Securance logo

IT-Grundschutz-Einstieg für KRITIS-Betreiber: Was wirklich zählt und womit Sie anfangen

  • Advisory
  • Assurance

Auf einen Blick: IT-Grundschutz-Einstieg für KRITIS-Betreiber

Was ist IT-Grundschutz? Ein BSI-Standard zur systematischen IT-Sicherheit, bestehend aus BSI-Standards 200-1 bis 200-4 und dem IT-Grundschutz-Kompendium mit über 110 Bausteinen. 

Welche Einstiegsstufe empfiehlt sich? Die Basis-Absicherung: fokussiert, schnell umsetzbar, in 3 bis 6 Monaten realisierbar, ohne vollständige Asset-Inventarisierung. 

Warum jetzt? Das NIS2-Umsetzungsgesetz gilt seit Dezember 2025. Erste Nachweise beim BSI sind ab 2027 einzureichen. 

Wie zahlt IT-Grundschutz auf NIS2 ein? Das BSI hat IT-Grundschutz-Bausteine explizit auf die Pflichtbereiche nach Art. 21 NIS2 gemappt. Konforme Umsetzung gilt als Nachweis. 

Wo anfangen? Scope abgrenzen, Strukturanalyse durchführen, Basis-Anforderungen prüfen, kritische Lücken schließen. Vollständigkeit ist kein Ziel der ersten Phase. 

IT-Sicherheit und Compliance | KRITIS | NIS2 | IT-Grundschutz

IT-Grundschutz für Einsteiger

Wer zum ersten Mal das BSI-IT-Grundschutz-Kompendium aufschlägt, dem geht es meistens so: Man sieht über 110 Bausteine, vier methodische Standards, drei Absicherungsstufen und denkt sich still, dass das so niemand wirklich umsetzt. Oder zumindest nicht in einem Stadtwerk mit einer zwölfköpfigen IT-Abteilung und einer halben Stelle für Informationssicherheit. 

Die gute Nachricht: Das stimmt auch gar nicht. IT-Grundschutz ist kein Monolith, den man in einem Stück einführen muss. Er ist ein Werkzeugkasten, und der Trick liegt darin, zu wissen, womit man anfängt. 

Dieser Artikel richtet sich an IT-Sicherheitsbeauftragte, CISOs und alle, die in ihrer Organisation jetzt mit der NIS2-Umsetzung unter Zugzwang stehen: keine Zeit für Grundsatzdiskussionen, begrenztes internes Know-how, eine Meldepflicht, die seit Dezember 2025 gilt, und ein BSI, das ab 2027 die ersten Nachweise einfordern wird. Was brauchen Sie wirklich, um in diesem Zeitfenster eine belastbare Grundlage zu schaffen? 

  

Was IT-Grundschutz konkret bedeutet 

IT-Grundschutz ist der vom BSI entwickelte Standard zur systematischen Absicherung von Informationssystemen und IT-Betrieb. Er besteht aus zwei Kernteilen: den vier BSI-Standards 200-1 bis 200-4, die die Methodik und den ISMS-Rahmen beschreiben, und dem IT-Grundschutz-Kompendium (aktuelle Version: Edition 2023, Nachfolger IT-Grundschutz++ ab 2026), einer Sammlung von über 110 Bausteinen mit konkreten Sicherheitsanforderungen für typische IT-Komponenten und Prozesse. 

Die Bausteine sind nach Schichten geordnet, die verschiedene Bereiche der IT-Sicherheit abdecken. Jeder Baustein enthält Basis-, Standard- und erhöhte Anforderungen. Keine Organisation muss alle davon umsetzen. Welche relevant sind, hängt vom sogenannten Informationsverbund ab, also dem abgegrenzten Bereich aus Systemen, Prozessen und Verantwortlichkeiten, auf den sich das Sicherheitskonzept bezieht. 

Was IT-Grundschutz nicht ist: keine reine Zertifizierungsübung für den Aktenordner, kein Selbstzweck, und vor allem kein System, das erst dann Wert hat, wenn alles vollständig umgesetzt ist. Schon eine gut dokumentierte Teilumsetzung ist ein auditfähiger Zustand, sofern sie methodisch korrekt begleitet wird. 

Was IT-Grundschutz konkret bedeutet 

IT-Grundschutz ist der vom BSI entwickelte Standard zur systematischen Absicherung von Informationssystemen und IT-Betrieb. Er besteht aus zwei Kernteilen: den vier BSI-Standards 200-1 bis 200-4, die die Methodik und den ISMS-Rahmen beschreiben, und dem IT-Grundschutz-Kompendium (aktuelle Version: Edition 2023, Nachfolger IT-Grundschutz++ ab 2026), einer Sammlung von über 110 Bausteinen mit konkreten Sicherheitsanforderungen für typische IT-Komponenten und Prozesse. 

Die Bausteine sind nach Schichten geordnet, die verschiedene Bereiche der IT-Sicherheit abdecken. Jeder Baustein enthält Basis-, Standard- und erhöhte Anforderungen. Keine Organisation muss alle davon umsetzen. Welche relevant sind, hängt vom sogenannten Informationsverbund ab, also dem abgegrenzten Bereich aus Systemen, Prozessen und Verantwortlichkeiten, auf den sich das Sicherheitskonzept bezieht. 

Was IT-Grundschutz nicht ist: keine reine Zertifizierungsübung für den Aktenordner, kein Selbstzweck, und vor allem kein System, das erst dann Wert hat, wenn alles vollständig umgesetzt ist. Schon eine gut dokumentierte Teilumsetzung ist ein auditfähiger Zustand, sofern sie methodisch korrekt begleitet wird. 

Securance - IT-Grundschutz-Einstieg für KRITIS-Betreiber

Warum Basis-Absicherung der richtige Einstieg ist

Das BSI unterscheidet drei Vorgehensweisen: Basis-Absicherung, Standard-Absicherung und Kern-Absicherung. Viele Organisationen machen den Fehler, direkt mit der Standard-Absicherung anzusetzen, weil diese vollständiger klingt und offiziell Voraussetzung für eine ISO-27001-Zertifizierung auf Basis IT-Grundschutz ist. Das Problem: Die Standard-Absicherung verlangt eine vollständige Strukturanalyse, Schutzbedarfsfeststellung, Gap-Analyse und Risikobehandlung für den gesamten Informationsverbund. Das dauert selbst für mittelgroße Betriebe neun bis fünfzehn Monate. 

Die Basis-Absicherung setzt an einem anderen Punkt an. Sie fokussiert auf einen überschaubaren, priorisierten Satz von Anforderungen, die für den Großteil typischer IT-Umgebungen gelten, ohne eine vollständige Inventarisierung aller Assets vorauszusetzen. Ziel ist nicht Perfektion, sondern ein nachweisbares Mindestsicherheitsniveau. Das BSI hat bestätigt, dass ein auf Basis-Absicherung aufgebautes Sicherheitskonzept als Grundlage für die Nachweisführung nach NIS2 geeignet ist. Für einen mittelgroßen KRITIS-Betreiber ist das in drei bis sechs Monaten erreichbar. 

Die Kern-Absicherung, die dritte Variante, fokussiert auf besonders schützenswerte Kronjuwelen einer Organisation und ist für Betriebe sinnvoll, die bereits einen klaren Überblick über ihre kritischen Prozesse haben. Für den Einstieg ist sie weniger geeignet, weil sie eine Asset-Klarheit voraussetzt, die in den meisten Organisationen erst im Laufe des Prozesses entsteht. 

Vergleich der drei IT Grundschutz Vorgehensweisen

Die drei häufigsten Fehler beim IT-Grundschutz-Start

In der Praxis scheitern IT-Grundschutz-Vorhaben selten an fehlendem Willen. Sie scheitern an drei vermeidbaren Anfangsfehlern. 

Fehler 1: Scope zu groß 

Viele Organisationen versuchen beim ersten Anlauf den gesamten IT-Betrieb in den Informationsverbund aufzunehmen: alle Standorte, alle Anwendungen, alle Dienstleister. Das Ergebnis ist ein Projekt, das nach sechs Monaten noch in der Strukturanalyse steckt und nie in die Umsetzung kommt. Der sinnvollere Ansatz: mit einem klar abgegrenzten Pilotbereich beginnen, der repräsentativ für den Kern des Betriebs ist, sei es die Leitstelle eines Stadtwerks, die Patientenverwaltung eines Krankenhauses oder die zentrale IT-Infrastruktur einer Bundesbehörde. Erweiterungen kommen im zweiten Schritt. 

Fehler 2: Fehlende Strukturanalyse 

Ohne eine belastbare Übersicht über die eigenen IT-Systeme, Anwendungen und Geschäftsprozesse lässt sich kein Grundschutz sauber aufbauen. Trotzdem überspringen viele Teams diesen Schritt oder behelfen sich mit einer unvollständigen Liste. Die Folge: Bausteine werden auf das Falsche angewendet, relevante Systeme werden übersehen. Eine einfache, aber vollständige Strukturanalyse ist kein bürokratisches Pflichtprogramm, sondern die Voraussetzung dafür, dass alle folgenden Maßnahmen an der richtigen Stelle wirken. 

Fehler 3: Dokumentation vor Umsetzung 

Der klassische Rückzugsort der überforderten Organisation: Man erstellt umfangreiche Sicherheitsrichtlinien, Notfall Handbücher und Konzeptpapiere, während die Systeme weiter ohne Patchmanagement und ohne Segmentierung laufen. Dokumentation hat ihren Platz, aber sie schützt nicht vor Angriffen. Gelebte technische Maßnahmen, auch wenn sie noch nicht vollständig dokumentiert sind, haben in der ersten Umsetzungsphase Vorrang. 

Wie IT-Grundschutz auf NIS2 Artikel 21 einzahlt 

NIS2 Artikel 21 definiert zehn Pflichtbereiche für Cybersicherheitsmaßnahmen: von Risikoanalyse und Incident Response über Business Continuity bis hin zu Lieferkettensicherheit und Zugriffskontrollen. Das BSI hat die eigenen Grundschutz-Bausteine explizit auf diese zehn Bereiche gemappt, nicht als abstrakte Entsprechung, sondern mit konkreten Querverweisen. 

Das bedeutet praktisch: Wer die relevanten Grundschutz-Bausteine ordentlich umsetzt und dokumentiert, kann gegenüber dem BSI nachweisen, dass die NIS2-Anforderungen erfüllt sind. Da das BSI gleichzeitig Herausgeber des IT-Grundschutzes und nationale Aufsichtsbehörde für NIS2 in Deutschland ist, hat Grundschutz-konforme Dokumentation in der Prüfpraxis ein natürliches Gewicht. 

Mapping IT Grundschutz zu NIS2 Art 21

Wichtig: Das Mapping ist kein Freifahrtschein. Für einige NIS2-Bereiche, insbesondere die formalen Meldepflichten nach Artikel 23 und die Schulungspflicht der Geschäftsleitung, liefert IT-Grundschutz keine vollständige Abdeckung. Diese Lücken sind überschaubar, aber sie müssen separat adressiert werden. 

Fazit 

IT-Grundschutz ist kein Projekt für Organisationen, die bereits alles im Griff haben. Er ist ein methodischer Rahmen, der auch unter realen Bedingungen (mit begrenzten Ressourcen, unvollständiger Dokumentation und wachsendem Regulierungsdruck) zu einem belastbaren Ergebnis führt. Der Schlüssel liegt nicht darin, vollständig zu beginnen, sondern methodisch. 

Wer jetzt mit der Basis-Absicherung startet, schafft bis Mitte 2027 nicht nur eine NIS2-konforme Nachweisgrundlage. Er legt auch das Fundament für eine schrittweise Professionalisierung der IT-Sicherheit, die längerfristig trägt. 

 

Nächster Schritt:

Kostenloses Orientierungsgespräch mit Securance-iAP 

Sie möchten wissen, wo Ihre Organisation heute steht und was ein sinnvoller erster Schritt wäre? Wir bieten ein kostenloses, unverbindliches Erstgespräch an: keine Checklisten, keine Vorwürfe, nur eine ehrliche Einschätzung Ihrer Ausgangslage und konkrete Empfehlungen für die nächsten 90 Tage. 

Verwandte Beiträge