Cybersecurity

BSI 200-1: ISMS Managementsystem nach IT-Grundschutz

BSI 200-1 ISMS 2026: Aufbau eines Managementsystems für Informationssicherheit — Rollen, Sicherheitsleitlinie, PDCA, Pfad zur ISO-27001-Zertifizierung.

TD
Dr. Thiébaut Devergranne
3. Juni 20264 min read

In einem Satz. Der BSI-Standard 200-1 definiert das Managementsystem für Informationssicherheit (ISMS) — Rahmen, Rollen, Verantwortungen, Prozesse — und ist die organisatorische Klammer um die operativen Standards 200-2 (Methodik), 200-3 (Risikoanalyse) und 200-4 (BCMS).

200-1 ist ISO-27001-kompatibel und schlanker als die internationale Norm — ideal für deutsche Behörden und Unternehmen, die einen klar strukturierten ISMS-Rahmen wollen ohne den ISO-Overhead. Siehe Methodik-Überblick BSI-Grundschutz.

Wichtige Punkte

  • BSI 200-1 ersetzt seit 2017 den Standard 100-1, aktuelle Version 2.0.
  • Definiert Rahmenstruktur für jedes IT-Grundschutz-basierte ISMS.
  • ISO-27001-kompatibel: PDCA-Zyklus, Rollen, Dokumentation.
  • Zentrale Rolle: Informationssicherheitsbeauftragter (ISB).
  • Sicherheitsleitlinie als wichtigstes ISMS-Dokument.

1. Was ist ein ISMS?

Ein Information Security Management System (ISMS) ist die organisatorische und prozessuale Struktur, mit der Informationssicherheit systematisch geplant, umgesetzt, überprüft und verbessert wird. Es ist nicht nur Technik, sondern vor allem Management.

2. Aufbauelemente nach 200-1

Element Funktion
Sicherheitsleitlinie Strategische Vorgabe der Leitung
Sicherheitsorganisation Rollen, Verantwortungen, Gremien
Sicherheitskonzept Operative Maßnahmen (aus 200-2)
Risikomanagement Risikoanalyse (aus 200-3)
Aufrechterhaltung Monitoring, Verbesserung, Audit

3. Verantwortung der Leitung

200-1 stellt klar: Informationssicherheit ist Chefsache. Konkrete Pflichten:

  • Verabschiedung der Sicherheitsleitlinie
  • Bereitstellung von Ressourcen (Personal, Budget)
  • Benennung des ISB
  • Regelmäßiges Managementreview
  • Freigabe akzeptierter Restrisiken

4. Rollen im ISMS

Rolle Aufgabe
Geschäftsleitung strategische Verantwortung
ISB operative Steuerung des ISMS
IS-Management-Team übergreifende Koordination
Bereichs-ISB dezentrale Umsetzung
Notfallbeauftragter Schnittstelle 200-4
Datenschutzbeauftragter DSGVO-Schnittstelle

5. Sicherheitsleitlinie

Zentrales Strategiedokument, von Geschäftsleitung unterschrieben. Inhalte:

  • Bedeutung von Informationssicherheit für Geschäftsziele
  • Schutzziele und -niveau
  • Rollen und Verantwortungen
  • Verpflichtung zur Einhaltung gesetzlicher Anforderungen (DSGVO, BSIG, NIS2)
  • Verbesserungsverpflichtung (PDCA)

Umfang: 3-6 Seiten, alle 2-3 Jahre überprüft.

6. Geltungsbereich (Scope)

Klare Festlegung: Welche Organisationseinheiten, Standorte, Prozesse, Systeme sind vom ISMS erfasst? Häufiger Fehler: zu weiter Scope beim Start. Empfehlung: Pilotbereich, dann sukzessive Erweiterung.

7. PDCA-Zyklus

Phase Aktivitäten
Plan Sicherheitskonzept, Maßnahmenplan
Do Implementierung der Maßnahmen
Check Audits, Penetrationstests, KPI-Monitoring
Act Verbesserungsmaßnahmen, Managementreview

Mindestens jährlich vollständig durchlaufen.

8. Dokumentationsanforderungen

Pflichtdokumente nach 200-1:

  • Sicherheitsleitlinie
  • Sicherheitsorganisation (Rollenbeschreibungen)
  • Sicherheitskonzept
  • Risikoregister
  • Maßnahmenpläne
  • Auditberichte
  • Managementreview-Protokolle

Alle Dokumente versioniert, freigegeben, nachvollziehbar.

9. 200-1 und ISO 27001

200-1 implementiert sinngemäß ISO-27001-Klauseln 4-10. Unterschiede:

Aspekt BSI 200-1 ISO 27001
Sprache Deutsch Englisch (offizielle Übersetzung)
Umfang ~50 Seiten ~30 Seiten Klauseln + Annex A
Ergänzung Bausteinkatalog (200-2) Annex A Controls
Zertifizierung über IT-Grundschutz-Audit direkt nach ISO 27001

Eine ISO-27001-Zertifizierung auf Basis IT-Grundschutz erfüllt beide Standards.

10. 200-1 und DSGVO

Die DSGVO verlangt in Artikel 32 angemessene TOMs. Ein 200-1-konformes ISMS liefert die organisatorische Klammer dafür. Die Aufsichtsbehörden (BfDI, LDA) erkennen ein dokumentiertes ISMS als wesentlichen Compliance-Nachweis an. Siehe DSGVO Artikel 32 und BfDI.

11. 200-1 und NIS2

NIS2 verpflichtet betreiber zu einem ISMS. Ein 200-1-basiertes ISMS erfüllt diese Anforderung und ist BSI-anerkannt — beste Ausgangslage für NIS2-Audits. Siehe NIS2 Deutschland.

12. Tool-Unterstützung

Legiscope bildet ISMS-Dokumente, Risiken, Maßnahmen und KPIs ab — auditfähig nach 200-1 und mit DSGVO-Schnittstelle.

Fazit

200-1 ist das Skelett, ohne das die operativen Standards 200-2/3/4 wirkungslos bleiben. Wer ISMS will, fängt hier an — alles andere ist Aktionismus.

FAQ

Wie lange dauert der Aufbau eines ISMS nach 200-1?

Für mittelständische Unternehmen typisch 6-12 Monate bis erste Reife, 18-24 Monate bis Audit-/Zertifizierungsreife.

Wer kann ISB sein?

Person mit IT- und Organisationskenntnissen, idealerweise IT-Grundschutz-Praktiker-Zertifizierung. Häufig IT-Leiter, CISO oder benannte Stabsstelle. Bei kleineren Organisationen oft mit DSB kombinierbar.

Welche Investition ist nötig?

Externe Beratung 30-100k Euro für Aufbau, intern 0,5-1,5 Personenjahre ISB-Kapazität, Tooling 5-30k Euro jährlich.

Reicht 200-1 ohne 200-2?

Nein. 200-1 ist Rahmen, 200-2 die Methodik zur Befüllung. Ohne 200-2 fehlt die operative Substanz.

Welche Vorteile bietet 200-1 gegenüber ISO 27001 direkt?

Konkretere Anforderungen, deutschsprachig, kostenlos, BSI-anerkannt für Behörden und KRITIS. ISO 27001 ist international anerkannter und flexibler.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →