In einem Satz. Der BSI-Standard 200-2 beschreibt die operative IT-Grundschutz-Methodik in sieben Phasen — von der Initiierung des Sicherheitsprozesses über Strukturanalyse, Schutzbedarfsfeststellung, Modellierung mit dem IT-Grundschutz-Kompendium, IT-Grundschutz-Check und ggf. ergänzende Risikoanalyse nach 200-3 bis zur Aufrechterhaltung — und ist damit das zentrale Vorgehensmodell für jede ISO-27001-Zertifizierung auf Basis IT-Grundschutz.
200-2 ist der “Werkzeugkasten”, 200-1 der ISMS-Rahmen, 200-3 die vertiefte Risikoanalyse, 200-4 das BCMS. Wer einmal eine Standard-Absicherung sauber nach 200-2 durchgezogen hat, hat 70% der Arbeit für DSGVO Artikel 32 erledigt. Siehe übergreifend BSI-Grundschutz-Methodik.
Wichtige Punkte
- BSI 200-2 ersetzt seit 2017 den alten Standard 100-2; aktuelle Version 1.0.
- Drei Absicherungsstufen: Basis, Standard, Kern.
- Sieben Methodikschritte von Initiierung bis Aufrechterhaltung.
- Schutzbedarf “hoch”/“sehr hoch” löst zwingend Risikoanalyse nach 200-3 aus.
- Modellierung greift auf über 100 Bausteine des IT-Grundschutz-Kompendiums (Edition 2023) zurück.
1. Initiierung des Sicherheitsprozesses
Verankerung in der Leitungsebene. Sicherheitsleitlinie, Rollen (ISB, Sicherheitsbeauftragte), Geltungsbereich (Informationsverbund). Ohne formales Commitment der Geschäftsführung scheitert jedes Grundschutz-Projekt — das ist Erfahrung aus jedem zweiten BSI-Auditbericht.
2. Wahl der Vorgehensweise
| Vorgehensweise | Aufwand | Reifegrad | Typischer Anwender |
|---|---|---|---|
| Basis-Absicherung | Niedrig (3-6 Monate) | Mindestschutz | KMU, Pilotbereiche |
| Standard-Absicherung | Hoch (9-18 Monate) | Vollständig | ISO-27001-Kandidaten |
| Kern-Absicherung | Mittel | Fokussiert | Hochrisiko-Werte |
Für die ISO-27001-Zertifizierung ist Standard-Absicherung zwingend.
3. Strukturanalyse
Erfassung aller Komponenten des Informationsverbunds: Geschäftsprozesse, Anwendungen, IT-Systeme, virtuelle Systeme, Räume, Kommunikationsverbindungen. Gruppierung gleichartiger Objekte zur Komplexitätsreduktion (z.B. alle Mitarbeiter-Laptops als ein Objekt).
4. Schutzbedarfsfeststellung
Bewertung pro Grundwert (Vertraulichkeit, Integrität, Verfügbarkeit) in drei Stufen: normal, hoch, sehr hoch. Vererbung des Schutzbedarfs vom Geschäftsprozess auf abhängige IT-Systeme nach Maximumprinzip, ggf. mit Kumulations- oder Verteilungseffekt.
5. Modellierung
Zuordnung passender Bausteine aus dem IT-Grundschutz-Kompendium an jedes Objekt. Das Kompendium gliedert in 10 Schichten: ISMS, ORP, CON, OPS, DER, APP, SYS, IND, NET, INF. Jeder Baustein enthält Basis-, Standard- und ggf. erhöhte Anforderungen.
6. IT-Grundschutz-Check
Soll-Ist-Vergleich pro Anforderung mit vier Status: entbehrlich, ja, teilweise, nein. Ergebnis: Defizitliste mit Maßnahmenplan. Realistisch: Erst-Check zeigt 40-60% offene Anforderungen — selbst bei mittlerer IT-Reife.
7. Ergänzende Sicherheitsanalyse (200-3)
Pflicht bei: Schutzbedarf “hoch”/“sehr hoch”, atypischen Komponenten ohne passenden Baustein, hohem Risiko trotz Standardabsicherung. Methodik: Gefährdungsübersicht → Risikoeinstufung → Risikobehandlung. Siehe DSGVO Artikel 32 Sicherheit.
8. Konsolidierung und Umsetzungsplan
Maßnahmen priorisieren nach Risiko, Aufwand und Abhängigkeiten. Realisierungsplan mit Verantwortlichen, Terminen, Budgets. Sicherheitskonzept als zentrales Dokument für Audit und Aufsicht.
9. Aufrechterhaltung und Verbesserung
PDCA-Zyklus: regelmäßige Überprüfung, Aktualisierung bei Änderungen, Managementreview. Mindestens jährliche Überarbeitung des Sicherheitskonzepts. Bei ISO-27001-Zertifizierung: Überwachungsaudits jährlich, Re-Zertifizierung alle drei Jahre.
10. Typische Stolperfallen
- Zu großer Geltungsbereich beim Erstprojekt — besser Pilot wählen.
- Schutzbedarf zu hoch ansetzen → unnötige Risikoanalysen.
- IT-Grundschutz-Check als reine Formalie behandeln statt als Lerngelegenheit.
- Dokumentation fehlt oder veraltet → Audit-K.O.
11. Tool-Unterstützung
Legiscope bildet 200-2-Bausteine als Maßnahmenkatalog ab und verknüpft sie automatisch mit DSGVO-Pflichten aus Artikel 32 — inklusive Schutzbedarfsmatrix und Defizit-Tracking.
Fazit
BSI 200-2 ist sperrig, aber der einzige in Deutschland behördlich anerkannte Pfad zu strukturierter Informationssicherheit. Wer ihn diszipliniert geht, hat sowohl Aufsichtsbehörden als auch Auditoren auf seiner Seite.
FAQ
Wie lange dauert eine Standard-Absicherung nach 200-2?
Typisch 9-18 Monate für mittelständische Unternehmen mit 100-500 Mitarbeitern, abhängig von IT-Reife und Geltungsbereich.
Muss jedes Unternehmen alle 100+ Bausteine modellieren?
Nein. Nur relevante Bausteine je nach Informationsverbund. Typischer Mittelstand kommt mit 30-50 Bausteinen aus.
Was kostet eine 200-2-Implementierung?
Externe Beratung 50-200k Euro, interne Aufwände 1-3 Personenjahre. Zertifizierungskosten zusätzlich 15-40k Euro je nach Größe.
Welcher Unterschied zu reiner ISO 27001?
ISO 27001 ist generisch, IT-Grundschutz liefert konkrete Bausteine mit detaillierten Anforderungen — höherer Reifegrad-Nachweis, aber mehr Aufwand.
Wo finde ich das aktuelle IT-Grundschutz-Kompendium?
Kostenfrei auf der BSI-Website unter bsi.bund.de in der Edition 2023. PDF und HTML-Version verfügbar.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial