BSI IT-Grundschutz: Welche Bausteine für KMU wirklich relevant sind

Key Takeaways

• Der BSI IT-Grundschutz umfasst über 90 Bausteine — für KMU ohne eigenes Security-Team sind etwa 15–20 davon unmittelbar handlungsrelevant.
• Die Kern-Absicherung des BSI ist der pragmatische Einstieg: fokussiert auf kritische Geschäftsprozesse statt vollständige Systemabdeckung.
• Bausteine aus den Bereichen ORP (Organisation), OPS (Betrieb), DER (Detektion/Reaktion) und APP (Anwendungen) decken den größten Risikoreduktionseffekt für KMU ab.
• NIS-2 und DSGVO Art. 32 lassen sich mit einem IT-Grundschutz-Subset effizient adressieren.

---

Was BSI IT-Grundschutz ist — und was nicht

Der BSI IT-Grundschutz ist kein Checklistensystem, das man einmal abarbeitet und dann abhakt. Er ist ein methodisches Rahmenwerk des Bundesamts für Sicherheit in der Informationstechnik, das Organisationen dabei unterstützt, Informationssicherheit strukturiert aufzubauen, zu dokumentieren und kontinuierlich zu verbessern. Das zugehörige Kompendium enthält aktuell über 90 Bausteine, gegliedert in zehn Schichten — von ISMS (Sicherheitsmanagement) über OPS (Betrieb) bis INF (Infrastruktur).

Für ein Unternehmen mit 80 Mitarbeitenden, einem IT-Administrator und ohne dediziertes Security-Team ist das abschreckend. Wer das Kompendium zum ersten Mal öffnet, stößt auf Bausteine für Mainframes, Industriesteuerungen und Hochsicherheitsrechenzentren. Der Eindruck: Das ist nichts für uns.

Dieser Eindruck ist falsch — aber verständlich. Die entscheidende Erkenntnis ist: BSI IT-Grundschutz ist modular und skalierbar. Das BSI selbst bietet mit der Basis-Absicherung und der Kern-Absicherung zwei Einstiegsvarianten an, die explizit für Organisationen konzipiert sind, die keinen Vollausbau anstreben.

---

Die drei Absicherungsvarianten im Überblick

Basis-Absicherung

Geeignet als erster Schritt für Organisationen, die bislang keine strukturierte IT-Sicherheit betreiben. Sie deckt grundlegende Anforderungen quer über alle relevanten Bausteine ab — vergleichbar mit einem hygienischen Mindestniveau. Keine Zertifizierung, aber eine dokumentierte Ausgangsbasis.

Kern-Absicherung

Fokussiert auf den Schutz der geschäftskritischen Assets: die drei bis fünf Prozesse oder Systeme, deren Ausfall den größten Schaden verursachen würde. Ideal für KMU, die mit begrenzten Ressourcen maximale Wirkung erzielen wollen. Hier beginnt die Risikobetrachtung.

Standard-Absicherung

Vollständige Umsetzung aller relevanten Bausteine nach dem Stand der Technik. Grundlage für eine ISO-27001-Zertifizierung auf Basis von IT-Grundschutz. Für die meisten KMU mittel- bis langfristiges Ziel, nicht Einstiegspunkt.

---

Die relevanten Bausteine für KMU — priorisiert nach Wirkung

Die folgende Auswahl basiert auf typischen KMU-Infrastrukturen: Windows-Clients, Microsoft 365, On-Premises-Server oder Hybrid-Setup, kein eigenes SOC. Die Priorisierung orientiert sich daran, wo Angreifer heute tatsächlich ansetzen und wo regulatorischer Druck (NIS-2, DSGVO) am stärksten wirkt.

Schicht ISMS: Das Fundament

ISMS.1 — Sicherheitsmanagement

Ohne diesen Baustein funktioniert keiner der anderen. Er beschreibt, wie eine Organisation Informationssicherheit als Managementaufgabe verankert: Leitlinie, Rollen, Verantwortlichkeiten, Review-Prozesse. Für KMU bedeutet das konkret: Es muss eine schriftliche IT-Sicherheitsleitlinie geben, mindestens eine verantwortliche Person benannt sein, und das Thema muss regelmäßig auf der Geschäftsleitungsebene behandelt werden.

Das klingt formal — ist aber die Grundlage dafür, dass bei einem Incident jemand weiß, was zu tun ist.

Schicht ORP: Organisation und Personal

ORP.2 — Personal

Menschliches Versagen ist nach wie vor der häufigste Einstiegspunkt für Angriffe. ORP.2 regelt, was bei Einstellung, Rollenwechsel und Austritt von Mitarbeitenden passieren muss: Verpflichtung auf Vertraulichkeit, geregelte Rückgabe von Zugangsmitteln, sofortige Deaktivierung von Accounts beim Austritt.

In der Praxis: Ein Unternehmen, das ausscheidende Mitarbeitende nicht innerhalb von 24 Stunden aus allen Systemen entfernt, hat ein ernstes Sicherheitsproblem — unabhängig von jeder technischen Maßnahme.

ORP.3 — Sensibilisierung und Schulung

Phishing bleibt die effektivste Angriffsmethode gegen KMU. ORP.3 fordert regelmäßige, nachweisbare Schulungen zur Informationssicherheit. Nicht ein einmaliges Onboarding-Dokument, sondern wiederkehrende Maßnahmen mit dokumentierter Teilnahme.

ORP.4 — Identitäts- und Berechtigungsmanagement

Dieser Baustein ist für Microsoft-365-Umgebungen mit Azure AD/Entra ID von zentraler Bedeutung. Er beschreibt, wie Benutzerkonten, Berechtigungen und Privilegien verwaltet werden müssen: Least-Privilege-Prinzip, Trennung von Administrator- und Benutzerkonten, regelmäßige Rezertifizierung von Zugriffsrechten.

Konkret: Kein Benutzer sollte dauerhaft globale Administratorrechte in Microsoft 365 haben. Privileged-Identity-Management (PIM) in Azure ist die technische Umsetzung, ORP.4 der normative Rahmen dafür.

# Beispiel: Überprüfung privilegierter Konten in Microsoft 365 (PowerShell)
Connect-MgGraph -Scopes "RoleManagement.Read.Directory"
$globalAdmins = Get-MgDirectoryRoleMember -DirectoryRoleId (Get-MgDirectoryRole | Where-Object DisplayName -eq "Global Administrator").Id
$globalAdmins | Select-Object DisplayName, UserPrincipalName
# Ergebnis: Alle Konten mit Global-Admin-Rolle — sollte maximal 2-3 Break-Glass-Accounts enthalten

Schicht OPS: Betrieb

OPS.1.1.3 — Patch- und Änderungsmanagement

Ungepatchte Systeme sind die zweithäufigste Ursache für erfolgreiche Einbrüche nach Phishing. OPS.1.1.3 fordert einen dokumentierten Prozess: Wie werden Patches bewertet, wann werden sie eingespielt, wie werden Ausnahmen begründet und dokumentiert?

Für KMU reicht oft ein einfaches Patch-Management-Dokument kombiniert mit automatisierten Windows-Updates für Clients und einem definierten Wartungsfenster für Server — aber es muss dokumentiert und nachvollziehbar sein.

OPS.1.2.2 — Archivierung

Relevant für Unternehmen mit gesetzlichen Aufbewahrungspflichten (HGB §257, AO §147) und für forensische Nachvollziehbarkeit nach Incidents. Dieser Baustein beschreibt Anforderungen an die langfristige, integritätsgesicherte Aufbewahrung von Daten und Dokumenten.

Schicht DER: Detektion und Reaktion

DER.1 — Detektion von sicherheitsrelevanten Ereignissen

Dieser Baustein beschreibt, was viele KMU schlicht nicht haben: einen funktionierenden Prozess zur Erkennung von Sicherheitsvorfällen. Wer merkt, wenn ein Account kompromittiert wird? Wer sieht ungewöhnliche Anmeldeversuche um 3 Uhr nachts aus Osteuropa?

DER.1 fordert keine vollständige SIEM-Plattform, aber es fordert, dass relevante Log-Quellen definiert, ausgewertet und auf sicherheitsrelevante Ereignisse hin überwacht werden. In einer Microsoft-365-Umgebung bedeutet das mindestens: Unified Audit Log aktiviert, Alerts für verdächtige Aktivitäten konfiguriert, und ein Prozess, wer diese Alerts wann und wie bearbeitet.

DER.2.1 — Behandlung von Sicherheitsvorfällen

NIS-2 Art. 21 Abs. 2 lit. b verlangt explizit ein Incident-Management-Verfahren. DER.2.1 liefert den Grundschutz-Rahmen dafür: Wie wird ein Vorfall erkannt, klassifiziert, eskaliert, behoben und dokumentiert?

Ohne diesen Prozess kann ein KMU bei einem Ransomware-Angriff nicht die von NIS-2 geforderte 24-Stunden-Erstmeldung an die zuständige Behörde einhalten — mit entsprechenden Bußgeldrisiken.

Schicht APP: Anwendungen

APP.5.2 — Microsoft Exchange und Outlook / APP.5.3 — E-Mail allgemein

E-Mail ist der primäre Angriffsvektor. Diese Bausteine beschreiben technische Schutzmaßnahmen: SPF, DKIM und DMARC als Mindeststandard gegen Spoofing, sichere Transportverschlüsselung (TLS), Spam- und Malware-Filterung sowie den Umgang mit verschlüsselten E-Mails.

# DMARC-Record prüfen (dig oder nslookup)
dig TXT _dmarc.ihredomaene.de
# Erwartetes Ergebnis (Mindestanforderung):
# "v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@ihredomaene.de"
# p=none ist kein ausreichender Schutz — nur Monitoring, keine Aktion

Für Microsoft-365-Kunden: DMARC mit p=reject in Kombination mit aktivem Defender for Office 365 (Plan 1 oder 2) entspricht den Anforderungen dieses Bausteins weitgehend.

APP.3.2 — Webserver / APP.3.3 — Fileserver

Relevant für KMU, die eigene Webserver oder Fileserver betreiben. Fokus: sichere Konfiguration, minimale Berechtigungen, regelmäßige Updates, Trennung von produktiven und Test-Umgebungen.

Schicht SYS: IT-Systeme

SYS.2.1 — Allgemeiner Client

Der Grundbaustein für alle Windows-, macOS- oder Linux-Clients im Unternehmen. Er beschreibt Anforderungen an sichere Grundkonfiguration (Hardening), Virenschutz, Bildschirmsperre, lokale Firewall und vollständige Festplattenverschlüsselung.

Für Windows-Clients: BitLocker aktiviert, Microsoft Defender aktuell, keine lokalen Administratorrechte für Standardbenutzer — das sind die drei Maßnahmen mit dem größten unmittelbaren Effekt.

SYS.3.2.2 — Mobile Device Management

In Unternehmen, in denen Mitarbeitende mit privaten oder firmeneigenen Smartphones auf E-Mails und Unternehmensressourcen zugreifen, ist dieser Baustein nicht optional. Er fordert ein MDM-System (z. B. Microsoft Intune), das Geräterichtlinien durchsetzt, Fernlöschung ermöglicht und den Zugriff von nicht-verwalteten Geräten kontrolliert.

Schicht NET: Netzwerke

NET.3.2 — Firewall

Eine Firewall allein schützt nicht — aber eine schlecht konfigurierte Firewall ist trügerische Sicherheit. Dieser Baustein beschreibt Anforderungen an Regelwerke, Change-Management für Firewall-Regeln, regelmäßige Überprüfung und Protokollierung.

In der Praxis ist die Firewall-Konfiguration in KMU oft historisch gewachsen: Regeln, die vor Jahren für einen bestimmten Zweck angelegt wurden, existieren weiter, lange nachdem der Zweck entfallen ist.

---

Die häufigsten Fehler bei der IT-Grundschutz-Umsetzung in KMU

Fehler 1: Vollständigkeit vor Wirksamkeit. Viele KMU versuchen, alle Bausteine gleichzeitig anzugehen und scheitern an der Komplexität. Besser: Kern-Absicherung für die drei kritischsten Prozesse, dann schrittweise Erweiterung.

Fehler 2: Dokumentation als Selbstzweck. IT-Grundschutz ist kein Papierprojekt. Konzepte, die nur für Audits existieren, aber nicht gelebt werden, schützen vor nichts — und können bei Incidents oder Bußgeldverfahren sogar kontraproduktiv sein, wenn die Praxis von der Dokumentation abweicht.

Fehler 3: Keine Verantwortlichkeiten. Ohne benannte Personen, die für einzelne Bausteine verantwortlich sind, passiert bei Problemen nichts. Das gilt besonders für DER.2.1 — wer ist im Incident-Fall der erste Ansprechpartner, auch außerhalb der Geschäftszeiten?

Fehler 4: Einmalige Umsetzung statt kontinuierlicher Verbesserung. IT-Grundschutz ist ein ISMS — ein Management-System, das regelmäßige Reviews erfordert. Einmal eingerichtete Prozesse, die nie überprüft werden, veralten.

---

Praktischer Einstieg: Drei Schritte für KMU

Schritt 1 — Scoping: Identifizieren Sie Ihre drei bis fünf geschäftskritischsten IT-gestützten Prozesse. Für welche davon würde ein mehrtägiger Ausfall existenzbedrohend? Das ist Ihr Kern-Absicherungs-Scope.

Schritt 2 — Baustein-Mapping: Welche der oben beschriebenen Bausteine sind für diesen Scope direkt relevant? Erstellen Sie eine einfache Tabelle: Baustein, Status (umgesetzt / teilweise / nicht umgesetzt), Verantwortlicher, nächster Schritt.

Schritt 3 — Priorisierung nach Risiko: Welche offenen Maßnahmen hätten den größten Schutzeffekt? Typischerweise: ORP.4 (Berechtigungsmanagement), OPS.1.1.3 (Patch-Management) und DER.2.1 (Incident-Prozess) bringen bei den meisten KMU die größte unmittelbare Risikoreduktion.

---

BSI IT-Grundschutz und kontinuierliche Überwachung

Ein oft übersehener Aspekt: IT-Grundschutz beschreibt Anforderungen — aber er überwacht nicht, ob sie eingehalten werden. Baustein DER.1 fordert die Detektion sicherheitsrelevanter Ereignisse, aber die tatsächliche Umsetzung erfordert Werkzeuge und Prozesse, die im laufenden Betrieb funktionieren.

Für KMU, die DER.1 und DER.2.1 ernsthaft umsetzen wollen, ohne eigenes Security-Personal aufzubauen, bietet sich ein Managed SIEM/SOC-Ansatz an: Eine externe Plattform — wie Wazuh als SIEM-Backend kombiniert mit einem 24/7-Analyst-Team — übernimmt die Log-Erfassung, Korrelation und Alarmierung. Die Verantwortung bleibt beim Unternehmen, die Umsetzung wird ausgelagert.

Das Vyrex Security Team unterstützt KMU dabei, die relevanten IT-Grundschutz-Bausteine nicht nur zu dokumentieren, sondern technisch zu unterlegen: mit Wazuh-basiertem SIEM, Microsoft-365-Log-Integration und einem definierten Incident-Response-Prozess — als Managed Service, der sich an den tatsächlichen Anforderungen mittelständischer Infrastrukturen orientiert.

---

Dieser Artikel basiert auf dem BSI IT-Grundschutz-Kompendium Edition 2023 sowie den NIS-2-Anforderungen gemäß NIS2UmsuCG-Entwurf (Stand: Q1 2026). Für verbindliche Compliance-Beratung empfehlen sich zertifizierte IT-Grundschutz-Praktiker (ITG-P) oder -Berater (ITG-B).