertung des Schutzbedarfs aller Objekte des Informationsverbundes in den Dimensionen Vertraulichkeit, Integrität und Verfügbarkeit. Die Einstufung — normal, hoch, sehr hoch — bestimmt, welche Anforderungsebene anzuwenden ist.

  • Modellierung (Baustein-Zuordnung)

    Zuordnung der relevanten IT-Grundschutz-Bausteine zu den Zielobjekten des Informationsverbundes gemäß BSI-Standard 200-2 (Abschnitt 8). Die Modellierung ist der methodisch anspruchsvollste Schritt — sie bestimmt, welche Anforderungen tatsächlich gelten.

  • Basis- und Standard-Sicherheitscheck

    Prüfung der Umsetzung aller relevanten Baustein-Anforderungen für den definierten Informationsverbund. Ergebnis ist eine dokumentierte Bewertung des Umsetzungsstatus (entbehrlich / ja / teilweise / nein) pro Anforderung.

  • Risikoanalyse nach BSI-Standard 200-3

    Für Zielobjekte mit erhöhtem Schutzbedarf oder bei Anwendung der Kern-Absicherung wird eine gesonderte Risikoanalyse nach BSI-Standard 200-3 durchgeführt. Sie ergänzt den Grundschutz dort, wo Standardmaßnahmen nicht ausreichen.

  • Dokumentation des ISMS nach BSI-Standard 200-1

    Aufbau oder Erweiterung der ISMS-Dokumentation gemäß BSI-Standard 200-1: Leitlinie, Richtlinien, Prozessbeschreibungen und Nachweise für den Sicherheitsbeauftragten und die Leitungsebene.

  • Zertifizierungsbegleitung

    Vorbereitung und Begleitung der Zertifizierung — entweder als ISO 27001 auf Basis von IT-Grundschutz oder als BSI-Grundschutz-Testat. SECURAM koordiniert die Prüfvorbereitung, klärt offene Feststellungen vor dem Audit und begleitet den Prozess bis zur Zertifikatserteilung.

Projekt oder laufende Begleitung? Die Grundschutz-Implementierung lässt sich als einmaliges Projekt beauftragen oder mit der laufenden Betreuung durch einen externen ISB kombinieren. Letzteres empfiehlt sich, wenn der Grundschutz dauerhaft aktuell gehalten werden soll — etwa bei regelmäßigen BSI-Prüfungen nach §8a BSIG.

BSI IT-Grundschutz planen — jetzt Erstgespräch vereinbaren

Sie planen die Einführung des IT-Grundschutzes, stehen vor einer §8a-BSIG-Prüfung oder wollen den Weg zur Grundschutz-Zertifizierung klären? In einem kostenfreien Erstgespräch benötigen wir typischerweise 45 Minuten — und können danach eine belastbare Einschätzung geben.

Erstgespräch vereinbaren Kontakt aufnehmen

Warum SECURAM für BSI IT-Grundschutz

Vier Gründe, warum Behörden und Unternehmen beim Aufbau nach IT-Grundschutz auf SECURAM setzen.

Methodik

BSI-Methodik aus der Praxis

SECURAM kennt die praktischen Hürden der Grundschutz-Implementierung — Strukturanalyse, Modellierung, Schutzbedarfsfeststellung. Die Beratung setzt dort an, wo Kompendium-Lektüre allein nicht weiterführt.

Integration

Grundschutz und ISO 27001 aus einer Hand

SECURAM berät sowohl nach IT-Grundschutz als auch nach ISO 27001. Die Kombination — ISO 27001 auf Basis von IT-Grundschutz — wird von Anfang an mitgedacht, wenn sie strategisch sinnvoll ist.

Regulatorik

KRITIS, UP Bund, NIS-2 — Pflichten kennen

Ob §8a BSIG, Umsetzungsplan Bund oder NIS-2: SECURAM ordnet die regulatorischen Anforderungen ein und richtet den Grundschutz-Aufbau daran aus. Keine Überfüllung, keine Lücken.

Praxis

Vom Check bis zur Zertifizierung

SECURAM begleitet den vollständigen Grundschutz-Prozess — vom ersten Grundschutz-Check bis zur ISO-27001-Zertifizierung auf BSI-Basis oder zum BSI-Testat. Ein Ansprechpartner, ein durchgängiger Prozess.

Ihre Ansprechpartnerin

Nadine Eibel – SECURAM Consulting

Nadine Eibel

Gründerin & Geschäftsführerin · SECURAM Consulting GmbH

Gründerin und Geschäftsführerin der SECURAM Consulting GmbH mit über 20 Jahren Erfahrung in IT-Security und Informationssicherheit. Zertifiziert als CISM, Lead Auditorin ISO 27001, ITIL Expert und Datenschutzexpertin nach DSGVO (Art. 37) und BDSG. Ihr Fokus liegt auf Business Continuity Management und dem Aufbau nachhaltiger Governance-Strukturen.

→ Kontakt aufnehmen → LinkedIn-Profil
Download

Interim CISO / ISB

Alle Leistungen auf einen Blick als PDF zum Weitergeben.

Interim CISO / ISB Flyer Vorschau

Interim CISO / ISB

Externer Informationssicherheitsbeauftragter als Managed Service mit Leistungen und Ablauf.

PDF, 6 Seiten
Flyer herunterladen

Typische Ausgangssituationen

Drei Szenarien führen Organisationen besonders häufig zum BSI IT-Grundschutz:

Bundesbehörde vor UP-Bund-Prüfung

Die nächste Revision steht an. Der Grundschutz-Verbund ist veraltet, die Dokumentation lückenhaft. SECURAM bringt den Verbund auf aktuellen Stand und bereitet die Prüfung strukturiert vor. Ein Erstgespräch klärt den konkreten Handlungsbedarf.

KRITIS-Betreiber vor §8a-BSIG-Nachweis

Alle zwei Jahre muss der Nachweis angemessener Sicherheitsmaßnahmen erbracht werden. Der IT-Grundschutz ist der anerkannte Rahmen, aber die Implementierung bindet intern zu viel Kapazität. SECURAM übernimmt Aufbau oder Aktualisierung und begleitet den Nachweis.

ISO 27001 auf Basis von IT-Grundschutz

Das Unternehmen braucht internationale Anerkennung und methodische Tiefe zugleich. Die Kombination aus ISO 27001 und IT-Grundschutz ist anspruchsvoll. SECURAM führt beide Anforderungswelten zusammen und begleitet bis zur Zertifizierung. Ein Erstgespräch klärt den Scope.

Häufige Fragen

Ihre Fragen zur BSI IT-Grundschutz Beratung

Praxisnahe Antworten zu Pflichten, Kosten, Methodik und dem Einstieg in die Grundschutz-Implementierung.

Der IT-Grundschutz ist über den Umsetzungsplan Bund (UP Bund) für Bundesbehörden und nachgeordnete Behörden verbindlich. KRITIS-Betreiber unterliegen nach §8a Abs. 1 BSIG der Pflicht, alle zwei Jahre angemessene Sicherheitsmaßnahmen nachzuweisen — der IT-Grundschutz ist der anerkannte methodische Rahmen dafür. Für alle anderen Unternehmen ist die Anwendung freiwillig, sofern keine vertraglichen oder branchenspezifischen Anforderungen greifen.

Ob Ihre Organisation betroffen ist, klärt ein Erstgespräch. Die Betroffenheitsanalyse ist Teil der initialen Beratung.

Der Aufwand hängt vom Umfang des Informationsverbundes, dem Ausgangsniveau und dem Ziel ab — Testat oder ISO-27001-Zertifizierung auf Basis von IT-Grundschutz. Organisationen mit wenigen Systemen und einem gut dokumentierten Ist-Stand sind schneller arbeitsbefähig als solche, die bei null beginnen. Eine pauschale Preisangabe wäre wenig belastbar.

Der Grundschutz-Check liefert in der Regel innerhalb von zwei bis vier Wochen eine realistische Aufwandseinschätzung — als Grundlage für eine konkrete Angebotserstellung.

Beide Rahmenwerke zielen auf ein strukturiertes Informationssicherheits-Management. ISO 27001 ist international anerkannt und formuliert Anforderungen risikobasiert mit 93 Controls in Annex A — die Ausgestaltung liegt weitgehend beim Unternehmen. Der IT-Grundschutz ist konkreter: Das Kompendium gibt über 800 Einzelmaßnahmen vor und lässt weniger Spielraum.

Für Behörden und KRITIS-Betreiber ist der Grundschutz die regulatorisch bevorzugte Wahl. Exportorientierte Unternehmen oder solche mit internationalen Kunden greifen eher zur ISO 27001-Zertifizierung. Die Kombination ist möglich und vom BSI anerkannt.

Das BSI-Grundschutz-Testat bestätigt die korrekte Anwendung der IT-Grundschutz-Methodik für den geprüften Informationsverbund. Es kennt drei Stufen: Einstiegsabsicherung, Basisabsicherung und Standardabsicherung. Das Testat wird durch autorisierte Prüfstellen ausgestellt und ist in Deutschland anerkannt.

Die ISO-27001-Zertifizierung auf Basis von IT-Grundschutz geht darüber hinaus: Sie verbindet die methodische Tiefe des Grundschutzes mit der internationalen Anerkennbarkeit der Norm und wird durch akkreditierte Zertifizierungsstellen erteilt.

Welcher Weg sinnvoll ist, hängt vom Verwendungszweck ab. Mehr dazu im ISMS-Bereich.

Ein realistischer Zeitrahmen liegt bei sechs bis zwölf Monaten, abhängig von der Größe des Informationsverbundes, dem Ausgangsniveau und dem gewählten Absicherungsansatz. Bundesbehörden mit mehreren Standorten und komplexen IT-Landschaften benötigen erfahrungsgemäß mehr Zeit als mittelständische Unternehmen mit einem definierten Scope.

Der Grundschutz-Check als Einstieg klärt den Ausgangspunkt und ermöglicht eine belastbare Planung. Eine Übersicht aller ISMS-Leistungen finden Sie auf der ISMS-Übersichtsseite.
Noch offene Fragen zum BSI IT-Grundschutz?

Sprechen Sie direkt mit unseren Experten. Wir klären Ihren konkreten Bedarf im kostenfreien Erstgespräch.

Erstgespräch buchen

Kontakt

Wir freuen uns auf Ihre Nachricht.

Ich habe die Datenschutzhinweise gelesen und bin einverstanden, dass meine Angaben zur Beantwortung meiner Anfrage verarbeitet und per E-Mail an SECURAM Consulting übermittelt werden. *

Kontaktdaten

Colonnaden 5
20354 Hamburg
040 298 4553-0
contact@securam-consulting.com

Direkter Kontakt

Lieber direkt sprechen?
Buchen Sie ein kostenloses Erstgespräch.

Termin buchen