Inhaltsverzeichnis
Das BSI IT-Grundschutz Kompendium ist das zentrale Nachschlagewerk für Informationssicherheit in Deutschland. Sein Herzstück bilden die sogenannten BSI Bausteine – modulare Sicherheitsbausteine, die konkrete Anforderungen und Maßnahmen für einzelne Themenbereiche bündeln. Ob Netzwerksicherheit, Patch-Management oder Benutzerauthentifizierung: Für nahezu jedes sicherheitsrelevante Thema existiert ein eigener Baustein mit klar definierten Schutzmaßnahmen.
Für Unternehmen im DACH-Raum sind die BSI Grundschutz Bausteine besonders relevant, weil sie nicht nur als eigenständiges Sicherheitsframework dienen, sondern auch als fundierte Grundlage für eine ISO 27001 Zertifizierung genutzt werden können. Dieser Artikel gibt Ihnen einen strukturierten Überblick über den Aufbau des Baustein-Systems, die wichtigsten Bausteine für Unternehmen, die empfohlene Umsetzungsreihenfolge und das Mapping zur ISO 27001.
Das Wichtigste in Kürze:
- Das BSI IT-Grundschutz Kompendium organisiert Sicherheitsmaßnahmen in modularen Bausteinen, die in 10 thematische Schichten gegliedert sind.
- Die 10 Schichten decken Bereiche von Sicherheitsmanagement (ISMS) über Betrieb (OPS) bis hin zu Infrastruktur (INF) ab.
- Unternehmen sollten mit der Basis-Absicherung beginnen und schrittweise zur Standard-Absicherung übergehen.
- BSI Grundschutz Bausteine lassen sich direkt auf ISO 27001 Controls mappen – eine Zertifizierung nach „ISO 27001 auf der Basis von IT-Grundschutz” ist möglich.
- Jeder Baustein enthält konkrete Anforderungen (Basis, Standard, erhöhter Schutzbedarf) sowie Umsetzungshinweise und Kreuzreferenztabellen.
Was sind BSI Bausteine?
BSI Bausteine sind die zentralen Strukturelemente des IT-Grundschutz Kompendiums, das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben und regelmäßig aktualisiert wird. Jeder Baustein behandelt ein abgegrenztes Themengebiet der Informationssicherheit und beschreibt die dafür relevanten Gefährdungen sowie konkrete Sicherheitsanforderungen.
Im Gegensatz zu rein abstrakten Normtexten bieten die BSI Grundschutz Bausteine einen praxisnahen, maßnahmenorientierten Ansatz. Sie enthalten:
- Beschreibung des Themas: Was wird durch den Baustein abgedeckt und welche Komponenten sind betroffen?
- Gefährdungslage: Welche typischen Bedrohungen und Schwachstellen existieren für diesen Bereich?
- Anforderungen: Konkrete Maßnahmen, unterteilt in Basis-Anforderungen, Standard-Anforderungen und Anforderungen bei erhöhtem Schutzbedarf.
- Kreuzreferenztabellen: Zuordnung zu den entsprechenden ISO 27001 Controls.
Dieses modulare Prinzip ermöglicht es Unternehmen, gezielt diejenigen Bausteine auszuwählen und umzusetzen, die für ihre spezifische IT-Landschaft und ihr Risikoprofil relevant sind.
Aufbau des Baustein-Systems: Die 10 Schichten im Überblick
Das BSI IT-Grundschutz Kompendium organisiert seine Bausteine in 10 thematische Schichten (Layers). Jede Schicht adressiert einen übergeordneten Bereich der Informationssicherheit und enthält mehrere Einzelbausteine. Diese Struktur gewährleistet eine systematische und vollständige Abdeckung aller sicherheitsrelevanten Aspekte.
ISMS – Sicherheitsmanagement
Die Schicht ISMS bildet das Fundament. Sie beschreibt die übergeordneten Anforderungen an den Aufbau und Betrieb eines Informationssicherheitsmanagementsystems. Der zentrale Baustein ISMS.1 definiert, wie Sicherheitsziele festgelegt, Rollen zugewiesen und der kontinuierliche Verbesserungsprozess gestaltet werden.
ORP – Organisation und Personal
Diese Schicht behandelt organisatorische und personelle Sicherheitsmaßnahmen. Dazu gehören die allgemeine Organisation der Informationssicherheit (ORP.1), Personalmanagement, Sensibilisierung und Schulung sowie das Identitäts- und Berechtigungsmanagement (ORP.4).
CON – Konzepte und Vorgehensweisen
Die CON-Schicht umfasst übergreifende Sicherheitskonzepte, die nicht an einzelne Systeme gebunden sind. Hierzu zählen das Kryptokonzept (CON.1), Datenschutz, Datensicherungskonzepte, Löschung und Vernichtung sowie Software-Entwicklung.
OPS – Betrieb
Betriebliche Aspekte der IT-Sicherheit werden in der OPS-Schicht adressiert. Besonders wichtig sind die Bausteine zu Patch- und Änderungsmanagement (OPS.1.1.3), ordnungsgemäßer IT-Administration, Protokollierung und zum Schutz vor Schadprogrammen.
DER – Detektion und Reaktion
Die DER-Schicht beschreibt, wie sicherheitsrelevante Ereignisse erkannt und darauf reagiert wird. Der Baustein DER.1 zur Detektion von sicherheitsrelevanten Ereignissen ist ebenso zentral wie die Bausteine zu Incident Management und forensischer Analyse.
APP – Anwendungen
Sicherheitsanforderungen an Software-Anwendungen werden hier gebündelt. Die Schicht deckt ein breites Spektrum ab: von Office-Produkten (APP.1.1) über Webbrowser und E-Mail-Clients bis hin zu Verzeichnisdiensten, Datenbanken und Webanwendungen.
SYS – IT-Systeme
Die SYS-Schicht adressiert die Absicherung von Servern, Clients und mobilen Geräten. Der Baustein SYS.1.1 (Allgemeiner Server) bildet die Grundlage, ergänzt durch spezifische Bausteine für Windows-Server, Linux-Server, Laptops, Smartphones und Virtualisierung.
IND – Industrielle IT
Für Unternehmen mit industriellen Steuerungssystemen (ICS/SCADA) bietet die IND-Schicht spezialisierte Bausteine. Sie behandeln die besonderen Sicherheitsanforderungen von Prozessleit- und Automatisierungstechnik, Sensoren, Aktoren und Maschinen.
NET – Netze und Kommunikation
Die Netzwerksicherheit wird in der NET-Schicht behandelt. Der Baustein NET.1.1 (Netzarchitektur und -design) legt die Grundlagen für eine sichere Netzwerkstruktur. Weitere Bausteine behandeln Firewalls, VPN, WLAN und Netzwerkmanagement.
INF – Infrastruktur
Die INF-Schicht adressiert die physische Sicherheit: Serverräume, Rechenzentren, Bürogebäude, mobile Arbeitsplätze und häusliche Arbeitsplätze. Physische Sicherheit ist ein oft unterschätzter, aber wesentlicher Aspekt der Informationssicherheit.
Die wichtigsten BSI Bausteine für Unternehmen
Nicht jeder Baustein ist für jedes Unternehmen gleichermaßen relevant. Die Auswahl richtet sich nach der individuellen IT-Landschaft und dem Schutzbedarf. Dennoch gibt es eine Reihe von BSI Bausteinen, die für praktisch jedes Unternehmen von zentraler Bedeutung sind:
ISMS.1 – Sicherheitsmanagement
Dieser Baustein ist die Pflichtgrundlage für jede BSI-Grundschutz-Umsetzung. Er definiert, wie die Informationssicherheit strategisch gesteuert, dokumentiert und kontinuierlich verbessert wird. Ohne ein funktionierendes Sicherheitsmanagement bleiben alle weiteren Maßnahmen Stückwerk.
ORP.1 – Organisation
Der Baustein fordert klare Zuständigkeiten, dokumentierte Prozesse und eine in die Unternehmensorganisation eingebettete Sicherheitsstruktur. Er stellt sicher, dass Informationssicherheit nicht als reines IT-Thema behandelt wird, sondern organisationsweit verankert ist.
ORP.4 – Identitäts- und Berechtigungsmanagement
Die Verwaltung von Benutzerkennungen und Zugriffsrechten gehört zu den wirksamsten Sicherheitsmaßnahmen. Dieser Baustein fordert unter anderem das Least-Privilege-Prinzip, regelmäßige Berechtigungsreviews und ein strukturiertes Verfahren für das Anlegen, Ändern und Löschen von Benutzerkonten.
CON.1 – Kryptokonzept
Verschlüsselung ist eine Schlüsseltechnologie der Informationssicherheit. Der Baustein CON.1 fordert ein dokumentiertes Kryptokonzept, das festlegt, welche kryptografischen Verfahren und Schlüssellängen eingesetzt werden, wie der Schlüssellebenszyklus verwaltet wird und welche Daten verschlüsselt werden müssen.
OPS.1.1.3 – Patch- und Änderungsmanagement
Ungepatchte Systeme gehören zu den häufigsten Einfallstoren für Angreifer. Dieser Baustein beschreibt, wie Patches systematisch identifiziert, getestet und eingespielt werden – und wie Änderungen an der IT-Infrastruktur kontrolliert durchgeführt werden, ohne die Stabilität zu gefährden.
DER.1 – Detektion von sicherheitsrelevanten Ereignissen
Angriffe, die nicht erkannt werden, können nicht abgewehrt werden. Der Baustein DER.1 fordert die Einrichtung von Mechanismen zur Erkennung sicherheitsrelevanter Ereignisse – von der Protokollauswertung über Intrusion-Detection-Systeme bis hin zu definierten Eskalationsprozessen.
Weitere essenzielle Bausteine
- APP.1.1 (Office-Produkte): Sicherheitsanforderungen an die in fast jedem Unternehmen eingesetzten Office-Anwendungen, einschließlich Makro-Sicherheit und Dokumentenschutz.
- SYS.1.1 (Allgemeiner Server): Grundlegende Härtungsmaßnahmen für Server, unabhängig vom Betriebssystem – von der sicheren Installation bis zur Protokollierung.
- NET.1.1 (Netzarchitektur und -design): Anforderungen an eine segmentierte, dokumentierte und resiliente Netzwerkarchitektur.
Umsetzungsreihenfolge: Von der Basis- zur Standard-Absicherung
Das BSI definiert für die Umsetzung der Bausteine eine klare Vorgehensweise mit drei Absicherungsstufen. Diese erlauben es Unternehmen, schrittweise ein angemessenes Sicherheitsniveau aufzubauen, ohne sofort alle Anforderungen vollständig umsetzen zu müssen.
Stufe 1: Basis-Absicherung
Die Basis-Absicherung bildet den Einstieg und deckt die dringendsten Sicherheitsanforderungen ab. Jeder Baustein enthält gekennzeichnete Basis-Anforderungen, die ein Mindestmaß an Sicherheit gewährleisten. Unternehmen, die erstmalig mit BSI Grundschutz arbeiten, sollten hier beginnen.
Typische Basis-Anforderungen umfassen:
- Definition grundlegender Sicherheitsrichtlinien
- Regelung von Verantwortlichkeiten
- Grundlegende technische Schutzmaßnahmen (z. B. Virenschutz, Firewall)
- Sicherung von Zugangsdaten
- Regelmäßige Datensicherung
Stufe 2: Standard-Absicherung
Die Standard-Absicherung baut auf der Basis auf und realisiert ein vollständiges Sicherheitsniveau gemäß dem Stand der Technik. Sie umfasst alle Basis- und Standard-Anforderungen der relevanten Bausteine. Dieses Niveau ist für die meisten Unternehmen das anzustrebende Ziel und bildet die Grundlage für eine Zertifizierung.
Zusätzliche Standard-Anforderungen beinhalten unter anderem:
- Detaillierte Sicherheitskonzepte und Dokumentation
- Regelmäßige Sicherheitsaudits und Überprüfungen
- Umfassendes Incident Management
- Strukturierte Schulungsprogramme
- Kontinuierliche Verbesserungsprozesse
Stufe 3: Erhöhter Schutzbedarf
Für besonders schützenswerte Bereiche – etwa bei der Verarbeitung streng vertraulicher Daten oder im KRITIS-Umfeld – bieten die Bausteine zusätzliche Anforderungen für erhöhten Schutzbedarf. Diese gehen über den Standard hinaus und adressieren spezifische Bedrohungsszenarien mit verstärkten Schutzmaßnahmen.
Empfohlene Vorgehensweise
| Phase | Absicherungsstufe | Fokus | Empfohlener Zeitrahmen |
|---|---|---|---|
| 1 | Basis-Absicherung | Alle relevanten Bausteine: Basis-Anforderungen umsetzen | 3 – 6 Monate |
| 2 | Standard-Absicherung | Standard-Anforderungen ergänzen; Dokumentation vervollständigen | 6 – 12 Monate |
| 3 | Erhöhter Schutzbedarf | Zusätzliche Maßnahmen für kritische Assets und Prozesse | Nach Bedarf, laufend |
TrustSpace Profi-Tipp:Die parallele Umsetzung von BSI Grundschutz und ISO 27001 muss kein doppelter Aufwand sein. TrustSpaceOS bildet beide Frameworks in einer zentralen Plattform ab und zeigt Ihnen automatisch, welche BSI-Bausteine auf welche ISO 27001 Controls einzahlen. So vermeiden Sie redundante Dokumentation und erhalten ein lückenloses Mapping – ideal, wenn Sie eine Zertifizierung nach „ISO 27001 auf der Basis von IT-Grundschutz” anstreben. Unsere InfoSec-Experten unterstützen Sie zusätzlich bei der Priorisierung der Bausteine anhand Ihres individuellen Risikoprofils.
BSI Grundschutz und ISO 27001: Das Mapping im Detail
Zwischen dem BSI IT-Grundschutz und der ISO 27001 besteht eine enge inhaltliche Verwandtschaft. Beide Frameworks verfolgen das gleiche Ziel – den systematischen Schutz von Informationen – unterscheiden sich jedoch in ihrer Herangehensweise.
ISO 27001 auf der Basis von IT-Grundschutz
Das BSI bietet einen eigenen Zertifizierungspfad an: die ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz. Diese Variante kombiniert die Managementsystem-Anforderungen der ISO 27001 mit dem konkreten Maßnahmenkatalog des IT-Grundschutz Kompendiums. Der Vorteil: Unternehmen erhalten eine international anerkannte ISO 27001 Zertifizierung und profitieren gleichzeitig von der maßnahmenorientierten Detailtiefe des BSI-Ansatzes.
Wesentliche Gemeinsamkeiten
- Risikoorientierter Ansatz: Beide Frameworks fordern eine systematische Risikoanalyse als Grundlage für die Maßnahmenauswahl.
- PDCA-Zyklus: Sowohl ISO 27001 als auch BSI Grundschutz basieren auf dem Plan-Do-Check-Act-Prinzip zur kontinuierlichen Verbesserung.
- Management-Verantwortung: Beide betonen die Rolle der Geschäftsführung bei der Steuerung der Informationssicherheit.
- Dokumentationspflichten: Richtlinien, Verfahren, Nachweise und Aufzeichnungen sind in beiden Frameworks zentral.
Unterschiede im Ansatz
| Aspekt | ISO 27001 | BSI IT-Grundschutz |
|---|---|---|
| Maßnahmendetail | Abstrakte Controls (Annex A); Umsetzung liegt beim Unternehmen | Konkrete, detaillierte Anforderungen pro Baustein |
| Risikoanalyse | Methodenfreiheit; Unternehmen wählt eigenes Verfahren | Vorgegebene Methodik mit Schutzbedarf und Modellierung |
| Anwendungsbereich | International anerkannt; branchenunabhängig | Primär DACH-Raum; besonders für Behörden und KRITIS |
| Einstiegshürde | Flexibel, aber weniger konkrete Anleitung | Umfangreicher Katalog, dafür klare Handlungsanweisungen |
| Zertifizierung | Durch akkreditierte Zertifizierungsstellen | Durch das BSI oder vom BSI lizenzierte Auditoren |
Kreuzreferenzen nutzen
Das BSI stellt für jeden Baustein Kreuzreferenztabellen bereit, die eine direkte Zuordnung zu den Controls der ISO 27001 (Annex A) ermöglichen. So können Unternehmen, die bereits BSI Grundschutz Bausteine umgesetzt haben, den Aufwand für eine ISO 27001 Zertifizierung erheblich reduzieren – und umgekehrt. Typische Zuordnungen sind beispielsweise:
- ISMS.1 entspricht den Anforderungen aus ISO 27001, Kapitel 4–10 (Managementsystem-Anforderungen)
- ORP.4 (Identitäts- und Berechtigungsmanagement) mappt auf A.5.15 – A.5.18 (Zugangssteuerung)
- OPS.1.1.3 (Patch- und Änderungsmanagement) mappt auf A.8.8 (Technische Schwachstellen) und A.8.32 (Änderungsmanagement)
- NET.1.1 (Netzarchitektur) mappt auf A.8.20 – A.8.22 (Netzwerksicherheit)
Fazit: BSI Bausteine als Fundament Ihrer Informationssicherheit
Die BSI Bausteine bieten Unternehmen einen strukturierten, praxisnahen Weg zur Umsetzung von Informationssicherheit. Durch die modulare Struktur in 10 Schichten, die klare Abstufung in Basis-, Standard- und erhöhten Schutzbedarf und die Kreuzreferenzen zur ISO 27001 eignet sich das BSI IT-Grundschutz Kompendium sowohl als eigenständiges Framework als auch als Vorbereitung auf eine internationale Zertifizierung.
Entscheidend für den Erfolg ist eine systematische Vorgehensweise: Beginnen Sie mit den Pflichtbausteinen wie ISMS.1 und ORP.1, sichern Sie zunächst die Basis-Absicherung ab und erweitern Sie schrittweise auf die Standard-Absicherung. Die Verzahnung mit der ISO 27001 ermöglicht es Ihnen, zwei Frameworks effizient in einem integrierten Managementsystem zu vereinen.
Sie möchten BSI Grundschutz Bausteine effizient umsetzen und gleichzeitig eine ISO 27001 Zertifizierung vorbereiten? TrustSpace vereint beide Welten: Mit TrustSpaceOS steuern Sie Ihr ISMS zentral, nutzen automatische Mappings zwischen BSI Grundschutz und ISO 27001 und reduzieren Ihren Dokumentationsaufwand um bis zu 70 %. In Kombination mit unserer ISO 27001 Beratung begleiten wir Sie von der Gap-Analyse bis zur erfolgreichen Zertifizierung.
Autor
