Erstgespräch
Erstgespräch buchen
Leistungen
Übersicht → Audit Begleitung as a Service GAP-Analyse Implementierung
ISMS
Übersicht → Externer ISB CISIS12 BSI IT-Grundschutz ISO 27001 Regulatorik Cyber Resilience Act DORA NIS-2 NIS-2 Betroffenheit NIS-2 Registrierung B3S KRITIS TISAX®
AIMS
Übersicht → Externer KI-Beauftragter EU AI Act ISO 42001 Thema Schatten-KI
BCMS
Übersicht → Externer BCM-Beauftragter BSI 200-4 ISO 22301 ITSCM Notfallmanagement
RMS
Übersicht → Externer Risikomanager BSI 200-3 ISO 27005 MaRisk
Solutions
Übersicht → Partner Patchmanagement Schwachstellenmanagement SIEM SOC
Wissen
Übersicht → Insights KI-Security Briefing
Über uns
Übersicht → Presse
+49 40-298 4553-0 [email protected]
BSI IT-Grundschutz Beratung: Implementierung und Zertifizierung | SECURAM

ISMS · BSI IT-Grundschutz

BSI IT-Grundschutz Beratung für Unternehmen

Der BSI IT-Grundschutz bietet mit 113 Bausteinen und über 800 Einzelmaßnahmen die detaillierteste Methodik für Informationssicherheit im deutschsprachigen Raum. SECURAM begleitet von der Strukturanalyse über die Modellierung bis zur Zertifizierung nach BSI-Standard 200-2 und übernimmt auf Wunsch den laufenden Betrieb als externer ISB.

Erstgespräch vereinbaren Leistungsumfang ↓
IT-GS BSI-Standard 200-2

Ausgangslage

Warum BSI IT-Grundschutz die Referenzmethodik bleibt

113 Bausteine, über 800 Maßnahmen und eine klare Methodik: Der IT-Grundschutz des BSI ist der detaillierteste Weg zu einem ISMS.

Der BSI IT-Grundschutz wurde vom Bundesamt für Sicherheit in der Informationstechnik als nationale Methodik für Informationssicherheit entwickelt. Im Unterschied zur ISO 27001, die 93 abstrakte Controls definiert, liefert der IT-Grundschutz mit dem Kompendium (Edition 2024) konkrete Handlungsanweisungen: 113 Bausteine aus den Schichten Prozesse, Systeme, Netze, Anwendungen und Infrastruktur, mit jeweils detaillierten Umsetzungshinweisen.

Für Bundesbehörden ist die Anwendung des IT-Grundschutzes über den UP Bund verpflichtend. KRITIS-Betreiber nutzen die Methodik als anerkannten Nachweis nach §8a BSIG. Im privatwirtschaftlichen Mittelstand entscheiden sich Unternehmen für IT-Grundschutz, wenn sie als Dienstleister für den öffentlichen Sektor tätig sind oder eine besonders maßnahmenorientierte Methodik bevorzugen.

In unseren Projekten sehen wir, dass die Methodiktiefe des IT-Grundschutzes Organisationen vor eine Herausforderung stellt: Die Strukturanalyse, Schutzbedarfsfeststellung und Modellierung erfordern Erfahrung, um den Informationsverbund korrekt abzubilden, ohne sich in Details zu verlieren. SECURAM bringt diese Modellierungskompetenz mit und begleitet von der Initiierung bis zur Zertifizierung, auf Wunsch auch als externer Informationssicherheitsbeauftragter im laufenden Betrieb.

Leistungsumfang

BSI IT-Grundschutz: Von der Strukturanalyse bis zur Zertifizierung

Methodikgetreue Implementierung nach BSI-Standard 200-2 in sieben Leistungsbausteinen.

01

Initiierung und Geltungsbereich

Festlegung des Informationsverbunds, der Absicherungsstufe (Basis, Standard oder Kern) und der organisatorischen Rahmenbedingungen. Definition von Verantwortlichkeiten und Projektstruktur.

02

Strukturanalyse

Erfassung aller Geschäftsprozesse, Anwendungen, IT-Systeme, Kommunikationsverbindungen und Räume des Informationsverbunds nach BSI-Standard 200-2.

03

Schutzbedarfsfeststellung

Bewertung des Schutzbedarfs für Vertraulichkeit, Integrität und Verfügbarkeit jedes Zielobjekts. Berücksichtigung von Vererbung und Kumulationseffekten.

04

Modellierung und IT-Grundschutz-Check

Zuordnung der passenden Bausteine aus dem IT-Grundschutz-Kompendium zu jedem Zielobjekt. Soll-Ist-Vergleich der Anforderungen gegen den tatsächlichen Umsetzungsstand.

05

Ergänzende Risikoanalyse

Für Zielobjekte mit erhöhtem Schutzbedarf wird eine ergänzende Risikoanalyse nach BSI-Standard 200-3 durchgeführt. Identifikation und Bewertung von Gefährdungen jenseits des Standard-Schutzbedarfs.

06

Maßnahmenkonsolidierung und Umsetzung

Zusammenführung aller Anforderungen in einen konsolidierten Maßnahmenplan. Priorisierte Umsetzung der technischen und organisatorischen Maßnahmen mit Fortschrittskontrolle.

07

Zertifizierungsbegleitung

Vorbereitung und Begleitung der Zertifizierung, wahlweise als ISO 27001 auf Basis von IT-Grundschutz oder als BSI-Testat. Internes Audit als Generalprobe vor dem externen Audit.

Projektverlauf

IT-Grundschutz-Implementierung in 6 Phasen

Initiierung und Geltungsbereich

Woche 1–2

Festlegung des Informationsverbunds, der Absicherungsstufe und der Projektorganisation. Auswahl der relevanten Schichten und Bausteine für den Scope.

Ergebnis: Scope-Dokument, Sicherheitsleitlinie, Projektplan

Strukturanalyse und Schutzbedarfsfeststellung

Woche 3–6

Erfassung aller Zielobjekte des Informationsverbunds und Bewertung des Schutzbedarfs für Vertraulichkeit, Integrität und Verfügbarkeit. Berücksichtigung von Kumulationseffekten und Vererbung.

Ergebnis: Strukturanalyse-Bericht, Schutzbedarfsfeststellung

Modellierung und IT-Grundschutz-Check

Woche 6–12

Zuordnung der Bausteine aus dem IT-Grundschutz-Kompendium zu den Zielobjekten. Anschließend Soll-Ist-Vergleich: Welche Anforderungen sind bereits erfüllt, welche nicht?

Ergebnis: Modellierung, IT-Grundschutz-Check-Ergebnisse, Restrisikoliste

Ergänzende Risikoanalyse nach BSI 200-3

Woche 10–14

Für Zielobjekte mit erhöhtem Schutzbedarf oder spezifischen Gefährdungen wird die ergänzende Risikoanalyse durchgeführt. Bewertung zusätzlicher Risiken und Definition weiterer Maßnahmen.

Ergebnis: Risikoanalyse-Bericht, ergänzende Maßnahmen

Maßnahmenkonsolidierung und Umsetzung

Woche 12–28

Zusammenführung aller identifizierten Maßnahmen in einen priorisierten Umsetzungsplan. Begleitung der technischen und organisatorischen Umsetzung mit regelmäßiger Fortschrittskontrolle.

Ergebnis: Konsolidierter Maßnahmenplan, Umsetzungsnachweise

Zertifizierungsvorbereitung und ISBaaS-Übergang

Woche 28–32 / fortlaufend

Internes Audit als Generalprobe, Vorbereitung der Zertifizierungsdokumentation und Begleitung des externen Audits. Nach Zertifizierung Übergang in den laufenden Betrieb mit SECURAM als externem ISB.

Ergebnis: Zertifikat (ISO 27001 auf Basis IT-GS oder BSI-Testat), ISBaaS-Vertrag

Zeitangaben beziehen sich auf eine Standard-Absicherung im Mittelstand (100–500 Mitarbeiter). Basis-Absicherung ist in 3 bis 6 Monaten umsetzbar. Bei bestehenden Managementsystemen verkürzen sich die Phasen entsprechend.

Erfahrung und Qualifikation

Worauf SECURAM aufbaut

SECURAM Consulting wurde in Hamburg gegründet und berät seit mehr als 20 Jahren mittelständische Unternehmen in der DACH-Region. Die Kombination aus ISMS, BCMS, KI-Governance und Risikomanagement unter einem Dach unterscheidet SECURAM von spezialisierten Einzelnorm-Beratungen, weil Überschneidungen zwischen Standards systematisch genutzt werden.

30+
Implementierte Managementsysteme
50+
Durchgeführte interne Audits
15+
Betreute Organisationen (aaS)
20+
Jahre Beratungserfahrung

Skalierung

Vom IT-Grundschutz zur internationalen Zertifizierung

BSI IT-Grundschutz legt die methodische Basis. Die Erweiterung auf ISO 27001 oder NIS-2 nutzt die vorhandene Dokumentation und Risikoanalyse.

Die Zertifizierung „ISO 27001 auf Basis von IT-Grundschutz" verbindet beide Standards in einem Audit. Wer später NIS-2 nachweisen muss, baut auf der vorhandenen Dokumentation auf.

Weitere Standards in der ISMS-Säule
TISAX KRITIS DORA CISIS12 CRA

Laufender Betrieb

ISBaaS — Externer ISB für den IT-Grundschutz-Betrieb

Nach der Zertifizierung muss das ISMS kontinuierlich betrieben werden: Bausteine aktualisieren, Kompendium-Updates einarbeiten, interne Audits durchführen und Management Reviews vorbereiten. SECURAM übernimmt diese Aufgaben als externer Informationssicherheitsbeauftragter (ISBaaS) und stellt die Zertifizierungsreife für das Überwachungsaudit sicher.

Für Organisationen, die keinen eigenen ISB beschäftigen oder die Fachkompetenz extern bündeln wollen, ist das Modell wirtschaftlich sinnvoll. Die Kosten sind planbar, die Methodik bleibt konsistent, und die Vorbereitung auf das Überwachungsaudit ist im laufenden Betrieb enthalten.

  • Laufende Pflege des ISMS nach BSI-Standard 200-2
  • Einarbeitung von Kompendium-Updates und neuen Bausteinen
  • Durchführung interner Audits und Management Reviews
  • Vorbereitung auf Überwachungs- und Rezertifizierungsaudits

SECURAM Consulting ist Mitglied der BSI-Allianz für Cybersicherheit, bei ISACA, Bitkom, der IHK Kiel und im Netzwerk Hamburg@work.

Häufige Fragen

FAQ — BSI IT-Grundschutz

BSI IT-Grundschutz ist eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Methodik für Informationssicherheit. Sie basiert auf den BSI-Standards 200-1 bis 200-4 und dem IT-Grundschutz-Kompendium, das 113 Bausteine mit über 800 Einzelmaßnahmen enthält. Die Methodik bietet drei Absicherungsstufen: Basis-Absicherung für den schnellen Einstieg, Standard-Absicherung als vollständiges ISMS und Kern-Absicherung für besonders schützenswerte Geschäftsprozesse.
Bundesbehörden sind durch den UP Bund (Umsetzungsplan Bund) zur Anwendung des IT-Grundschutzes verpflichtet. Für KRITIS-Betreiber ist die Methodik ein anerkannter Nachweis nach §8a BSIG. Landesbehörden folgen häufig eigenen Landesverordnungen, die sich am IT-Grundschutz orientieren. Im privatwirtschaftlichen Mittelstand entscheiden sich Unternehmen für IT-Grundschutz, wenn sie eine besonders detaillierte und maßnahmenorientierte Methodik bevorzugen oder als Dienstleister für den öffentlichen Sektor tätig sind.
In unseren Projekten im Mittelstand rechnen wir mit 12 bis 24 Monaten für die Standard-Absicherung, abhängig von der Größe des Informationsverbunds und dem vorhandenen Reifegrad. Die Basis-Absicherung lässt sich in 3 bis 6 Monaten umsetzen und dient als schneller Einstieg. Organisationen mit bestehendem ISO-27001-ISMS können den IT-Grundschutz-Aufbau beschleunigen, weil die Management-Strukturen bereits vorhanden sind.
Die Kosten richten sich nach dem Umfang des Informationsverbunds, der gewählten Absicherungsstufe und dem bestehenden Reifegrad. IT-Grundschutz ist aufgrund der Methodiktiefe (113 Bausteine, 800+ Maßnahmen) in der Regel aufwändiger als eine reine ISO-27001-Implementierung. Eine Strukturanalyse liefert innerhalb von drei bis vier Wochen eine belastbare Aufwandsschätzung. SECURAM arbeitet auf Tagessatzbasis.
SECURAM verfügt über Modellierungskompetenz auf Bausteinebene und kennt die Methodik des BSI-Standards 200-2 im Detail: Strukturanalyse, Schutzbedarfsfeststellung, Modellierung und IT-Grundschutz-Check. Hinzu kommt die Erfahrung mit KRITIS-Nachweisen nach §8a BSIG. Da SECURAM auch ISO 27001 und NIS-2 abdeckt, können Unternehmen den IT-Grundschutz mit internationalen Standards kombinieren, ohne den Berater wechseln zu müssen.
ISO 27001 definiert 93 abstrakte Controls und überlässt die konkrete Umsetzung dem Unternehmen. BSI IT-Grundschutz geht den umgekehrten Weg: 113 Bausteine mit über 800 konkreten Maßnahmen liefern eine detaillierte Anleitung. Beide Standards sind kombinierbar. Die Zertifizierung „ISO 27001 auf Basis von IT-Grundschutz" vereint die internationale Anerkennung der ISO mit der Methodiktiefe des BSI. In der Praxis wählen Organisationen mit Bezug zum öffentlichen Sektor häufig IT-Grundschutz, international agierende Unternehmen bevorzugen ISO 27001.
Die „ISO 27001 auf Basis von IT-Grundschutz" ist ein kombinierter Zertifizierungsweg, der die internationale ISO-27001-Anerkennung mit der BSI-Methodik verbindet. Der Auditor prüft sowohl die Einhaltung der ISO-27001-Anforderungen als auch die korrekte Anwendung der IT-Grundschutz-Methodik inklusive Modellierung und Baustein-Zuordnung. Das Zertifikat wird vom BSI vergeben und ist international anerkannt.
KRITIS-Betreiber müssen nach §8a BSIG den Stand der Technik nachweisen. Das BSI akzeptiert IT-Grundschutz als anerkannte Methodik für diesen Nachweis. Eine formale Pflicht zur IT-Grundschutz-Zertifizierung besteht nicht, aber die Methodik ist der vom BSI bevorzugte Weg. Alternativ kann auch eine ISO-27001-Zertifizierung als Nachweis dienen, wobei IT-Grundschutz durch seine Maßnahmentiefe den Nachweis erleichtert.
Die Basis-Absicherung ist der schnelle Einstieg und deckt grundlegende Schutzmaßnahmen ab. Sie eignet sich als erste Stufe oder für unkritische Geschäftsprozesse. Die Standard-Absicherung entspricht einem vollständigen ISMS nach BSI-Standard 200-2 und ist der Regelfall für eine Zertifizierung. Die Kern-Absicherung konzentriert sich auf die besonders schützenswerten Geschäftsprozesse und Kronjuwelen der Organisation und wird häufig parallel zur Basis-Absicherung für den Rest des Informationsverbunds eingesetzt.
BSI-Standard 200-2 beschreibt die IT-Grundschutz-Methodik im Detail. Er definiert den Ablauf von der Strukturanalyse über die Schutzbedarfsfeststellung und Modellierung bis zum IT-Grundschutz-Check. Die Strukturanalyse erfasst den Informationsverbund mit allen Geschäftsprozessen, Anwendungen, IT-Systemen und Räumen. Die Modellierung ordnet die passenden IT-Grundschutz-Bausteine zu. Der IT-Grundschutz-Check vergleicht den Soll-Zustand aus den Bausteinen mit dem tatsächlichen Ist-Zustand.

IT-Grundschutz-Projekt starten

Klären Sie in einem Erstgespräch Scope, Absicherungsstufe und Zeitrahmen für Ihre IT-Grundschutz-Implementierung.

Erstgespräch vereinbaren →

Nächster Schritt

Ihr Einstieg in den BSI IT-Grundschutz

GAP-Analyse

IT-Grundschutz GAP-Analyse

Strukturanalyse und Soll-Ist-Vergleich gegen das IT-Grundschutz-Kompendium. Sie erhalten eine priorisierte Maßnahmenliste mit Aufwandsschätzung.

GAP-Analyse anfragen →
Internes Audit

Internes Audit nach BSI 200-2

Generalprobe vor der Zertifizierung. SECURAM prüft als unabhängige Instanz die korrekte Modellierung und Maßnahmenumsetzung.

Audit anfragen →
Implementierung

IT-Grundschutz implementieren

Von der Strukturanalyse über die Modellierung bis zur Zertifizierung. SECURAM begleitet den gesamten Weg nach BSI-Standard 200-2.

Implementierung anfragen →

Kontakt

Wir freuen uns auf Ihre Nachricht.

Ich habe die Datenschutzhinweise gelesen und bin einverstanden, dass meine Angaben zur Beantwortung meiner Anfrage verarbeitet und per E-Mail an SECURAM Consulting übermittelt werden. *

Ihre Ansprechpartnerin

Nadine Eibel – SECURAM Consulting

Nadine Eibel

Gründerin & Geschäftsführerin
SECURAM Consulting GmbH

Über 20 Jahre Erfahrung in IT-Security und Informationssicherheit. Zertifiziert als CISM, Lead Auditorin ISO 27001 und ITIL Expert.

Kontaktdaten

Colonnaden 5
20354 Hamburg
040 298 4553-0
contact@securam-consulting.com

Direkter Kontakt

Lieber direkt sprechen?
Buchen Sie ein kostenloses Erstgespräch.

Termin buchen