Cybersecurity

BSI IT-Grundschutz: Methodik und Standards 200-2/3/4

BSI IT-Grundschutz-Methodik 2026: Standards 200-1, 200-2, 200-3, 200-4 erklärt — Schutzbedarfsfeststellung, Risikoanalyse, Zertifizierung nach ISO 27001.

TD
Dr. Thiébaut Devergranne
23. Mai 20264 min read

In einem Satz. BSI IT-Grundschutz ist die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Methodik, die in den Standards 200-1 (ISMS), 200-2 (Vorgehensweise), 200-3 (Risikoanalyse) und 200-4 (BCMS) sowie dem IT-Grundschutz-Kompendium (über 100 Bausteine) Informationssicherheit von der Strukturanalyse bis zur ISO-27001-Zertifizierung systematisiert.

IT-Grundschutz ist das deutsche Pendant zu ANSSI’s PSSI in Frankreich, aber stärker formalisiert und mit eigener Zertifizierung. Für DSGVO Artikel 32 ist IT-Grundschutz der etablierte Goldstandard zum Nachweis “geeigneter technischer und organisatorischer Maßnahmen” — insbesondere die Bausteine SYS, NET, APP und DER.

Für die Verfügbarkeitsdimension siehe Business Continuity Plan DSGVO BSI. Für DSGVO-Sicherheit insgesamt DSGVO Artikel 32 Sicherheit.

Wichtige Punkte

  • BSI-Standards 200-1/2/3/4 lösten die 100er-Serie seit 2017 ab; alle aktuellen Versionen.
  • IT-Grundschutz-Kompendium (Edition 2023) enthält über 100 Bausteine in 10 Schichten.
  • Drei Vorgehensweisen: Basis-Absicherung, Standard-Absicherung, Kern-Absicherung.
  • ISO-27001-Zertifizierung auf Basis von IT-Grundschutz ist BSI-akkreditiert.
  • Für Bundesbehörden und KRITIS-Betreiber faktisch verbindlich.

1. Die vier BSI-Standards im Überblick

Standard Titel Funktion
200-1 Managementsystem für Informationssicherheit (ISMS) Rahmenkonzept, Rollen, Leitlinien
200-2 IT-Grundschutz-Methodik Strukturanalyse, Schutzbedarf, Modellierung
200-3 Risikoanalyse auf Basis IT-Grundschutz Bedrohungen, Schwachstellen, Risiken
200-4 Business Continuity Management BCMS, BCP, Wiederanlauf

Diese Standards ergänzen sich; eine vollständige Implementierung nutzt alle vier.

2. Die drei Vorgehensweisen

Basis-Absicherung — Einstiegsniveau, nur Basis-Bausteine. Geeignet für KMU, schnell umsetzbar.

Standard-Absicherung — Vollständige Modellierung, alle relevanten Bausteine. Pfad zur ISO-27001-Zertifizierung.

Kern-Absicherung — Fokus auf “Kronjuwelen”, besonders schutzwürdige Werte. Für gezielte Risikobetrachtung.

3. Strukturanalyse (Schritt 1)

Erfassung des Informationsverbunds:

  • Geschäftsprozesse und unterstützende IT
  • Anwendungen (eigen + eingekauft)
  • IT-Systeme (Server, Endgeräte, Netze)
  • Räume (Serverraum, Büro, Rechenzentrum)
  • Kommunikationsverbindungen intern/extern

Ergebnis: Ein dokumentierter Informationsverbund mit Abhängigkeiten.

4. Schutzbedarfsfeststellung (Schritt 2)

Für jeden Wert wird der Schutzbedarf in drei Kategorien bewertet:

Kategorie Vertraulichkeit Integrität Verfügbarkeit
Normal Standardanforderung Standardanforderung Standardanforderung
Hoch Schaden begrenzbar Beträchtlich Mehrtägige Ausfälle problematisch
Sehr hoch Existenzbedrohend Existenzbedrohend Stundenausfälle existenzbedrohend

Bei “hoch” und “sehr hoch” wird zwingend eine Risikoanalyse nach 200-3 ergänzt.

5. Modellierung mit dem IT-Grundschutz-Kompendium

Das Kompendium gliedert Bausteine in 10 Schichten:

  • ISMS, ORP (Organisation/Personal), CON (Konzepte), OPS (Betrieb)
  • DER (Detektion/Reaktion), APP (Anwendungen), SYS (IT-Systeme)
  • IND (Industrielle IT), NET (Netze), INF (Infrastruktur)

Jeder Baustein enthält Basis-, Standard- und erhöhte Anforderungen. Beispiele: SYS.1.1 (Allg. Server), APP.5.3 (Webanwendungen), CON.1 (Kryptokonzept).

6. IT-Grundschutz-Check

Soll-Ist-Vergleich: Welche Anforderungen sind bereits umgesetzt? Vier Status:

  • Entbehrlich — Begründung warum nicht relevant
  • Ja — vollständig umgesetzt
  • Teilweise — partiell, mit Maßnahmenplan
  • Nein — nicht umgesetzt, mit Maßnahmenplan

Output: Eine Defizitliste mit Priorisierung.

7. Risikoanalyse nach BSI 200-3

Bei hohem/sehr hohem Schutzbedarf oder atypischen Komponenten:

  1. Gefährdungsübersicht — relevante Bedrohungen
  2. Risikoeinstufung — Eintrittswahrscheinlichkeit x Schadenshöhe
  3. Risikobehandlung — Vermeiden, Reduzieren, Transferieren, Akzeptieren
  4. Konsolidierung des Sicherheitskonzepts

8. ISO-27001-Zertifizierung auf Basis IT-Grundschutz

BSI ist akkreditierte Zertifizierungsstelle. Vorteile gegenüber “reiner” ISO 27001:

  • Konkretere Maßnahmenkataloge (das Kompendium)
  • Höherer Reifegrad-Nachweis
  • Anerkennung bei Bundesbehörden und KRITIS-Audits

Auditzyklus: 3 Jahre, mit jährlichen Überwachungsaudits.

9. IT-Grundschutz und DSGVO Artikel 32

Artikel 32 fordert “geeignete TOMs unter Berücksichtigung des Stands der Technik”. BSI IT-Grundschutz erfüllt diese Anforderung wenn sauber implementiert. Zuordnung:

DSGVO Anforderung IT-Grundschutz-Antwort
Pseudonymisierung/Verschlüsselung CON.1 Kryptokonzept
Verfügbarkeit BSI 200-4 BCMS
Belastbarkeit OPS.1.2.4 Notfallmanagement
Regelmäßige Überprüfung DER.1, OPS.1.1.4

10. Praktische Umsetzungs-Reihenfolge

Empfehlung BSI für Neueinstieg:

  1. Geltungsbereich festlegen (ein Geschäftsprozess als Pilot)
  2. Basis-Absicherung in 6-9 Monaten
  3. Ausweitung auf Standard-Absicherung
  4. Externe Zertifizierungsvorbereitung 12-18 Monate
  5. Audit

11. Werkzeuge

Legiscope integriert IT-Grundschutz-Bausteine als Maßnahmenkatalog in die TOM-Dokumentation und gleicht sie mit DSGVO Artikel 32-Pflichten ab.

Weitere DE-Leitfäden: DSGVO Artikel 32 Sicherheit, Business Continuity Plan DSGVO BSI, NIS2 Umsetzung Deutschland.

Fazit

IT-Grundschutz wirkt zunächst überdimensioniert für Mittelstand-Verhältnisse — bietet aber als einziges deutsches Framework eine vollständig dokumentierte, behördlich anerkannte Methodik. Die Investition zahlt sich bei Aufsichtskontrollen und ISO-27001-Zertifizierung aus.

FAQ

Ist BSI IT-Grundschutz für privatwirtschaftliche Unternehmen Pflicht?

Nein, aber für KRITIS-Betreiber und Bundesbehörden faktisch verbindlich. Für andere ein anerkannter “Stand der Technik”-Nachweis im Sinne von DSGVO Artikel 32.

Wie lange dauert eine ISO-27001-Zertifizierung auf Basis IT-Grundschutz?

Für ein mittelständisches Unternehmen typischerweise 12-24 Monate von Kick-off bis Erstzertifizierung, abhängig vom Reifegrad.

Was ist der Unterschied zwischen Basis- und Standard-Absicherung?

Basis-Absicherung umfasst nur Basis-Anforderungen (Mindestschutz). Standard-Absicherung deckt alle Standard- und ggf. erhöhte Anforderungen ab — Voraussetzung für ISO-27001-Zertifizierung.

Welche Versionen der BSI-Standards sind aktuell?

200-1 (Version 2.0), 200-2 (Version 1.0), 200-3 (Version 1.0), 200-4 (Version 1.0, 2023). IT-Grundschutz-Kompendium: Edition 2023.

Kann man IT-Grundschutz selbst umsetzen oder braucht es einen Auditor?

Implementierung intern möglich, Zertifizierung nur durch BSI-akkreditierten Auditor. Viele Unternehmen ziehen für die Erstaufstellung externe Beratung hinzu.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →