BSI Grundschutz für KMU – Praktischer Einstieg in die IT-Sicherheit

Wenn Sie als Geschäftsführer eines mittelständischen Unternehmens anfangen, sich mit IT-Sicherheit und Cybersicherheit zu beschäftigen, stoßen Sie schnell auf zwei Namen: ISO 27001 und BSI Grundschutz. Während ISO 27001 der internationale Standard ist, hat Deutschland mit dem BSI Grundschutz ein eigenes, äußerst detailliertes Framework entwickelt – und für viele KMU ist es der bessere Einstieg. Das Bundesamt für Sicherheit in der Informationstechnik stellt dafür umfangreiche Ressourcen bereit.

Warum? Weil der BSI Grundschutz Ihnen konkrete Maßnahmen an die Hand gibt, statt nur Anforderungen zu formulieren. Während ISO 27001 sagt "Sie müssen Risiken bewerten und angemessene Maßnahmen treffen", sagt der BSI Grundschutz: "Hier ist eine detaillierte Liste von Bedrohungen für Ihren Fileserver – und hier sind die konkreten Maßnahmen, die Sie umsetzen sollten." Der modular aufgebaute Standard macht es notwendig, sich systematisch mit der Informationssicherheit auseinanderzusetzen.

In diesem Artikel erklären wir, was BSI Grundschutz ist, wie er sich von ISO 27001 unterscheidet, welche Varianten es gibt und wie Sie als KMU pragmatisch einsteigen können – mit Hinweisen auf kostenlose Broschüren und Ressourcen der Behörde.

Was ist BSI Grundschutz?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zentrale Behörde für IT-Sicherheit und Cybersicherheit in Deutschland. Der BSI Grundschutz ist eine vom BSI entwickelte Methodik zur Identifizierung und Umsetzung von Sicherheitsmaßnahmen für IT-Systeme, Netzwerke und digitale Anwendungen.

Das Kernstück ist das IT-Grundschutz-Kompendium – eine umfangreiche Sammlung von modular aufgebauten Bausteinen, die für verschiedene Aspekte der IT-Sicherheit konkrete Anforderungen und Umsetzungshinweise liefern. Die Behörde stellt das Kompendium als wichtige Ressource kostenlos zur Verfügung.

Die Philosophie des BSI Grundschutz

Die Grundidee ist bestechend einfach: Für die allermeisten IT-Systeme und digitale Geschäftsprozesse in Unternehmen sind die Bedrohungen bekannt und vorhersagbar. Ein Windows-Server wird immer denselben grundlegenden Bedrohungen ausgesetzt sein – unabhängig davon, ob er in einem Handwerksbetrieb oder in einem Versicherungskonzern steht. Also kann man die Schutzmaßnahmen standardisieren und das Sicherheitsniveau systematisch verbessern.

Statt dass jedes Unternehmen von Grund auf eine individuelle Risikoanalyse durchführen muss, liefert der BSI Grundschutz vorgefertigte Risikoanalysen und Maßnahmensets – die sogenannte Standard-Absicherung. Das spart enorm viel Aufwand und Ressourcen, besonders für Unternehmen ohne eigene Sicherheitsexperten. Der modulare Aufbau macht es notwendig, nur die für das eigene Unternehmen relevanten Bausteine umzusetzen.

Das IT-Grundschutz-Kompendium im Überblick

Das Kompendium wird jährlich aktualisiert und umfasst aktuell rund 110 modular aufgebaute Bausteine in zehn Schichten. Die Vorgaben des BSI sind dabei verbindlich für Behörden und wichtig als Leitfaden für KMU:

Die zehn Schichten (Auswahl der wichtigsten Bausteine)

ISMS – Sicherheitsmanagement:

• ISMS.1 Sicherheitsmanagement – das Fundament, beschreibt den Aufbau eines ISMS

ORP – Organisation und Personal:

• ORP.1 Organisation – Sicherheitsrichtlinien und Prozesse
• ORP.2 Personal – Sicherheit bei Einstellung, Aufgabenwechsel und Ausscheiden
• ORP.3 Sensibilisierung und Schulung – Awareness-Programme
• ORP.4 Identitäts- und Berechtigungsmanagement – Wer darf was?

CON – Konzepte:

• CON.1 Kryptokonzept – Verschlüsselungsstrategie
• CON.3 Datensicherungskonzept – Backup-Strategie
• CON.6 Löschen und Vernichten – Sichere Entsorgung von Daten

OPS – Betrieb:

• OPS.1.1.3 Patch- und Änderungsmanagement – Systeme aktuell halten
• OPS.1.1.4 Schutz vor Schadprogrammen – Malware-Abwehr
• OPS.1.2.5 Fernwartung – Sicherer Remote-Zugriff

DER – Detektion und Reaktion:

• DER.1 Detektion von sicherheitsrelevanten Ereignissen
• DER.2.1 Behandlung von Sicherheitsvorfällen – Incident Response

APP – Anwendungen:

• APP.1.1 Office-Produkte
• APP.5.3 Allgemeiner E-Mail-Client und -Server
• APP.5.4 Unified Communications und Collaboration (UCC)

SYS – IT-Systeme:

• SYS.1.1 Allgemeiner Server
• SYS.2.1 Allgemeiner Client
• SYS.3.2 Tablet und Smartphone
• SYS.4.4 Allgemeines IoT-Gerät

NET – Netze:

• NET.1.1 Netzarchitektur und -design
• NET.3.1 Router und Switches
• NET.3.2 Firewall

INF – Infrastruktur:

• INF.1 Allgemeines Gebäude
• INF.2 Rechenzentrum sowie Serverraum

Jeder Baustein enthält: eine Beschreibung des Gegenstands, eine Gefährdungslage (welche Bedrohungen existieren), Anforderungen (was muss umgesetzt werden) und Umsetzungshinweise (wie setzt man es konkret um). Die Broschüre "Cybersicherheit für KMU" der Behörde bietet zusätzliche Ressourcen für den Einstieg.

BSI Grundschutz vs. ISO 27001 – die wichtigsten Unterschiede

Beide Standards verfolgen dasselbe Ziel – systematische Informationssicherheit – gehen aber unterschiedlich vor:

Detailgrad

ISO 27001 ist ein High-Level-Framework: Es beschreibt, WAS Sie tun müssen (Risiken bewerten, Maßnahmen treffen, dokumentieren), aber nicht im Detail WIE. Die 93 Controls in Anhang A sind Referenzmaßnahmen auf abstraktem Niveau.

BSI Grundschutz ist ein detailliertes Handbuch: Für jeden Baustein erhalten Sie konkrete, teilweise sehr technische Anforderungen. Der Baustein SYS.1.1 (Allgemeiner Server) enthält beispielsweise Anforderungen wie "Der Server MUSS vor unberechtigtem physischen Zugriff geschützt werden" oder "Es MUSS sichergestellt sein, dass nur die vorgesehenen Ports des Servers erreichbar sind."

Risikoanalyse

ISO 27001 verlangt eine individuelle Risikoanalyse: Sie identifizieren Ihre spezifischen Risiken und leiten daraus Maßnahmen ab. Das ist flexibel, erfordert aber Erfahrung.

BSI Grundschutz bietet eine vorgefertigte Risikoanalyse über die Standard-Absicherung: Die Bedrohungen und passenden Maßnahmen sind pro Baustein bereits definiert. Eine individuelle Risikoanalyse ist nur für Bereiche mit erhöhtem Schutzbedarf erforderlich.

Verbreitung und Anerkennung

ISO 27001 ist der international anerkannte Standard. Kunden und Partner weltweit kennen und akzeptieren eine ISO 27001-Zertifizierung.

BSI Grundschutz ist primär im deutschsprachigen Raum und im öffentlichen Sektor verbreitet. In Deutschland ist er bei Behörden, KRITIS-Betreibern und Unternehmen mit öffentlichen Auftraggebern weit verbreitet. Die Vorgaben der Behörde sind notwendig, um die Cybersicherheit im digitalen Zeitalter zu verbessern. International ist er weniger bekannt.

Zertifizierungsmöglichkeiten

Beide Standards ermöglichen eine Zertifizierung. Interessanterweise ist eine BSI-Grundschutz-Zertifizierung kompatibel mit ISO 27001: Ein ISO 27001-Zertifikat auf Basis von IT-Grundschutz bescheinigt die Konformität mit beiden Standards gleichzeitig.

Aufwand

Für ein KMU ist der Aufwand beim BSI Grundschutz in der vollständigen Standard-Absicherung tendenziell höher als bei ISO 27001, weil mehr Einzelanforderungen umgesetzt und dokumentiert werden müssen. Dafür ist die Basis-Absicherung (s.u.) deutlich einsteigerfreundlicher als ISO 27001 und erfordert weniger Ressourcen. Es ist wichtig, den richtigen Standard für Ihr Unternehmen zu wählen.

Die drei Absicherungsstufen – der richtige Einstieg in die IT-Sicherheit für KMU

Das BSI hat erkannt, dass die vollständige Standard-Absicherung für viele KMU zu aufwändig ist, und bietet deshalb drei Stufen an:

1. Basis-Absicherung – der Schnelleinstieg in die Cybersicherheit

Die Basis-Absicherung ist der ideale Einstieg für KMU, um die Informationssicherheit im Unternehmen systematisch aufzubauen. Sie konzentriert sich auf die wichtigsten Sicherheitsmaßnahmen und lässt Details bewusst weg. Das Ziel: ein solides Mindestmaß an Sicherheit in überschaubarer Zeit und mit begrenzten Ressourcen.

Was Sie tun:

• Relevante Bausteine aus dem Kompendium auswählen (nur die für Ihre IT-Landschaft zutreffenden)
• Nur die Basis-Anforderungen (mit "MUSS" gekennzeichnet) umsetzen
• Umsetzung dokumentieren

Vorteile:

• Überschaubarer Aufwand (für ein KMU mit 20–50 MA in 2–4 Monaten machbar)
• Keine individuelle Risikoanalyse notwendig
• Sofort spürbarer Sicherheitsgewinn
• Gute Grundlage für spätere Erweiterung

Nachteile:

• Keine Zertifizierung möglich
• Kein umfassendes Schutzniveau

2. Standard-Absicherung – die vollständige Umsetzung der Vorgaben

Die Standard-Absicherung setzt alle Anforderungen und Vorgaben des IT-Grundschutz-Kompendiums um – auch die mit "SOLLTE" und "SOLLTE NICHT" gekennzeichneten. Sie ist die Basis für eine ISO 27001-Zertifizierung auf Grundlage von IT-Grundschutz und verbessert das Sicherheitsniveau umfassend.

Was Sie zusätzlich tun:

• Strukturanalyse: Alle IT-Systeme, Anwendungen und Räume erfassen
• Schutzbedarfsfeststellung: Für jedes Objekt den Schutzbedarf bestimmen
• Modellierung: Die passenden Bausteine zuordnen
• IT-Grundschutz-Check: Soll-Ist-Vergleich durchführen
• Bei erhöhtem Schutzbedarf: Individuelle Risikoanalyse

Aufwand: Für ein KMU mit 20–50 MA rechnen Sie mit 6–12 Monaten.

3. Kern-Absicherung – der fokussierte Ansatz für wichtige digitale Assets

Die Kern-Absicherung konzentriert sich auf die kritischsten Geschäftsprozesse und IT-Systeme (die "Kronjuwelen"). Sie bietet hohes Schutzniveau für den wichtigsten Bereich, ohne das gesamte Unternehmen abdecken zu müssen — eine notwendige Maßnahme, wenn die Ressourcen begrenzt sind.

Wann sinnvoll:

• Sie haben einen klar abgrenzbaren, besonders schutzbedürftigen Bereich (z.B. Patientendaten, Konstruktionsdaten)
• Sie wollen schnell ein hohes Schutzniveau für den wichtigsten Teil erreichen
• Das Budget reicht nicht für eine vollständige Standard-Absicherung

Pragmatischer Einstieg: So starten KMU mit dem BSI Grundschutz

Basierend auf unserer Beratungserfahrung empfehlen wir KMU folgenden Einstieg, um die Informationssicherheit im Unternehmen schrittweise zu verbessern:

Phase 1: Orientierung (1–2 Wochen)

IT-Landschaft erfassen: Erstellen Sie eine einfache Übersicht Ihrer IT-Systeme. Sie brauchen keine detaillierte CMDB – eine Excel-Liste reicht:

• Server (physisch und virtuell)
• Clients (Desktops, Laptops)
• Mobile Geräte (Tablets, Smartphones)
• Netzwerkkomponenten (Router, Switches, Firewalls, WLAN-Access-Points)
• Cloud-Dienste (Microsoft 365, AWS, Azure, SaaS-Anwendungen)
• Kritische Geschäftsanwendungen (ERP, CRM, Branchensoftware)

Relevante Bausteine identifizieren: Wählen Sie aus dem Kompendium die Bausteine aus, die zu Ihrer IT-Landschaft passen. Für ein typisches KMU mit Windows-Clients, Microsoft 365 und einer Firewall sind das etwa 15–25 Bausteine.

Phase 2: Basis-Absicherung umsetzen (2–4 Monate)

Konzentrieren Sie sich auf die MUSS-Anforderungen der relevanten Bausteine. Typische Quick-Wins:

Zugriffskontrolle:

• Individuelle Benutzerkonten für jeden Mitarbeitenden (keine gemeinsamen Accounts)
• Multi-Faktor-Authentifizierung für alle Cloud-Dienste und Remote-Zugänge
• Admin-Konten nur für administrative Tätigkeiten nutzen
• Regelmäßige Überprüfung der Berechtigungen (vierteljährlich)

Patch-Management:

• Automatische Updates für Betriebssysteme aktivieren
• Kritische Sicherheitsupdates innerhalb von 72 Stunden einspielen
• Anwendungs-Updates monatlich prüfen und einspielen

Datensicherung:

• Tägliche Sicherung aller geschäftskritischen Daten
• Mindestens eine Kopie an einem separaten Standort (offsite oder Cloud)
• Monatlicher Test der Wiederherstellung
• Backup-Medien verschlüsseln

Netzwerksicherheit:

• Firewall mit restriktivem Regelwerk (nur erlaubte Verbindungen zulassen)
• WLAN mit WPA3 und separatem Gästenetz
• Netzwerksegmentierung (Server-Netz, Client-Netz, Gäste-Netz trennen)

Schadprogramm-Schutz:

• Endpoint-Protection auf allen Clients und Servern
• Automatische Updates der Signaturen
• E-Mail-Filterung (Spam, Phishing, Malware-Anhänge)

Schulung und Awareness:

• Mindestens eine Schulung pro Jahr für alle Mitarbeitenden
• Themen: Phishing erkennen, Passwörter, Umgang mit mobilen Geräten, Meldewege bei Vorfällen
• Dokumentation der Teilnahme

Phase 3: Lücken schließen und erweitern (laufend)

Nach der Basis-Absicherung bewerten Sie, ob Sie weiter in Richtung Standard-Absicherung gehen möchten. Typische nächste Schritte:

• Schutzbedarfsfeststellung für alle Informationswerte
• Umsetzung der SOLLTE-Anforderungen
• Individuelle Risikoanalyse für Bereiche mit erhöhtem Schutzbedarf
• Vorbereitung auf eine mögliche Zertifizierung

Kosten des BSI Grundschutz für KMU

Basis-Absicherung mit externer Beratung

Für ein KMU mit 20–50 Mitarbeitenden rechnen Sie mit:

• Beratung: 5.000–15.000 Euro (abhängig von Komplexität der IT-Landschaft)
• Interne Arbeitszeit: 5–15 Personentage
• Technische Maßnahmen: stark variierend – von 0 Euro (wenn nur Konfigurationsänderungen nötig sind) bis 20.000+ Euro (wenn Hardware oder Software angeschafft werden muss)
• Gesamtkosten Basis-Absicherung: typischerweise 10.000–35.000 Euro

Standard-Absicherung mit Zertifizierung

• Beratung: 20.000–50.000 Euro
• Zertifizierungsaudit: 8.000–15.000 Euro
• Interne Arbeitszeit: 20–40 Personentage
• Laufende Kosten: 10.000–20.000 Euro pro Jahr (Überwachungsaudits, Pflege, ISB)

Kostenfreie Ressourcen und Broschüren des BSI

Die Behörde stellt zahlreiche kostenfreie Ressourcen bereit, die für KMU besonders wichtig und notwendig sind:

• Das IT-Grundschutz-Kompendium (online und als PDF) — das zentrale digitale Nachschlagewerk
• IT-Grundschutz-Profile (branchenspezifische Vorlagen, z.B. für Handwerksbetriebe) — als Leitfaden und Broschüre
• Die Broschüre "Cybersicherheit für KMU" — ein praxisorientierter Einstieg in die Informationssicherheit
• Die Broschüre "Business Continuity Management (BCM) für KMU" — wichtig für die Notfallvorsorge
• WiBA-Check (Web-Check für kleine Unternehmen) — externe Ressource zur Selbsteinschätzung
• Leitfäden und Handlungsempfehlungen zur Umsetzung der Vorgaben

Nutzen Sie diese Ressourcen der Behörde – sie sind mit Steuergeldern finanziert und für genau diesen Zweck gedacht. Sie verbessern Ihre Informationssicherheit im Unternehmen spürbar.

Welcher Standard ist für Ihr Unternehmen notwendig und wichtig?

Die Entscheidung zwischen BSI Grundschutz und ISO 27001 hängt von Ihren spezifischen Anforderungen und Ressourcen ab:

BSI Grundschutz (Basis-Absicherung) ist ideal, wenn Sie:

• Schnell ein solides Sicherheitsniveau erreichen wollen
• Keine Zertifizierung benötigen
• Konkrete, umsetzbare Maßnahmen statt abstrakter Anforderungen bevorzugen
• Primär in Deutschland tätig sind

ISO 27001 ist ideal, wenn Sie:

• Eine international anerkannte Zertifizierung benötigen
• Internationale Kunden oder Partner haben
• Ein flexibles, risikobasiertes Framework bevorzugen
• Die Zertifizierung als Wettbewerbsvorteil nutzen wollen

Tipp: Starten Sie mit der BSI Basis-Absicherung und bauen Sie später in Richtung ISO 27001 oder BSI Standard-Absicherung aus. Die Basis-Absicherung ist nicht verschwendet – sie ist eine solide Grundlage, die in beide Richtungen weiterentwickelt werden kann und Ihre digitale Sicherheit verbessert.

Fazit: BSI IT-Grundschutz ist kein Hexenwerk — aber notwendig für KMU

Der BSI Grundschutz mag auf den ersten Blick wie ein Bürokratie-Monster wirken – und ja, die vollständige Standard-Absicherung ist umfangreich. Aber die Basis-Absicherung ist ein realistischer, pragmatischer Einstieg, der auch für kleine Unternehmen machbar ist und die Cybersicherheit spürbar verbessert.

Der größte Fehler, den wir bei KMU sehen, ist nicht die falsche Wahl des Standards. Es ist das Nichtstun. Jede umgesetzte Maßnahme – sei es die Aktivierung von MFA, die Einrichtung eines funktionierenden Backups oder die erste Mitarbeiterschulung – verbessert Ihre Sicherheitslage erheblich. Und der modular aufgebaute BSI Grundschutz gibt Ihnen einen strukturierten Fahrplan, welche Maßnahmen in welcher Reihenfolge notwendig und wichtig sind. Die Vorgaben der Behörde sind klar, die Ressourcen stehen bereit.

Wir unterstützen Sie beim Einstieg – von der ersten Bestandsaufnahme bis zur vollständigen Umsetzung. Als Berater für IT-Sicherheit in Hamburg kennen wir die Herausforderungen des Mittelstands und wissen, wie man BSI Grundschutz ohne Overhead umsetzt. Wenn Sie parallel über eine ISO 27001-Zertifizierung nachdenken, beraten wir Sie ehrlich, welcher Weg für Ihre Situation der richtige ist. Und als Partner für Informationssicherheit begleiten wir Sie langfristig — damit die Informationssicherheit im Unternehmen dauerhaft auf einem hohen Niveau bleibt.

Buchen Sie ein kostenloses Erstgespräch – wir schauen uns gemeinsam Ihre digitale IT-Landschaft an und empfehlen Ihnen den richtigen Einstieg in den BSI Grundschutz. Pragmatisch, ehrlich und ohne unnötigen Overhead.