BSI IT-Grundschutz-Kompendium: Der Überblick für Praktiker

Das BSI IT-Grundschutz-Kompendium ist das deutschsprachige Gegenstück zur ISO-27001-Welt — und in vielen Behörden, kritischen Infrastrukturen und konservativen Mittelständlern der De-facto-Standard für Informationssicherheit. Wer in Deutschland IT-Grundschutz-zertifiziert sein will, arbeitet mit dem Kompendium.

Dieser Artikel erklärt Aufbau und Logik des Kompendiums, wie Sie es praktisch anwenden und wie es sich zu ISO 27001 und NIS2 verhält.

1. Was ist das IT-Grundschutz-Kompendium?

Das Kompendium ist die zentrale Referenz des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum IT-Grundschutz. Es ersetzt seit 2018 die alten IT-Grundschutz-Kataloge und wird jährlich aktualisiert. Die aktuelle Edition heißt IT-Grundschutz-Kompendium 2023 (Februar 2023 veröffentlicht, mit laufenden Ergänzungslieferungen).

Das Kompendium besteht aus:

• rund 100 Bausteinen zu konkreten Themen (z.B. "Windows 11 Client", "Webanwendungen", "Cloud-Nutzung", "Mobiles Arbeiten")
• Rollenmodell zur Verantwortungszuweisung
• Elementaren Gefährdungen (Referenzkatalog für Risikoanalysen)
• Umsetzungshinweisen pro Baustein
• Verweisen zu den BSI-Standards 200-1 bis 200-4

2. Die vier BSI-Standards im Überblick

Der IT-Grundschutz basiert auf vier normativen Standards:

BSI 200-2 ist besonders wichtig, weil es die drei Absicherungsstufen definiert: Basis-Absicherung (Einstieg), Kern-Absicherung (kritische Bereiche zuerst), Standard-Absicherung (vollständig). Kleine Unternehmen starten oft mit Basis-Absicherung.

3. Aufbau eines Bausteins

Jeder der rund 100 Bausteine folgt einem festen Schema:

1. Einleitung — Thema und Abgrenzung
2. Zielsetzung — was der Baustein bezweckt
3. Abgrenzung und Modellierung — wann anwenden
4. Gefährdungslage — Verweis auf elementare Gefährdungen
5. Anforderungen — in drei Kategorien:
   • Basis-Anforderungen (B) — immer umzusetzen
   • Standard-Anforderungen (S) — bei normalem Schutzbedarf
   • Anforderungen für erhöhten Schutzbedarf (H) — bei hohem/sehr hohem Schutzbedarf
6. Weiterführende Informationen — verwandte Standards, Literatur

Die Anforderungen sind konkret und prüffähig — das ist der große Unterschied zu ISO 27001, das auf Control-Ebene abstrakter bleibt.

4. Das Schichtenmodell

Die Bausteine sind in fünf Schichten gegliedert:

1. ISMS — Organisation, Management, Personal
2. ORP — Organisatorische und personelle Aspekte
3. CON — Konzeption und Vorgehensweise (z.B. Kryptoportfolio)
4. OPS — Betrieb (z.B. Monitoring, Backup)
5. DER — Detektion und Reaktion (z.B. Incident Response)
6. APP, SYS, IND, NET, INF — Technische Ebenen (Anwendungen, Systeme, Industrie, Netz, Infrastruktur)

Bei der Umsetzung werden die Schichten "übereinander gelegt": Ein Webserver (SYS) kommt mit einer Webanwendung (APP), läuft in einem Netz (NET) in einem Rechenzentrum (INF) unter einem ISMS-Rahmen.

5. IT-Grundschutz vs. ISO 27001

Praktisch: Viele Behörden und KRITIS-Unternehmen wählen IT-Grundschutz-Zertifizierung, weil sie als gleichwertig zu ISO 27001 anerkannt ist und gleichzeitig konkretere Umsetzungshinweise liefert. Im privatwirtschaftlichen Umfeld ist ISO 27001 die häufigere Wahl.

6. Zusammenspiel mit NIS2

Das NIS2UmsuCG verweist ausdrücklich auf IT-Grundschutz als geeignete Umsetzungsmethode für die Maßnahmen aus Art. 21 NIS2. Ein Unternehmen, das nach IT-Grundschutz arbeitet, erfüllt damit einen Großteil der NIS2-Anforderungen.

Wichtige Überlappungen:

• BSI 200-2 Methodik ↔ NIS2 Art. 21 Nr. 1 (Risikoanalyse und Richtlinien)
• BSI 200-4 BCM ↔ NIS2 Art. 21 Nr. 3 (Aufrechterhaltung des Betriebs)
• DER-Bausteine ↔ NIS2 Art. 21 Nr. 2 (Bewältigung von Sicherheitsvorfällen)

7. Wie Software das Kompendium operational macht

Das Kompendium ist rund 1.500 Seiten stark. Keine Organisation setzt das manuell um. Typische Tools:

• Traditionelle Tools — verinice, GRC-Toolkit, otris, Fuentis Suite (Eclipse/Client-Server-Architektur)
• Moderne Cloud-Plattformen — Matproof mit BSI-Baustein-Mapping, automatisierter Evidenz-Sammlung aus Cloud-Systemen, Cross-Mapping zu ISO 27001, NIS2, DORA

Ein zentraler Vorteil moderner Tools: Control-Übersetzung. Dieselbe Maßnahme (z.B. MFA-Pflicht) erfüllt automatisch BSI-Baustein ORP.4, ISO 27001 Annex A 8.5, NIS2 Art. 21 Nr. 10 und DORA Art. 9. Ein Nachweis, vier Frameworks abgedeckt.

8. Wie anfange ich mit IT-Grundschutz?

1. BSI 200-1 lesen — das Fundament
2. BSI 200-2 Methodik verstehen — insbesondere Absicherungsstufen
3. Strukturanalyse — welche IT-Assets gibt es, wie sind sie verbunden
4. Schutzbedarfsfeststellung — wie kritisch ist welches Asset
5. Modellierung — welche Bausteine sind anwendbar
6. Umsetzung — Bausteinanforderungen erfüllen
7. IT-Grundschutz-Check — Reifegradbestimmung
8. Optional: Zertifizierung über das BSI

Matproof bietet vorgefertigte Baustein-Mappings, automatische Strukturanalyse-Imports aus CMDB und Azure/AWS sowie eine Schutzbedarfs-Methodik nach BSI 200-2 als vollständigen Workflow.

Fazit

Das IT-Grundschutz-Kompendium ist das Arbeitsbuch der deutschen Informationssicherheit — detaillierter als ISO 27001, mit starker Verankerung in Behörden und KRITIS, und ein zentrales Umsetzungsinstrument für NIS2 in Deutschland. Wer IT-Grundschutz-zertifizieren will oder als Zulieferer Behörden bedient, kommt an dem Kompendium nicht vorbei.

Mit moderner Tooling-Unterstützung lässt sich der Umsetzungsaufwand um 60-80 Prozent reduzieren — statt 1.500 Seiten manuell durchzuarbeiten, führt das System durch die relevanten Bausteine und sammelt Nachweise automatisch.

Weiterführend:

• ISMS-Software — Tooling für IT-Grundschutz und ISO 27001
• Frameworks: ISO 27001
• Was ist NIS2?
• NIS2-Umsetzung