Was ist IT-Grundschutz? Einführung in den BSI-Standard.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist eine deutsche Behörde, die sich mit der Sicherheit von Informations- und Kommunikationstechnik befasst. Das BSI Deutschland hat die Aufgabe, die IT-Sicherheit in Deutschland zu fördern und zu verbessern. Dazu gehört auch die Entwicklung von Standards und Empfehlungen. 

Der IT-Grundschutz ist ein Konzept, das vom BSI entwickelt wurde, um Unternehmen und Organisationen dabei zu unterstützen, ihre IT-Systeme effektiv zu schützen. Es bietet eine systematische Vorgehensweise zur Identifizierung und Bewertung von Sicherheitsrisiken sowie zur Implementierung von geeigneten Schutzmaßnahmen und der Etablierung eines Information Security Management Systems (ISMS). Der IT-Grundschutz hilft dabei, die Sicherheit der IT-Infrastruktur zu verbessern, indem er Best Practices und bewährte Methoden bereitstellt. So können Organisationen ihre IT-Sicherheit auf ein Niveau bringen, das den Anforderungen der heutigen digitalen Welt gerecht wird. 

Cyberangriffe, Datenschutzverletzungen und regulatorische Anforderungen machen IT-Sicherheit zur zentralen Managementaufgabe – und das nicht nur in den IT-Departments. Der IT-Grundschutz bietet eine fundierte und zugleich praxisnahe Methode, um Risiken zu minimieren. Gleichzeitig lassen sich gesetzliche sowie branchenspezifische Vorgaben wie DSGVO, KRITIS, DORA oder ISO 27001 erfüllen. Durch die Modularität des IT-Grundschutz-Kompendiums können Unternehmen relevante Schutzmaßnahmen individuell auswählen und skalierbar umsetzen. 

Die Umsetzung des IT-Grundschutzes erfolgt in mehreren Schritten: Zunächst erfolgt eine Struktur- und Schutzbedarfsanalyse, um kritische Geschäftsprozesse und IT-Systeme zu identifizieren. Darauf aufbauend werden die passenden Bausteine aus dem IT-Grundschutz-Kompendium ausgewählt und umgesetzt. Diese umfassen sowohl technische als auch organisatorische Maßnahmen. Die Umsetzung sollte im ISMS dokumentiert, regelmäßig im Rahmen von Audits überprüft und fortlaufend verbessert werden. 

Eine Zertifizierung nach BSI IT-Grundschutz bietet nicht nur Rechtssicherheit, sondern auch einen klaren Vertrauensgewinn gegenüber Kunden, Partnern und Aufsichtsbehörden. Sie signalisiert, dass das Unternehmen Informationssicherheit nicht nur formal, sondern strategisch und wirksam betreibt. Darüber hinaus lassen sich viele Anforderungen aus Compliance-Vorgaben strukturiert abdecken und Sicherheitsmaßnahmen gezielt priorisieren und belegen. 

Identitäts- und Berechtigungsmanagement sind zentrale Kontrollmechanismen des IT-Grundschutzes. Ohne ein funktionierendes Identity & Access Management (IAM) und Privileged Access Management (PAM) lassen sich die BSI-Vorgaben in Bereichen wie Zugriffskontrolle, Benutzerverwaltung, Rollenmodellierung und Protokollierung nicht adäquat umsetzen. Gerade privilegierte Benutzerkonten stellen ein enormes Risiko dar, das ohne PAM-Lösungen kaum kontrollierbar ist. IAM und PAM bilden daher die technische Grundlage, um zentrale Maßnahmen des Grundschutz-Kompendiums automatisiert, nachvollziehbar und revisionssicher umzusetzen. 

• Definieren Sie IT-System-übergreifende, einheitliche Rollen- und Berechtigungsstrukturen, die sich an Ihren Geschäftsprozessen orientieren. 

• Integrieren Sie IAM und PAM frühzeitig in Ihre Sicherheitsarchitektur und gleichen Sie diese mit dem IT-Grundschutz ab. 

• Nutzen Sie Automatisierung, um Identitäten über den gesamten Lebenszyklus hinweg effizient zu verwalten (Joiner-Mover-Leaver-Prozesse). 

• Führen Sie regelmäßige Rezertifizierungen durch, um übermäßige Berechtigungen zu erkennen und zu korrigieren. 

• Dokumentieren Sie alle Berechtigungsänderungen und administrativen Aktivitäten revisionssicher und nachvollziehbar. 

• Setzen Sie PAM gezielt für besonders sensible Systeme oder hochprivilegierte Benutzer ein, um Zugriffe zu protokollieren und risikobehaftete Aktivitäten zu kontrollieren. 

Wer den IT-Grundschutz praxisnah und effektiv umsetzen will, kommt am Thema Identity & Access Management nicht vorbei. Das BSI-Kompendium enthält mehrere Bausteine, die direkt auf die sichere Verwaltung digitaler Identitäten und Zugriffe einzahlen. 

An erster Stelle steht dabei der Baustein «ORP.4 Benutzer- und Berechtigungsmanagement», der zentrale Anforderungen an Rollenmodelle, Berechtigungsprozesse und Nachvollziehbarkeit definiert. Ergänzt wird dieser durch «SYS.1.2 Verzeichnisdienste», etwa für das Active Directory, die als Fundament der Identitätsinfrastruktur abgesichert sein müssen. Auch der Baustein «DER.2 Authentisierung mit Passwort» bleibt relevant, etwa zur Absicherung von Legacy-Systemen oder lokalen Administratorzugängen. 

Für den sicheren Betrieb von IAM-Lösungen selbst spielen «SYS.1.1 Allgemeiner Server» sowie «OPS.1.1 IT-Betrieb» eine Schlüsselrolle, etwa im Hinblick auf Protokollierung, Zugriffsschutz und Betriebsverantwortung. Wer diese Bausteine sauber implementiert und mit modernen IAM- und PAM-Werkzeugen abbildet, erfüllt nicht nur zentrale Anforderungen des Grundschutzes, sondern schafft auch messbaren Sicherheitsgewinn. 

Auch Single Sign-On (SSO) ist ein zentraler Bestandteil: Es ermöglicht Benutzern, sich einmalig zu authentifizieren und anschließend nahtlos auf verschiedene Systeme und Anwendungen zuzugreifen – ohne erneute Passworteingabe. Das steigert die Benutzerfreundlichkeit und reduziert gleichzeitig Risiken durch mehrfach verwendete oder schwache Passwörter. 

Aus Sicht des IT-Grundschutzes trägt SSO dazu bei, Authentifizierungsrichtlinien zentral durchzusetzen und Anmeldevorgänge systematisch zu protokollieren. Grundlage dafür ist in der Regel ein Identity Provider (IdP), der als vertrauenswürdige Instanz die Authentifizierung übernimmt – z. B. über SAML oder OpenID Connect. 

In Kombination mit starker Mehr-Faktor-Authentifizierung (MFA) wird SSO so zu einem wirkungsvollen Baustein für sichere, regelkonforme Zugriffskontrolle im Sinne des IT-Grundschutzes. 

Viele Organisationen scheuen den Einstieg in den IT-Grundschutz aus Sorge vor großer Komplexität oder hohen Aufwänden. Tatsächlich erlaubt das BSI jedoch einen skalierbaren Einstieg – z. B. über den Basis-Absicherungsansatz. Auch der Glaube, dass der IT-Grundschutz nur für Großunternehmen geeignet sei, ist überholt: Gerade kleine und mittlere Unternehmen (KMU) profitieren von der klaren Struktur und den praxiserprobten Maßnahmen. Ein weiteres Missverständnis ist, dass ISO 27001 und IT-Grundschutz konkurrieren – dabei ergänzen sich beide ideal. 

Bis ins Jahr 2023 wurde das IT-Grundschutz-Kompendium jährlich überarbeitet und neu veröffentlich. Derzeit wird das 2023er Kompendium laufend fortgeschrieben, aber nicht grundlegend verändert, so dass Organisationen nicht jährlich auf neue Kompendiums-Editionen migrieren brauchen. 

Das BSI arbeitet an einer neuen Vision für einen «IT-Grundschutz++». Mit einer prozessorientierten Herangehensweise und einem digitalen Regelwerk soll Cybersicherheit mess- und automatisierbar werden.  

Mit der Verfügbarkeit von maschinenlesbaren Mechanismen ab Anfang 2026 werden sich viel leichter als bisher Kennzahlen für Entscheider ableiten und die zeitliche Weiterentwicklung des ISMS messen lassen. 

Mit der fortschreitenden Digitalisierung steigen die Anforderungen an Sicherheitsstandards kontinuierlich. Der IT-Grundschutz wird daher laufend weiterenwickelt  – mit stärkerem Fokus auf Cloud-Umgebungen, mobile Arbeit, Automatisierung und Künstliche Intelligenz. Gleichzeitig werden IAM und PAM zunehmend intelligent und kontextsensitiv, um dynamischen Bedrohungslagen gerecht zu werden. Wer frühzeitig in diese Technologien investiert, schafft die Voraussetzungen für nachhaltige, zertifizierbare Sicherheit in einer vernetzten Welt. 

Dieser Bericht beruht auf Expertenwissen, für die Ausformulierung wurde Hilfe von KI in Anspruch genommen.