Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zentrale Behörde für die Informationssicherheit in Deutschland. Das BSI bietet verschiedene Standards, Zertifizierungen und Empfehlungen an, um die Informationssicherheit in Behörden, Unternehmen und Institutionen zu verbessern. Eines der wichtigsten Angebote des BSI ist der IT-Grundschutz.

Der IT-Grundschutz ist eine Methode, um ein Managementsystem für Informationssicherheit (ISMS) aufzubauen und zu betreiben. Ein ISMS ist ein systematischer Ansatz, um die Sicherheit von Daten, Systemen und Informationen zu gewährleisten. Der IT-Grundschutz liefert hierfür ein solides fachliches Fundament und ein umfangreiches Arbeitswerkzeug. Er berücksichtigt dabei sowohl technische als auch organisatorische, personelle und infrastrukturelle Aspekte der Informationssicherheit.

Der IT-Grundschutz besteht aus mehreren Komponenten, die zusammen ein umfassendes Konzept für die Informationssicherheit bilden. Die wichtigsten Komponenten sind:

• Die BSI-Standards, die die allgemeinen Vorgehensweisen und Anforderungen für ein ISMS beschreiben. Die BSI-Standards sind an die internationalen Normen ISO/IEC 27001 und ISO/IEC 27002 angelehnt, aber speziell auf die Bedürfnisse des deutschen Marktes zugeschnitten.
• Das IT-Grundschutz-Kompendium, das die konkreten Maßnahmen zur Umsetzung eines ISMS enthält. Das IT-Grundschutz-Kompendium ist in sogenannte IT-Grundschutz-Bausteine gegliedert, die jeweils ein bestimmtes Thema oder eine bestimmte Anwendung der Informationssicherheit behandeln. Die IT-Grundschutz-Bausteine enthalten Anforderungen, Empfehlungen und Beispiele für die praktische Umsetzung der Informationssicherheit.
• Die IT-Grundschutz-Profile, die eine Auswahl von IT-Grundschutz-Bausteinen für bestimmte Branchen oder Szenarien darstellen. Die IT-Grundschutz-Profile erleichtern den Einstieg in den IT-Grundschutz, indem sie eine vorgefertigte Basis-Absicherung für typische Anwendungsfälle bieten.
• Die IT-Grundschutz-Kataloge, die ergänzende Informationen und Hilfsmittel für den IT-Grundschutz bereitstellen. Die IT-Grundschutz-Kataloge umfassen unter anderem Gefährdungskataloge, Maßnahmenkataloge, Schutzbedarfskataloge und Prüfkataloge.

Der IT-Grundschutz richtet sich an unterschiedliche Anwendergruppen, die sich mit der Informationssicherheit befassen wollen. Dazu gehören sowohl Einsteiger als auch Profis, sowohl im behördlichen als auch im Unternehmensumfeld. Der IT-Grundschutz ist besonders geeignet für kleine und mittlere Unternehmen (KMU), die einen eigenständigen IT-Betrieb haben. Für kleine und Kleinstunternehmen (KKU) ist der Aufbau und Betrieb eines vollwertigen ISMS nach IT-Grundschutz in der Regel nicht geeignet.

Der IT-Grundschutz hilft dabei, das Niveau der Informationssicherheit in einer Institution anzuheben und aufrechtzuerhalten. Er ist der bewährte Standard zum Aufbau eines ISMS in Deutschland. Mit einem ISO 27001-Zertifikat auf der Basis des IT-Grundschutzes kann eine Institution belegen, dass die umgesetzten Maßnahmen zur Informationssicherheit anerkannten internationalen Standards entsprechen und dadurch zusätzliches Vertrauen bei Kunden und Partnern schaffen.

Informationssicherheit ist die Voraussetzung für eine erfolgreiche Digitalisierung. Der IT-Grundschutz ist der bewährte Begleiter für diesen Prozess. Weitere Informationen finden Sie auf der Website des BSI mit dem Link unten.