BSI Grundschutz

Was bedeutet BSI Grundschutz?

Der IT-Grundschutz besteht aus drei Komponenten: dem BSI-Standard 200-1 (allgemeines Vorgehen für ein ISMS), dem BSI-Standard 200-2 (drei Methodikvorlagen: Basis-, Standard- und Kern-Absicherung) und dem IT-Grundschutz-Kompendium mit aktuell rund 100 Bausteinen (Server, Netzwerk, Anwendungen, Prozesse) inkl. Standardanforderungen je Schutzbedarf.

Im Vergleich zu ISO 27001 ist der Grundschutz konkreter: ISO 27001 sagt „Sie müssen Backups haben”, der Grundschutz-Baustein CON.3 (Datensicherungskonzept) listet 27 Anforderungen aus, von der Risikoanalyse bis zur regelmäßigen Restore-Prüfung. Eine ISO-27001-Zertifizierung kann auf Basis von IT-Grundschutz erteilt werden — das ist in Deutschland für Behörden und KRITIS-Betreiber der typische Pfad.

Modern Next nutzt den Grundschutz als Maßstab für Härtungsprojekte: GAP-Analyse gegen die einschlägigen Bausteine, Maßnahmen­plan, dokumentierte Umsetzung. Für KMU ohne formale Zertifizierungsanforderung reicht meist die Basis- oder Standard-Absicherung; für KRITIS und Behörden gehen wir in die Kern-Absicherung.

Verwandte Begriffe

• NIS2 — EU-Richtlinie 2022/2555 zur Cybersicherheit — verpflichtet „wesentliche” und „wichtige” Einrichtungen in 18 Sektoren zu Risikomanagement, Meldepflichten und persönlicher Geschäftsleitungs-Haftung.
• KRITIS — Kritische Infrastrukturen im Sinne des deutschen BSI-Gesetzes — Einrichtungen, deren Ausfall „erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit” auslösen würde.
• SIEM — Security Information and Event Management — zentrale Sammelstelle für Log- und Event-Daten aus dem gesamten IT-Betrieb, mit Korrelationsregeln und Alerting.