Da die meisten Arbeitsprozesse und Daten heutzutage digitalisiert werden, ist die Sicherheit für viele Unternehmen auf der ganzen Welt zu einer der größten Herausforderungen geworden. Heutzutage gibt es viele internationale Standards, sowohl weitreichende als auch länderspezifische, die Unternehmen dabei unterstützen sollen, ihre sensiblen Informationen zu schützen.
Der IT-Grundschutz bietet Unternehmen die Möglichkeit, IT-Sicherheit strukturiert anzugehen.
Seit der Veröffentlichung des IT-Grundschutzes vom Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich die Sicherheitsregulierungslandschaft für viele Organisationen geändert. Da die Grundschutz-Vorschriften präzise und anspruchsvoll sind, finden Sie in diesem Artikel die Empfehlungen zu ihrer praktischen Implementierung im Unternehmen mit Hilfe einer GRC-Lösung.
BSI IT-Grundschutz in der Praxis
Der IT-Grundschutz bietet einen modularen Sicherheitsansatz. Modular in der Art und Weise, nach einem klaren Prozess, Bestandsaufnahme von Werten/Assets (Zielobjekten), Konformitätsprüfung, Risikoanalyse und erweitert durch bewährte technische, organisatorische, personelle und infrastrukturelle Schutzmaßnahmen. Der Ansatz erleichtert es Ihnen, das gesamte IT-System zu betrachten, es logisch zu partitionieren, jedes Teil separat zu betrachten, alle Bedrohungen und Maßnahmen pro Asset zu definieren und mit den vom System vorgeschlagenen Maßnahmen für jedes von Ihnen ausgewählte Asset fortzufahren.
So können Sie das Framework von BSI IT-Grundschutz für Ihre IT-Sicherheit nutzen
Der IT-Grundschutz bietet Unternehmen ein Framework für das IT-Sicherheitsmanagement. Es bietet gut strukturierte Informationen zu den IT-Komponenten (Bausteinen), die in Ihrer täglichen Arbeit verwendet werden und somit Teil Ihres ISMS sind. IT-Grundschutz-Bausteine enthalten Listen von relevanten Bedrohungen und erforderlichen Gegenmaßnahmen, die an die Anforderungen Ihrer Organisation angepasst werden können. Der BSI IT-Grundschutz ist sehr präzise und bietet mehr als 30 Ziele und Schutzmaßnahmen zur Verbesserung Ihrer Cybersicherheit.
IT-Grundschutz-Methodik
IT-Grundschutz verfolgt einen systematischeren Ansatz, indem drei Varianten der IT-Grundschutz-Methodik unterschieden werden: Basis-, Kern- und Standard-Absicherung.
Die Basis-Absicherung bezieht sich auf den Schutz von Geschäftsprozessen mit den erforderlichen Maßnahmen. Sie kann in der Anfangsphase praktiziert werden, wenn Sie erst beginnen, mit Grundschutz zu arbeiten. Sie können diese Option wählen, wenn wenig Erkenntnisse über dieses Thema verfügbar sind. Eine Risikoanalyse kann hier nicht durchgeführt werden, weil Bedrohungen nicht sichtbar sind.
Bei der Kern-Absicherung geht es darum, spezifischere Sicherheitsmaßnahmen für wesentliche Geschäftsprozesse und Risikoobjekte zu ergreifen, eine vertiefte Absicherung der kritischsten Bereiche. Sie wählen die bevorzugten Assets als „Kronjuwelen“ aus, die Sie explizit überwachen möchten.
Die Standard-Absicherung ist die umfangreichste. Sie bedeutet den Schutz aller Prozesse und Bereiche der Organisation und ist der empfohlene IT-Grundschutz-Ansatz. Diese Variante wird verwendet, wenn Sie sich der Zertifizierung nähern. Das System erfordert mehr Einsicht in und Erkenntnisse über die Sicherheit.
Die grundlegenden Schritte, um mit dem BSI IT-Grundschutz in Ihrem Unternehmen zu beginnen
IT-Grundschutz schlägt die folgenden Schritte für die Organisation Ihrer IT-Sicherheitsprozesse vor:
Festlegung Ihrer IT-Sicherheitsziele
Erstellung einer Organisationsstruktur für die IT-Sicherheit
Bereitstellung aller erforderlichen Ressourcen
Erstellung eines IT-Sicherheitskonzepts
Analyse der IT-Struktur
Bewertung Ihrer Schutzanforderungen
Durchführung einer Modellierung
Durchführung eines IT-Sicherheitschecks
Durchführung einer zusätzlichen Sicherheitsanalyse
Umsetzung von Planung und Vervollständigung
Durchführung, Überwachung und Verbesserung der Prozesse
Antrag auf IT-Grundschutz-Zertifizierung (optional)
Risikomanagement gemäß BSI IT-Grundschutz
IT-Grundschutz bietet den Unternehmen die Möglichkeit, ein Informationssicherheits-Managementsystem (ISMS) einzurichten. Dabei werden allgemeine IT-Sicherheitsrichtlinien zur Festlegung der Sicherheitsprozesse und detaillierte technische Empfehlungen kombiniert, um das erforderliche IT-Sicherheitsniveau für bestimmte Anforderungen zu erreichen. Verwenden Sie eine GRC-Lösung für ein effektives Management von Assets, Compliance und Risiken im Unternehmen, um Ihre Aktivitäten und Prozesse zu automatisieren und zu optimieren, eine bessere Arbeitsumgebung zu schaffen, die Zusammenarbeit und Datenintegrität zu verbessern.
Risikoanalyse gemäß IT-Grundschutz.
(Bild: Infopulse)
Ein werkzeuggesteuerter Compliance-Ansatz hilft Ihnen dabei, folgendes besser zu machen:
Identifizieren Sie Risiken:
Bezgl. unterschiedlichen Risiken gibt es eine Liste von möglichen Gefährdungen (die in fünf Bedrohungskategorien unterteilt sind). Bei Bedarf können Sie in der Phase der Risikobewertung zusätzliche Bedrohungen identifizieren.
Analysieren Sie Risiken:
Gehen Sie die vorhandenen Vorschläge bezgl. Risikominimierung durch, die für jede Gefahr detailliert bereitgestellt werden.
Bewerten Sie die Risiken:
Verwenden Sie die zuvor definierten Schadensszenarien, um eine Bewertung der Grundlagen durchzuführen.
So erhalten Sie die IT-Grundschutz-Zertifizierung
Vor der Beantragung der IT-Grundschutz-Zertifizierung ist eine Grundlagenbewertung empfehlenswert, eine schnelle Überprüfung der IT-Sicherheit vor Ort:
Bewerten Sie das Management der Informationssicherheit nach dem BSI IT-Grundschutz Standard
Führen Sie die Schutzbedarfsanalyse durch
Lassen Sie Ihr ISMS von lizenzierten ISMS-Auditoren vorher bewerten
Führen Sie eine Risikobewertung durch
Überprüfen Sie Ihr ISMS gemäß IT-Grundschutz im Allgemeinen
Integrieren Sie Ihr ISMS in vorhandene Strukturen, Prozesse und Enterprise Applikationen
Entwickeln Sie ein grundlegendes Verfahren für Informationssicherheitsverfahr
Kontrollieren Sie Ihre Drittanbieter und Lieferanten
Dashboard mit allen Compliance-Aktivitäten.
(Bild: Infopulse)
Wenn Ihr ISMS den Spezifikationen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) entspricht, können Sie beim BSI eine Zertifizierung beantragen. BSI ernennt einen Auditor, der die Revision Ihrer Organisation übernimmt.
So kann man BSI IT-Grundschutz in Ihrer Organisation nahtlos umsetzen
Da die Anzahl der Bedrohungen von Jahr zu Jahr zunimmt, verbessert das BSI kontinuierlich das Risiko- und Bedrohungsmanagement. Die Aufgabe, mit allen Änderungen der Vorschriften Schritt zu halten, kann schwierig sein. Bei der Arbeit mit unterstützenden Werkzeugen wie zum Beispiel dem Infopulse SCM (Standards Compliance Manager) können Sie schnell auf das neueste Grundschutz-Kompendium umsteigen. Denken Sie daran, regelmäßige Archivsicherungen der vorherigen Version vor dem Start des erneuten Checks abzuspeichern, damit Sie die Daten aus früheren Jahren im System sehen und miteinander vergleichen können.
Über den Autor: Jan Keil hat eine nachgewiesene Erfolgsbilanz mit mehr als 20 Jahren Erfahrung in der IT-Branche. Als Experte für Geschäftsentwicklung und Marketing erhielt er seine Ausbildung am Karlsruher Institut für Technologie und arbeitet derzeit als Vice President für Marketing bei Infopulse.
(ID:46749877)
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/8d/3f8d46b4a7fd9b48db0788c0bde6936b/0128970278v2.jpeg "Der Gemeinde- und Städtebund warnt, dass Hacker nahezu täglich die IT-Systeme unserer Gemeinden und Städte angreifen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/67/35679a2ca8f2e8d2d960430c70823994/0112150345v1.jpeg "Im Podcast klären wir, wie das richtige Wissen um Rahmenwerke einen chaotischen Zoo von Anweisungen, Projekten und internen Richtlinien verhindert. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/9f/09/9f09c92de27e90e764f4a80e1ed3a683/0128026695v2.jpeg "Unternehmen brauchen einen Paradigmenwechsel, weg von der formalen Zertifizierung und hin zu einer kontinuierlichen, adaptiven Sicherheitskultur. (Bild: © EDA - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/52/c652c1e350d7bbe51689c5c3bd995f68/0123247579v1.jpeg "Wenn CISO und CSO ihre Sicherheitsmaßnahmen in die unternehmensweite Resilienzstrategie einbinden, stärken sie nicht nur die Cybersicherheit, sondern auch die Krisenfestigkeit des gesamten Unternehmens. (Bild: MAY - stock.adobe.com)")