Muss mein Unternehmen den BSI-Grundschutz umsetzen?

Nur wenn eine spezifische Verpflichtung besteht, zum Beispiel als Bundesbehörde oder als Betreiber kritischer Infrastruktur. Für die meisten KMU ist der Grundschutz freiwillig, aber sinnvoll: Er liefert eine strukturierte Methode, die gleichzeitig DSGVO-TOMs und NIS2-Anforderungen adressiert.

Was kostet ein BSI-Grundschutz-Zertifikat?

Ein offizielles BSI-Grundschutz-Zertifikat kostet je nach Organisationsgröße und Prüfaufwand zwischen 15.000 und 60.000 Euro oder mehr. Für die meisten KMU lohnt sich das nicht. Was lohnt, ist die Umsetzung der Grundschutz-Maßnahmen ohne Zertifizierung.

Wie unterscheidet sich Basis- von Standard-Absicherung?

Basis-Absicherung ist der pragmatische Einstieg: Die wichtigsten Maßnahmen ohne umfangreiche Risikoanalyse. Standard-Absicherung folgt dem vollständigen Grundschutz-Prozess mit Modellierung des Informationsverbunds, Risikoanalyse und vollständiger Baustein-Umsetzung. Basis ist für die meisten KMU der richtige erste Schritt.

Wie hängen BSI-Grundschutz und NIS2 zusammen?

NIS2 definiert Ziele, der BSI-Grundschutz liefert die Methodik zur Umsetzung. Wer die NIS2-Pflichtmaßnahmen mit BSI-Grundschutz-Methodik umsetzt, hat einen strukturierten Nachweis, den Behörden als belastbar anerkennen.

Wo finde ich das BSI IT-Grundschutz-Kompendium?

Das Kompendium ist kostenlos unter bsi.bund.de verfügbar. Es wird jährlich aktualisiert. Die aktuelle Edition enthält über 100 Bausteine, strukturiert nach Schichten von Organisation über Infrastruktur bis zu Anwendungen.

BSI IT-Grundschutz für Unternehmer: Das Whitepaper

Aktualisiert am 24.10.2025Lesezeit 7 Min.

Die kurze Antwort

Der BSI IT-Grundschutz ist ein methodischer Rahmen des Bundesamts für Sicherheit in der Informationstechnik, der beschreibt, wie Organisationen ihre IT systematisch und nachvollziehbar schützen. Er ist kein Gesetz, aber er ist die Grundlage vieler gesetzlicher Anforderungen, darunter Teile der DSGVO-TOMs und das NIS2-Umsetzungsgesetz. Für KMU ist die Basis-Absicherung der richtige Einstieg: Sie nimmt die dringendsten Maßnahmen aus dem Kompendium, ohne vorher eine aufwändige Risikoanalyse zu erfordern. Das BSI-Kompendium ist in Bausteine gegliedert, die konkrete Anforderungen für Clients, Server, Netzwerke, Organisation und Personal beschreiben. Ein BSI-Grundschutz-Zertifikat ist für die meisten KMU weder vorgeschrieben noch sinnvoll. Was zählt, ist die dokumentierte Umsetzung der relevanten Maßnahmen.

Wenn Unternehmen anfangen, sich mit IT-Sicherheit ernsthaft zu beschäftigen, landen sie früher oder später beim BSI IT-Grundschutz. Entweder weil ein Kunde ihn als Anforderung nennt, weil ein Versicherungsformular danach fragt, oder weil ein Berater ihn empfiehlt. Aber was steckt dahinter, und was bedeutet das konkret für ein mittelständisches Unternehmen? Dieses Whitepaper erklärt den Grundschutz von der Grundidee bis zum praktischen Fahrplan, ohne Behördendeutsch.

Was der BSI IT-Grundschutz ist

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den IT-Grundschutz als systematische Methode entwickelt, mit der Organisationen ihre IT-Sicherheit strukturiert aufbauen und nachweisen können. Das zentrale Dokument ist das BSI IT-Grundschutz-Kompendium, das regelmäßig aktualisiert wird und über 100 Bausteine für verschiedene Themengebiete enthält.

Der Grundschutz ist kein Gesetz. Es gibt keine Behörde, die ein Unternehmen zwingt, das Kompendium anzuwenden, außer für bestimmte Bundesbehörden und KRITIS-Betreiber. Was den Grundschutz für KMU trotzdem relevant macht: Viele verbindliche Anforderungen aus DSGVO, NIS2 und anderen Regelwerken definieren Ziele, aber keine Methodik. Der BSI-Grundschutz liefert die Methodik. Wer ihn anwendet, erfüllt damit gleichzeitig wesentliche Teile dieser gesetzlichen Anforderungen.

Ein weiterer praktischer Vorteil: Kunden, Versicherungen und Zertifizierungsstellen erkennen den BSI-Grundschutz als belastbaren Nachweis an. Wer zeigen kann, dass er nach BSI-Grundschutz arbeitet, hat ein stärkeres Argument als jemand, der sagt, er habe "alles geregelt".

Quelle: BSI IT-Grundschutz-KompendiumBSI IT-Grundschutz-Kompendium, Bundesamt für Sicherheit in der Informationstechnik, aktuelle Edition unter bsi.bund.de.

Die drei Absicherungsstufen

Das BSI bietet drei Wege an, den Grundschutz umzusetzen. Die Wahl hängt von der Komplexität der IT, dem Risikoprofil und den verfügbaren Ressourcen ab.

Basis-Absicherung

Die Basis-Absicherung ist der Einstieg. Sie nimmt aus jedem Baustein des Grundschutz-Kompendiums die dringendsten Anforderungen heraus, die sogenannten Basis-Anforderungen, und empfiehlt, mit diesen zu beginnen. Das Ziel ist nicht vollständige Absicherung, sondern das schnelle Schließen der gefährlichsten Lücken.

Der Vorteil: Keine umfangreiche Risikoanalyse vorab, kein vollständiges Modellieren des Informationsverbunds erforderlich. Die Basis-Absicherung ist für KMU geeignet, die strukturiert anfangen wollen, ohne monatelange Vorarbeit.

Die Basis-Anforderungen im Grundschutz sind als Muss-Anforderungen gekennzeichnet (MUSS). Wer sie alle umsetzt, hat eine solide Grundlage, die viele DSGVO-TOMs und NIS2-Basismaßnahmen erfüllt.

Standard-Absicherung

Die Standard-Absicherung folgt dem vollständigen BSI-Grundschutz-Prozess. Zuerst wird der Informationsverbund modelliert: Welche IT-Systeme, Anwendungen, Räume und Netzwerke gehören dazu? Dann werden die relevanten Bausteine angewendet und ihre Anforderungen systematisch abgearbeitet. Schließlich folgt eine Risikoanalyse für Bereiche, die über die Standard-Anforderungen hinausgehen.

Standard-Absicherung ist für mittlere Unternehmen geeignet, die komplexere Infrastrukturen betreiben oder NIS2-pflichtig sind und einen strukturierten Nachweis brauchen. Sie ist zertifizierungsfähig, was für Unternehmen relevant ist, die das gegenüber Großkunden oder Behörden nachweisen müssen.

Kern-Absicherung

Die Kern-Absicherung konzentriert sich auf die kritischsten Assets. Statt die gesamte IT abzusichern, wird identifiziert, welche Systeme oder Daten bei einem Kompromiss den größten Schaden verursachen würden. Diese werden mit maximalen Maßnahmen geschützt, der Rest folgt.

Die Kern-Absicherung ist für Unternehmen geeignet, die besonders sensible Daten verarbeiten, zum Beispiel im Bereich Forschung, Fertigung mit Produktionsgeheimnissen oder Finanzdienstleistungen.

Basis-Absicherung	Standard-Absicherung
Pro Schneller Einstieg ohne Vorarbeit Schließt die gefährlichsten Lücken zuerst Geringer initialer Aufwand Ausreichend für viele KMU als Ausgangspunkt	Pro Vollständige Methodik mit Risikoanalyse Zertifizierungsfähig Belastbarer Nachweis für Behörden und Kunden Solide Grundlage für NIS2 und DSGVO
Contra Nicht zertifizierungsfähig Keine vollständige Risikoanalyse Für NIS2-pflichtige Unternehmen nicht allein ausreichend	Contra Höherer initialer Aufwand Erfordert IT-Know-how bei der Modellierung Regelmäßige Überprüfungen nötig

Der Aufbau des Kompendiums: Schichten und Bausteine

Das BSI-Grundschutz-Kompendium ist in Schichten gegliedert. Jede Schicht umfasst Bausteine zu einem Themengebiet. Jeder Baustein beschreibt Anforderungen auf drei Ebenen: Basis, Standard, erhöhter Schutzbedarf.

Schicht ISMS (Informationssicherheitsmanagement): Die übergeordnete Organisationsebene. Baustein ISMS.1 beschreibt, wie ein Sicherheitsmanagement aufgebaut wird, wer verantwortlich ist und wie es fortlaufend betrieben wird.

Schicht ORP (Organisation und Personal): Verantwortlichkeiten, Berechtigungsmanagement, Sicherheit beim Personalwechsel. ORP.4 (Identitäts- und Berechtigungsmanagement) ist für fast alle Unternehmen der kritischste Baustein, weil fehlende Berechtigungskontrollen die Wurzel vieler Sicherheitsvorfälle sind.

Schicht CON (Konzepte und Vorgehensweisen): Kryptografiekonzept, Datensicherungskonzept, Softwareentwicklung. CON.3 (Datensicherungskonzept) ist der Baustein, der das Backup-Konzept abbildet.

Schicht OPS (Betrieb): IT-Administration, Schutz vor Schadprogrammen, Protokollierung. OPS.1.1.4 (Schutz vor Schadprogrammen) beschreibt Endpoint-Protection, die heute als Mindeststandard gilt.

Schicht DER (Detektion und Reaktion): Monitoring, Behandlung von Sicherheitsvorfällen, Notfallmanagement. DER.2.1 (Behandlung von Sicherheitsvorfällen) ist die Grundlage für den Incident-Response-Plan, den NIS2 fordert.

Schicht APP (Anwendungen): Webanwendungen, E-Mail, Office-Produkte, ERP-Systeme.

Schicht SYS (IT-Systeme): Clients, Server, Mobilgeräte, Netzkomponenten. SYS.2 (Allgemeiner Client) deckt die typischen Windows-Arbeitsplätze ab.

Schicht IND (Industrielle IT): Relevant für Unternehmen mit Produktions-IT und OT-Umgebungen.

Schicht NET (Netze und Kommunikation): Netzarchitektur, Router, Firewalls, WLAN. NET.1 (Netzarchitektur) ist relevant für jedes Unternehmen mit eigenem Netzwerk.

Schicht INF (Infrastruktur): Gebäude, Serverräume, Rechenzentren, Homeoffice.

Welche Bausteine für KMU besonders relevant sind

Nicht alle hundert Bausteine sind für ein mittelständisches Unternehmen relevant. Die folgende Auswahl deckt die typische KMU-IT ab und adressiert die häufigsten Risiken.

ORP.4 (Identitäts- und Berechtigungsmanagement): Wer hat Zugang zu welchen Systemen? Wer wird nach dem Ausscheiden aus dem Unternehmen sofort aus allen Systemen entfernt? Vergessene Accounts ehemaliger Mitarbeitender sind einer der häufigsten Einstiegspunkte für Angriffe.

CON.3 (Datensicherungskonzept): Wann wird gesichert, wohin, wie oft, wie lange aufbewahrt? Wie wird die Wiederherstellung getestet? Wer ist verantwortlich?

SYS.2 (Allgemeiner Client): Betriebssystem-Updates, Endpoint-Protection, Bildschirmsperre, sichere Grundkonfiguration. Gilt für jeden Windows-Arbeitsplatz im Unternehmen.

DER.2.1 (Behandlung von Sicherheitsvorfällen): Schriftlicher Plan, wer bei einem Sicherheitsvorfall was tut, in welcher Reihenfolge, mit welchen Kommunikationswegen. Die Grundlage für den NIS2-Incident-Response-Plan.

NET.1 (Netzarchitektur und -design): Trennung von Produktivnetz und Gäste-WLAN, Segmentierung kritischer Systeme, Firewall-Konfiguration.

OPS.1.1.4 (Schutz vor Schadprogrammen): Endpoint-Protection auf allen Clients und Servern, automatische Signaturaktualisierung, Reaktion auf Alarme.

INF.2 (Rechenzentrum und Serverraum): Gilt auch für den Technikschrank im Flur oder die Serverecke im Keller. Zugangskontrolle, Klimatisierung, Brandschutz.

Der IT-Grundschutz-Check

Der IT-Grundschutz-Check ist das Standard-Prüfverfahren, mit dem bewertet wird, ob die Anforderungen der relevanten Bausteine erfüllt sind. Es ist kein Zertifizierungsverfahren, sondern ein Soll-Ist-Vergleich.

Das Ergebnis ist ein Prüfprotokoll, das für jeden Baustein und jede Anforderung festhält: vollständig erfüllt, teilweise erfüllt oder nicht erfüllt. Teilweise oder nicht erfüllte Anforderungen erhalten eine Risikoeinschätzung und eine Priorität für die Umsetzung.

Dieser Check eignet sich gut als regelmäßige interne Prüfung, als Grundlage für Gespräche mit IT-Dienstleistern und als Nachweis für Versicherungen oder Compliance-Anforderungen.

Bezug zu NIS2: Methode und Ziel

NIS2 definiert zehn Pflichtmaßnahmen für betroffene Unternehmen. Es beschreibt, was umgesetzt werden muss, aber nicht wie. Der BSI-Grundschutz liefert die Methodik.

Die Überschneidungen sind erheblich. Die NIS2-Anforderung "Risikoanalyse und IT-Sicherheitskonzept" entspricht dem ISMS.1-Baustein plus den schichtspezifischen Anforderungen. "Incident Response und Meldeverfahren" entspricht DER.2.1. "Lieferkettensicherheit" entspricht ORP.4 und vertraglichen Anforderungen aus mehreren Bausteinen. "Zugriffsmanagement und Authentifizierung" entspricht ORP.4.

Wer NIS2 mit BSI-Grundschutz-Methodik umsetzt, hat strukturierte Dokumentation, die Aufsichtsbehörden als Nachweis akzeptieren, weil das BSI selbst die Verbindung zwischen beiden Regelwerken herstellt.

Praktischer Fahrplan für KMU

Der Fahrplan für ein mittelständisches Unternehmen, das strukturiert beginnen will:

Schritt 1: Informationsverbund grob skizzieren. Welche IT-Systeme, Anwendungen und Räume gibt es? Eine einfache Tabelle genügt zu Beginn. Ziel ist ein Überblick, keine vollständige Dokumentation.

Schritt 2: Relevante Bausteine identifizieren. Welche der Grundschutz-Bausteine passen zur eigenen IT? Für die meisten KMU sind das ORP.2, ORP.4, CON.3, SYS.2, NET.1, DER.2.1 und OPS.1.1.4.

Schritt 3: Basis-Anforderungen prüfen. Für jeden identifizierten Baustein: Welche Basis-Anforderungen (MUSS) sind erfüllt, welche nicht? Das Ergebnis ist die Lückenanalyse.

Schritt 4: Lücken priorisieren und schließen. Nicht alle Lücken gleichzeitig. Anfangen mit den Maßnahmen, die den größten Schutzeffekt haben und im Verhältnis zum Aufwand stehen. Typischer Reihenfolge: Zugriffsmanagement, Backup, Endpoint-Protection, Netzwerktrennung, Incident-Response-Plan.

Schritt 5: Dokumentation aufbauen. Jede umgesetzte Maßnahme wird dokumentiert: Was wurde gemacht, von wem, wann. Das ist der Nachweis für DSGVO, NIS2 und Versicherung.

Schritt 6: Regelmäßige Überprüfung. Einmal im Jahr einen IT-Grundschutz-Check durchführen. Neue Systeme und Prozesse in die Dokumentation aufnehmen. Backup-Tests dokumentieren.

ITCC begleitet mittelständische Unternehmen bei der strukturierten Umsetzung des BSI IT-Grundschutzes, von der ersten Bestandsaufnahme bis zur regelmäßigen Überprüfung. Wenn Sie wissen möchten, wo Ihr Unternehmen heute steht und was die nächsten sinnvollen Schritte sind, sprechen Sie uns an.