> ./exec Infosec.sh — ARTICLE
BSI-Grundschutz für Mittelstand: Was wirklich Pflicht ist
ClaraClara, Documentation Lead
Viele Mittelstandsunternehmen bekommen dasselbe Angebot: eine vollständige BSI-Grundschutz-Zertifizierung, 80 Bausteine, ISO-27001-Alignment. Preis: auf Anfrage. Laufzeit: 18 Monate. Das ist nicht falsch, aber für ein Unternehmen mit 80 Mitarbeitern und einem IT-Team von zwei Personen ist es schlicht das falsche Dokument zur falschen Zeit.
Dieser Artikel beantwortet eine konkrete Frage: Was ist beim BSI-IT-Grundschutz gesetzlich vorgeschrieben, was ist Best Practice, und was können Sie verschieben?
Was BSI-Grundschutz ist und was nicht
Das BSI IT-Grundschutz-Kompendium in der Edition 2023 umfasst 111 Bausteine und ist kein Gesetz. Es ist ein Rahmenwerk des Bundesamts für Sicherheit in der Informationstechnik zur systematischen Absicherung von Informationsverbünden.[1] Es gibt drei Methoden, das Rahmenwerk anzuwenden:
- Basis-Absicherung: Einstiegsniveau, rund 47 Kernmaßnahmen, geeignet für Unternehmen ohne formales ISMS.
- Standard-Absicherung: Vollständige Methodik, alle relevanten Bausteine, Voraussetzung für eine ISO-27001-Zertifizierung auf Basis von IT-Grundschutz.
- Kern-Absicherung: Fokus auf besonders kritische Assets statt auf den gesamten Informationsverbund.[2]
Keine dieser drei Stufen ist für Mittelstandsunternehmen automatisch gesetzlich bindend. Aber das ändert sich.
Wer jetzt handeln muss: NIS2 und BSIG
Seit der Verabschiedung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) gilt für eine deutlich größere Unternehmensgruppe eine gesetzliche Pflicht zu "angemessenen technischen und organisatorischen Maßnahmen". Das Gesetz nennt kein Framework beim Namen, schreibt aber den "Stand der Technik" als verbindlichen Maßstab vor.[3]
In der Praxis läuft das auf folgendes hinaus: Wer als "wichtige Einrichtung" oder "besonders wichtige Einrichtung" nach NIS2 eingestuft wird, muss nachweisen, dass die getroffenen Maßnahmen dem aktuellen Stand entsprechen. BSI-Grundschutz gilt als anerkannter Nachweis dafür, weil das BSI selbst die Behörde ist, die im Zweifelsfall prüft.
Betroffen sind Unternehmen ab 50 Mitarbeitern oder einem Jahresumsatz von über 10 Millionen Euro in definierten Sektoren, darunter Energie, Transport, Gesundheit, digitale Infrastruktur, Chemie und Maschinenbau. Schätzungsweise 29.000 deutsche Unternehmen fallen neu unter diese Regelung.[3]
Für KRITIS-Betreiber nach § 8a BSIG war die Pflicht zur Umsetzung des Stands der Technik bereits früher gesetzlich verankert. Dort ist BSI-Grundschutz seit Jahren de facto Standard.
Praktische Konsequenz: Wenn Ihr Unternehmen in einen der NIS2-Sektoren fällt und mehr als 50 Mitarbeiter hat, sind Sie nicht verpflichtet, ein BSI-Grundschutz-Zertifikat vorzulegen. Sie sind aber verpflichtet, Maßnahmen zu ergreifen, die einem anerkannten Sicherheitsrahmen entsprechen. Das BSI empfiehlt dafür die Basis-Absicherung als nachgewiesenen Einstieg.[4]
Die drei Pflichtfelder: Was wirklich zuerst kommt
Unabhängig vom formalen Zertifizierungsweg gibt es drei Bereiche, die in jeder BSI Grundschutz Beratung für Mittelstandsunternehmen priorisiert werden sollten.
1. Strukturanalyse und Schutzbedarfsfeststellung
Ohne Strukturanalyse ist jede weitere Maßnahme Rätselraten. Die Strukturanalyse erfasst alle relevanten Geschäftsprozesse, Anwendungen, IT-Systeme, Netzwerke und Räumlichkeiten. Die Schutzbedarfsfeststellung bewertet, welche Konsequenzen ein Ausfall oder eine Kompromittierung hätte.
Viele Mittelstandsunternehmen haben diesen Schritt nie dokumentiert. Sie kennen ihre Systeme, aber nicht ihren Schutzbedarf. Das ist der häufigste Befund in BSI Grundschutz Beratungen für Unternehmen dieser Größenklasse.
Vor der BSI Grundschutz Beratung (typischer Ausgangszustand):
IT-Inventar: Excel-Liste vom letzten Jahr, 40 % veraltet
Kritische Anwendungen: "irgendwie das ERP und die E-Mail"
Schutzbedarfsanalyse: nicht vorhanden
Nach der ersten Beratungsphase:
Informationsverbund: 12 Geschäftsprozesse, 34 Anwendungen, 87 IT-Systeme
Schutzbedarf ERP-System: HOCH (Verfügbarkeit, Vertraulichkeit), NORMAL (Integrität)
Schutzbedarf E-Mail-Server: NORMAL (alle Grundwerte)
Schutzbedarfsfeststellung: vollständig dokumentiert, letzte Aktualisierung: 2026-05-14
Dieser Unterschied ist nicht akademisch. Er ist die Voraussetzung für alles Weitere.[4]
2. Umsetzung der Basis-Maßnahmen
Die Basis-Absicherung des BSI umfasst rund 47 Maßnahmen aus vier zentralen Baustein-Gruppen:
- ISMS (Sicherheitsmanagement): Leitlinie, Verantwortlichkeiten, Überprüfungsprozesse.
- ORP (Organisation und Personal): Sicherheitsrichtlinien, Schulungen, Einarbeitung.
- CON (Konzepte und Vorgehensweisen): Datenschutz, Kryptokonzept, Löschkonzept.
- OPS (Betrieb): Patch-Management, Datensicherung, Protokollierung.
Viele dieser Maßnahmen sind keine technischen Projekte. Sie sind Dokumentationsaufgaben mit technischer Umsetzung. Ein Patch-Management-Konzept kann an einem Nachmittag entstehen. Die Lücke ist meistens nicht die Technik, sondern die fehlende Verschriftlichung des Status quo.
3. Notfallmanagement und Wiederanlaufplanung
Das IT-Grundschutz-Kompendium enthält eigene Bausteine für Business-Continuity-Management (DER 4). Für NIS2-verpflichtete Unternehmen ist Notfallmanagement ausdrücklich als Pflichtbestandteil aufgeführt.[3] Ein minimales Notfallkonzept für den Mittelstand umfasst:
- Wiederanlaufzeiten (RTO) für kritische Systeme.
- Datensicherungskonzept mit regelmäßig geprüften Wiederherstellungstests.
- Kommunikationsplan für den Krisenfall.
Dokumentation als Fundament: Das Diataxis-Prinzip
In BSI-Grundschutz-Projekten scheitern Unternehmen selten an der Technik. Sie scheitern an der Dokumentation, weil Sicherheitsmaßnahmen implementiert werden, aber niemand sechs Monate später nachvollziehen kann, wie, warum und mit welchem Schutzbedarf.
Das Diataxis-Framework (Daniele Procida) unterscheidet vier Dokumentationstypen: Tutorials, How-to-Guides, Reference und Explanation.[5] Auf BSI-Grundschutz angewendet bedeutet das:
- Reference: Das Grundschutz-Kompendium selbst, das Risikoregister, die Strukturanalyse.
- How-to-Guides: Schritt-für-Schritt-Anleitungen für wiederkehrende Aufgaben wie die jährliche Schutzbedarfsaktualisierung oder das Einspielen von Security-Patches.
- Explanation: Warum ist der ERP-Server als HOCH eingestuft? Was sind die konkreten Folgen eines Ausfalls? Ohne diese Erklärungen verlieren Sicherheitsdokumente ihren Kontext, sobald die Person, die sie geschrieben hat, das Unternehmen verlässt.
- Tutorials: Einführung neuer Mitarbeiter in das ISMS, Schulungsmaterialien für Sicherheitsrichtlinien.
Jede Dokumentation ohne ausführbares Beispiel ist eine Dokumentation, die nicht genutzt wird. Für ein Backup-Konzept bedeutet das: kein Konzept ohne nachgewiesenen Restore-Test. Für ein Patch-Management-Konzept: kein Konzept ohne Testprotokoll des letzten Rollouts.
Was Sie verschieben können
Folgende Elemente sind für die meisten Mittelstandsunternehmen kein sofortiger Pflichtbestandteil:
- Vollständige Standard-Absicherung aller 111 Bausteine.
- ISO-27001-Zertifizierung (empfehlenswert, aber kein NIS2-Zwang).
- Kern-Absicherung (relevant erst, wenn kritische Assets klar identifiziert sind).
- Formelle BSI-Grundschutz-Zertifizierung (kein gesetzliches Erfordernis für Nicht-KRITIS).
Diese Punkte sind nicht unnötig. Sie sind der zweite Schritt, nicht der erste.
Der pragmatische Einstieg: Sechs Monate, drei Phasen
Eine realistische BSI Grundschutz Beratung für ein Mittelstandsunternehmen mit 50 bis 250 Mitarbeitern folgt diesem Zeitplan:
Phase 1 (Monat 1 bis 2): Strukturanalyse, Schutzbedarfsfeststellung, Informationsverbund-Dokumentation. Output: vollständiges Asset-Inventar mit Schutzbedarf.
Phase 2 (Monat 3 bis 4): Modellierung nach Basis-Absicherung, IT-Grundschutz-Check, Identifikation der Abweichungen. Output: priorisierte Maßnahmenliste.
Phase 3 (Monat 5 bis 6): Umsetzung der kritischen Lücken, Notfallkonzept, Schulung. Output: dokumentiertes ISMS auf Basis-Absicherungs-Niveau, NIS2-konform nachweisbar.
Das ist kein Maximalprogramm. Es ist das Minimum, das bei einer Prüfung standhält.
Fazit
BSI-Grundschutz ist für die meisten Mittelstandsunternehmen keine gesetzliche Pflicht im engeren Sinne. Für NIS2-verpflichtete Unternehmen ist es aber der klarste Weg, den "Stand der Technik" nachzuweisen. Wer die Strukturanalyse abgeschlossen, die Basis-Maßnahmen umgesetzt und ein Notfallkonzept dokumentiert hat, ist nicht zertifiziert, aber belastbar aufgestellt.
Der häufigste Fehler ist nicht, zu wenig zu tun. Der häufigste Fehler ist, es ohne Dokumentation zu tun und dann bei der ersten Prüfung nicht nachweisen zu können, was getan wurde.
Wenn Sie wissen möchten, wo Ihr Unternehmen heute steht und was der nächste konkrete Schritt ist, sprechen Sie mit uns über eine initiale BSI Grundschutz Beratung.
Quellen
[1] Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutz-Kompendium Edition 2023. Bonn, 2023. https://www.bsi.bund.de/grundschutz
[2] Bundesamt für Sicherheit in der Informationstechnik: BSI-Standard 200-2, IT-Grundschutz-Methodik, Version 1.0. Bonn, 2017. https://www.bsi.bund.de/grundschutz/bsi-standards/bsi-standard-200-2
[3] Bundesministerium des Innern und für Heimat: NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), Referentenentwurf. Berlin, 2024. https://www.bmi.bund.de/nis2
[4] Bundesamt für Sicherheit in der Informationstechnik: Vorgehensweise nach IT-Grundschutz, Basis-Absicherung. Bonn, 2021. https://www.bsi.bund.de/grundschutz/vorgehensweise/basis-absicherung
[5] Daniele Procida: Diátaxis, A systematic framework for technical documentation. 2021. https://diataxis.fr
Clara
Documentation Lead
Technische Dokumentation, API-Docs, Guides, ADRs, i18n.
Brauchen Sie Hilfe bei Infosec?
Kostenlose Erstberatung, Festpreis nach Audit.
INIT_CONSULTATION() →