IT-Grundschutz Modellierung & Check: Praxisleitfaden nach BSI 200-2

Letzte Aktualisierung:

IT-Grundschutz Modellierung & Check verständlich erklärt: Schritt-für-Schritt-Anleitung nach BSI 200-2 mit Praxistipps für Ihre Organisation.

Die Einführung eines Informationssicherheitsmanagementsystems (ISMS) nach BSI IT-Grundschutz stellt Organisationen vor methodische Herausforderungen. Insbesondere die Schritte der Modellierung und des IT-Grundschutz-Checks bilden zentrale Meilensteine auf dem Weg zu einem angemessenen Sicherheitsniveau. Der vorliegende Artikel erläutert beide Verfahren im Detail und zeigt auf, wie Sie diese in der Praxis erfolgreich umsetzen können.

Der BSI IT-Grundschutz bietet einen praxisorientierten Ansatz zur Verbesserung der Informationssicherheit, der sich sowohl für Behörden als auch für Unternehmen jeder Größe eignet. Anders als bei der abstrakteren ISO 27001 stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit dem IT-Grundschutz-Kompendium konkrete Maßnahmen zur Absicherung bereit. Die Modellierung und der IT-Grundschutz-Check sind dabei unverzichtbare Werkzeuge, um diese Maßnahmen systematisch auf die eigene Organisation anzuwenden.

Einordnung im Sicherheitsprozess nach BSI-Standard 200-2

Der BSI-Standard 200-2 beschreibt die IT-Grundschutz-Methodik und definiert einen strukturierten Sicherheitsprozess. Bevor Modellierung und IT-Grundschutz-Check durchgeführt werden können, müssen vorbereitende Schritte abgeschlossen sein. Die Strukturanalyse erfasst zunächst alle relevanten Komponenten des Informationsverbunds, also IT-Systeme, Anwendungen, Räumlichkeiten und Kommunikationsverbindungen. Darauf aufbauend ermittelt die Schutzbedarfsfeststellung, welchen Schutzbedarf die einzelnen Objekte hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit haben.

Die Modellierung stellt den logischen nächsten Schritt dar: Sie verknüpft die erfassten Zielobjekte mit den passenden Bausteinen aus dem IT-Grundschutz-Kompendium. Der anschließende IT-Grundschutz-Check prüft dann, inwieweit die in den Bausteinen formulierten Anforderungen bereits durch vorhandene Maßnahmen erfüllt sind. Beide Schritte sind untrennbar miteinander verbunden und bilden die Grundlage für alle weiteren Aktivitäten im Sicherheitsprozess.

IT-Grundschutz Modellierung: Schritt-für-Schritt-Anleitung

Grundprinzip und Zielsetzung

Bei der Modellierung werden die passenden IT-Grundschutz-Bausteine aus dem Kompendium ausgewählt und den in der Strukturanalyse identifizierten Zielobjekten zugeordnet. Das Ergebnis ist ein IT-Grundschutz-Modell des Informationsverbunds, das als Prüfplan für den nachfolgenden IT-Grundschutz-Check dient. Für bestehende Systeme liefert dieses Modell die Vorgaben zur Bewertung der aktuellen Sicherheitslage. Für geplante Systeme definiert es die Sicherheitsanforderungen, die bei der Einführung erfüllt werden müssen.

Die zentrale Fragestellung bei der Modellierung lautet: Welche Bausteine sind für welche Zielobjekte relevant? Diese Zuordnung erfordert ein fundiertes Verständnis sowohl der eigenen IT-Landschaft als auch der Bausteinstruktur im Kompendium. Das BSI stellt hierfür im Kapitel 2.2 des Kompendiums detaillierte Hinweise zur Zuordnung anhand des Schichtenmodells bereit.

Das Schichtenmodell des IT-Grundschutz-Kompendiums

Das IT-Grundschutz-Kompendium in der Edition 2023 umfasst 111 Bausteine, die in zehn thematische Schichten gegliedert sind. Diese Edition bleibt auch 2024 und 2025 die zertifizierungsrelevante Grundlage, da das BSI für 2024 keine neue Edition veröffentlicht hat und stattdessen an der Weiterentwicklung zum Grundschutz++ arbeitet.

Hinweis zur Aktualität (Stand: Januar 2026): Das BSI arbeitet an einer grundlegenden Modernisierung des IT-Grundschutzes unter dem Namen „Grundschutz++". Der ursprünglich für den 1. Januar 2026 angekündigte Start hat sich verzögert – eine Veröffentlichung steht noch aus. Eine mehrjährige Übergangsphase bis voraussichtlich 2029 ist geplant, in der beide Standards parallel genutzt werden können. Die Edition 2023 des IT-Grundschutz-Kompendiums bleibt bis auf Weiteres gültig und zertifizierungsrelevant. Änderungen werden über Errata kommuniziert.

Die Struktur des Kompendiums unterscheidet zwischen prozessorientierten und systemorientierten Bausteinen. Die Prozess-Bausteine gelten in der Regel für den gesamten Informationsverbund oder große Teile davon. Die System-Bausteine werden hingegen auf einzelne Zielobjekte oder Gruppen von Zielobjekten angewendet.

Prozessorientierte Schichten:

  • ISMS – Sicherheitsmanagement
  • ORP – Organisation und Personal
  • CON – Konzepte und Vorgehensweisen
  • OPS – Betrieb
  • DER – Detektion und Reaktion

Systemorientierte Schichten:

  • APP – Anwendungen
  • SYS – IT-Systeme
  • IND – Industrielle IT
  • NET – Netze und Kommunikation
  • INF – Infrastruktur

Für Unternehmen, die NIS-2-Compliance anstreben, bietet der IT-Grundschutz eine besonders effiziente Grundlage. Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes am 6. Dezember 2025 sind Einrichtungen der Bundesverwaltung verpflichtet, IT-Risikomanagementmaßnahmen auf IT-Grundschutz-Basis umzusetzen. Prüfen Sie mit unserer NIS-2-Betroffenheitsanalyse, ob Ihr Unternehmen unter die neuen Anforderungen fällt. Weiterführende Informationen zu den NIS-2-Mindestmaßnahmen nach § 30 BSIG finden Sie in unserem Magazin.

So modellieren Sie Ihren Informationsverbund richtig

Der Modellierungsprozess beginnt mit der Durchsicht aller verfügbaren Bausteine. Für jeden Baustein ist zu entscheiden, ob er für den betrachteten Informationsverbund relevant ist und auf welche Zielobjekte er anzuwenden ist. Der Baustein ISMS.1 Sicherheitsmanagement muss beispielsweise genau einmal auf den gesamten Informationsverbund angewendet werden. Technische Bausteine wie SYS.2.1 Allgemeiner Client oder SYS.1.1 Allgemeiner Server werden hingegen auf alle entsprechenden Systeme oder Systemgruppen angewendet.

Bei der Modellierung ist zu beachten, dass für viele technische Systeme mehrere Bausteine anzuwenden sind. Ein Windows-Server erfordert beispielsweise sowohl den betriebssystemunabhängigen Baustein SYS.1.1 Allgemeiner Server als auch den spezifischen Baustein für das eingesetzte Betriebssystem. Zusätzlich können anwendungsbezogene Bausteine relevant sein, etwa für installierte Datenbanken oder Webdienste. Virtuelle Systeme sind dabei genauso zu modellieren wie physische Systeme.

Nicht jeder Baustein ist für jeden Informationsverbund relevant. Wenn in einer Organisation keine Auslandsreisen stattfinden, kann der Baustein CON.7 Informationssicherheit auf Auslandsreisen ausgelassen werden. Ebenso entfallen betriebssystemspezifische Bausteine, wenn das entsprechende System nicht im Einsatz ist. Wichtig ist jedoch, dass jede Nichtanwendung eines Bausteins nachvollziehbar begründet wird. Diese Begründung muss aussagekräftig, aber nicht umfangreich sein.

Umgang mit nicht modellierbaren Zielobjekten

In der Praxis kann es vorkommen, dass einzelne Zielobjekte nicht hinreichend durch vorhandene Bausteine abgedeckt werden können. Dies betrifft häufig spezialisierte Systeme oder neuere Technologien, für die noch keine passenden Bausteine existieren. Solche Zielobjekte sind für eine ergänzende Risikoanalyse nach BSI-Standard 200-3 vorzumerken. Die im Rahmen dieser Analyse identifizierten Gefährdungen und Anforderungen können in einem benutzerdefinierten Baustein zusammengeführt werden.

Hinweis: Das BSI veröffentlicht regelmäßig Community Drafts und Final Drafts für neue Bausteine. Diese können bereits vor der offiziellen Aufnahme ins Kompendium für die Modellierung genutzt werden. Zudem stellt das BSI benutzerdefinierte Bausteine zur Verfügung, die von IT-Grundschutz-Anwendern erstellt wurden.

Dokumentation der Modellierung

Die Ergebnisse der Modellierung sind sorgfältig zu dokumentieren. Die Dokumentation umfasst mindestens die Zuordnung jedes angewendeten Bausteins zu den entsprechenden Zielobjekten sowie die Begründung für nicht angewendete Bausteine. Darüber hinaus sollte die Reihenfolge festgelegt werden, in der die Bausteine umgesetzt werden sollen. Das BSI empfiehlt hierfür eine Priorisierung von R1 (höchste Priorität) bis R3.

Die Form der Dokumentation ist nicht vorgeschrieben. Viele Organisationen nutzen spezialisierte ISMS-Tools, die die Modellierung unterstützen und eine konsistente Übernahme der Strukturanalysedaten ermöglichen. Alternativ können auch Tabellenkalkulationen oder andere Dokumentationswerkzeuge eingesetzt werden, solange die geforderten Informationen enthalten und nachvollziehbar aufbereitet sind. Wer einen schnellen Einstieg sucht, findet beim BSI den Leitfaden zur Basis-Absicherung.

IT-Grundschutz-Check: Der Soll-Ist-Vergleich in der Praxis

Zielsetzung und methodischer Ansatz

Der IT-Grundschutz-Check ist ein systematischer Soll-Ist-Vergleich zwischen den Anforderungen der modellierten Bausteine und den tatsächlich in der Organisation umgesetzten Sicherheitsmaßnahmen. Er beantwortet die zentrale Frage, welche Anforderungen bereits erfüllt sind und wo noch Handlungsbedarf besteht. Als Ergebnis liegt ein Katalog vor, der für jede relevante Anforderung den aktuellen Umsetzungsstatus dokumentiert.

Der IT-Grundschutz-Check ist damit ein wirkungsvolles Organisationsinstrument, das einen gebündelten Überblick über das vorhandene Sicherheitsniveau bietet. Durch die Identifizierung von Defiziten werden konkrete Verbesserungsmöglichkeiten aufgezeigt, die in der anschließenden Realisierungsplanung adressiert werden. Der Check bildet somit die Grundlage für eine zielgerichtete Weiterentwicklung der Informationssicherheit.

Vorbereitende Maßnahmen

Vor der Durchführung des IT-Grundschutz-Checks sind einige organisatorische Vorarbeiten erforderlich. Zunächst müssen für jeden anzuwendenden Baustein geeignete Ansprechpartner identifiziert werden. Dies sind in der Regel die für die jeweiligen Zielobjekte verantwortlichen Personen, also Asset-Eigentümer, Systemadministratoren oder Prozessverantwortliche. Es kann sich dabei auch um externe Personen handeln, etwa bei ausgelagerten IT-Diensten.

Die Ansprechpartner sollten vorab über das Verfahren informiert werden. Eine kurze Erläuterung der Vorgehensweise und der Zielsetzung fördert die Kooperation und sorgt für ein konstruktives Gesprächsklima. Relevante Dokumente wie Konfigurationsunterlagen, Betriebshandbücher oder bestehende Sicherheitskonzepte sollten zum Termin bereitliegen, um die Erfüllung von Anforderungen nachweisen zu können.

Durchführung und Bewertungskriterien

Der IT-Grundschutz-Check wird typischerweise in Form von Interviews mit den jeweiligen Ansprechpartnern durchgeführt, ergänzt durch Dokumentenprüfung und stichprobenartige Kontrollen vor Ort. Für jede Anforderung der modellierten Bausteine wird der Erfüllungsgrad ermittelt und mit einer der folgenden Kategorien dokumentiert:

Umsetzungsstatus Bedeutung
ja Die Anforderung wird durch geeignete Maßnahmen vollständig, wirksam und angemessen erfüllt.
teilweise Die Anforderung wird nur teilweise erfüllt; einzelne Aspekte sind umgesetzt, andere noch nicht.
nein Die Anforderung wird nicht erfüllt; geeignete Maßnahmen sind größtenteils noch nicht umgesetzt.
entbehrlich Die Erfüllung der Anforderung ist nicht notwendig, da gleichwertige Ersatzmaßnahmen existieren oder die Anforderung im betrachteten Kontext nicht relevant ist.

Die Bewertung einer Anforderung als „erfüllt" setzt voraus, dass geeignete Maßnahmen vollständig, wirksam und angemessen umgesetzt sind. Eine bloße Zusicherung des Gesprächspartners oder das Vorhandensein umfangreicher Dokumentation genügt nicht. Vielmehr muss die tatsächliche Wirksamkeit der Maßnahmen nachvollziehbar sein.

Besonderheiten bei der Bewertung

Bei der Einstufung als „entbehrlich" ist besondere Sorgfalt geboten. Diese Kategorie kommt zum Einsatz, wenn Anforderungen durch gleichwertige Alternativmaßnahmen abgedeckt werden oder wenn sie für den betrachteten Einsatzzweck nicht relevant sind. Ein Beispiel: Die Anforderung zur Absicherung von Fernwartung ist nur dann relevant, wenn tatsächlich Systeme von entfernten Standorten aus gewartet werden. Passwortrichtlinien können entbehrlich sein, wenn stattdessen eine Zwei-Faktor-Authentisierung mit Chipkarten implementiert ist.

Wird eine Anforderung als entbehrlich eingestuft, weil Alternativmaßnahmen existieren, muss nachgewiesen werden, dass diese das von den relevanten Gefährdungen ausgehende Risiko angemessen verringern. Die Kreuzreferenztabellen der Bausteine helfen dabei, die zugehörigen elementaren Gefährdungen zu identifizieren. Für Basis-Anforderungen gilt grundsätzlich, dass die daraus resultierenden Risiken nicht einfach übernommen werden können.

Der Umfang des IT-Grundschutz-Checks hängt von der gewählten Vorgehensweise ab:

  • Basis-Absicherung: Nur Basis-Anforderungen werden geprüft
  • Standard-Absicherung: Basis- und Standard-Anforderungen werden geprüft
  • Kern-Absicherung: Wie Standard-Absicherung, aber auf einen begrenzten Geltungsbereich fokussiert

Anforderungen für erhöhten Schutzbedarf werden erst nach Durchführung einer Risikoanalyse einbezogen.

Dokumentation des IT-Grundschutz-Checks

Eine sorgfältige Dokumentation der Ergebnisse ist essenziell, damit diese später nachvollzogen und von Dritten überprüft werden können. Die Dokumentation umfasst für jede geprüfte Anforderung den ermittelten Umsetzungsstatus sowie eine Begründung bei den Kategorien „entbehrlich", „teilweise" und „nein". Darüber hinaus sind formale Angaben wie Datum, Gesprächspartner und geprüftes Zielobjekt festzuhalten.

Das BSI stellt unter den Hilfsmitteln zum IT-Grundschutz Checklisten für alle Bausteine zum Download bereit. Diese können als Arbeitsgrundlage für die Dokumentation dienen. Spezialisierte ISMS-Tools bieten darüber hinaus integrierte Masken für den IT-Grundschutz-Check, die eine konsistente Erfassung und Auswertung der Ergebnisse ermöglichen. Solche Werkzeuge erleichtern auch die Generierung von Berichten und die Nachverfolgung des Umsetzungsfortschritts.

Von den Ergebnissen zur Umsetzungsplanung

Auswertung und Priorisierung

Nach Abschluss des IT-Grundschutz-Checks liegt ein vollständiges Bild des aktuellen Sicherheitsniveaus vor. Die als „nein" oder „teilweise" eingestuften Anforderungen zeigen auf, wo konkreter Handlungsbedarf besteht. Diese Defizite bilden den Ausgangspunkt für die Realisierungsplanung, in der festgelegt wird, welche Maßnahmen in welcher Reihenfolge und mit welchen Ressourcen umgesetzt werden sollen.

Bei der Priorisierung ist zu beachten, dass Basis-Anforderungen vorrangig behandelt werden müssen. Sie definieren das Mindestniveau an Sicherheit, das nicht unterschritten werden darf. Standard-Anforderungen können in einer zweiten Phase adressiert werden. Die vom BSI vorgegebene Reihenfolgeempfehlung (R1 bis R3) bietet dabei Orientierung, ist aber nicht zwingend einzuhalten.

Integration in den kontinuierlichen Verbesserungsprozess

Der IT-Grundschutz-Check ist keine einmalige Maßnahme, sondern sollte regelmäßig wiederholt werden. Das BSI empfiehlt eine jährliche Durchführung, um den aktuellen Stand der Informationssicherheit kontinuierlich zu überwachen. Veränderungen im Informationsverbund, etwa durch neue Systeme oder geänderte Geschäftsprozesse, erfordern zudem eine Anpassung der Modellierung und eine erneute Prüfung der betroffenen Bereiche.

Die Ergebnisse des IT-Grundschutz-Checks fließen in das Management-Review ein und dienen der Geschäftsleitung als Entscheidungsgrundlage für Investitionen in die Informationssicherheit. Sie dokumentieren den Fortschritt bei der Umsetzung von Sicherheitsmaßnahmen und ermöglichen eine objektive Bewertung der Wirksamkeit des ISMS.

Häufige Fehler bei der IT-Grundschutz-Modellierung vermeiden

In der Praxis begegnen Organisationen bei Modellierung und IT-Grundschutz-Check wiederkehrenden Herausforderungen. Die Komplexität des IT-Grundschutz-Kompendiums mit seinen über 100 Bausteinen kann anfangs überwältigend wirken. Ein schrittweises Vorgehen, beginnend mit den prozessorientierten Bausteinen und den wichtigsten Systembausteinen, erleichtert den Einstieg. Die Grundschutz-Profile des BSI bieten zudem Musterbeispiele für verschiedene Anwendungsbereiche, die als Orientierung dienen können.

Ein häufiger Fehler ist die Unterschätzung des Zeitaufwands. Anders als manchmal suggeriert, lässt sich ein ISMS nicht in drei Tagen implementieren. Die sorgfältige Durchführung von Modellierung und IT-Grundschutz-Check erfordert Zeit und Ressourcen – diese Investition zahlt sich jedoch durch ein belastbares Sicherheitsniveau aus.

Die Verfügbarkeit von Ansprechpartnern für den IT-Grundschutz-Check stellt häufig eine organisatorische Herausforderung dar. Eine frühzeitige Terminplanung und die Einbeziehung der Führungsebene zur Priorisierung des Sicherheitsprozesses sind hier hilfreich. Im Rahmen der NIS-2-Schulungspflicht für Geschäftsführer kann das notwendige Bewusstsein auf Leitungsebene geschaffen werden. Die Interviews sollten effizient gestaltet sein, etwa durch vorbereitete Fragenkataloge und eine klare Strukturierung des Gesprächsablaufs.

Fazit: Modellierung und IT-Grundschutz-Check als Fundament

Modellierung und IT-Grundschutz-Check bilden das methodische Fundament für die Umsetzung des BSI IT-Grundschutzes. Die Modellierung schafft durch die systematische Zuordnung von Bausteinen zu Zielobjekten einen maßgeschneiderten Prüfplan für die Organisation. Der IT-Grundschutz-Check ermittelt den aktuellen Erfüllungsgrad und identifiziert konkreten Handlungsbedarf. Beide Schritte erfordern Sorgfalt und methodisches Vorgehen, liefern aber unverzichtbare Erkenntnisse für die Verbesserung der Informationssicherheit.

Der Aufwand für diese Arbeitsschritte ist gut investiert: Sie schaffen Transparenz über das vorhandene Sicherheitsniveau, ermöglichen eine zielgerichtete Ressourcenallokation und bilden die Grundlage für eine erfolgreiche Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz. Auch für die NIS-2-Zertifizierung bietet ein nach IT-Grundschutz aufgebautes ISMS eine solide Ausgangsbasis. Organisationen, die diesen Weg konsequent beschreiten, etablieren ein robustes ISMS, das den aktuellen Bedrohungen angemessen begegnet.

Wer Unterstützung bei der Implementierung benötigt, kann auf externe Expertise zurückgreifen. Ein externer Informationssicherheitsbeauftragter (ISB) bringt Erfahrung aus verschiedenen Branchen mit und kann den Modellierungs- und Prüfprozess effizient begleiten. Für strategische Fragestellungen steht alternativ ein virtueller CISO (vCISO) zur Verfügung, der die Informationssicherheit auf Führungsebene verankert. Einen Überblick über die Aufgaben eines externen ISB sowie eine Einschätzung der Kosten für einen externen ISB finden Sie in unseren weiterführenden Artikeln.

Häufig gestellte Fragen zur IT-Grundschutz-Modellierung

Was ist der Unterschied zwischen Modellierung und IT-Grundschutz-Check?

Die Modellierung ordnet die passenden IT-Grundschutz-Bausteine den Zielobjekten Ihrer Organisation zu und erstellt so einen Prüfplan. Der IT-Grundschutz-Check prüft anschließend als Soll-Ist-Vergleich, inwieweit die Anforderungen dieser Bausteine bereits durch vorhandene Maßnahmen erfüllt sind.

Wie viele Bausteine enthält das IT-Grundschutz-Kompendium?

Das IT-Grundschutz-Kompendium in der Edition 2023 umfasst 111 Bausteine in zehn thematischen Schichten. Diese Edition bleibt bis zur Einführung von Grundschutz++ die zertifizierungsrelevante Grundlage.

Muss jeder Baustein angewendet werden?

Nein. Nur Bausteine, die für den eigenen Informationsverbund relevant sind, müssen modelliert werden. Die Nichtanwendung eines Bausteins muss jedoch nachvollziehbar begründet und dokumentiert werden.

Wie lange dauert ein IT-Grundschutz-Check?

Der Zeitaufwand hängt von der Größe des Informationsverbunds ab. Für eine mittelständische Organisation sollten mehrere Wochen eingeplant werden, da Interviews mit verschiedenen Ansprechpartnern, Dokumentenprüfungen und stichprobenartige Kontrollen erforderlich sind. Das BSI empfiehlt eine jährliche Wiederholung.

Welche Absicherungsvariante ist für mein Unternehmen geeignet?

Die Basis-Absicherung eignet sich als Einstieg für Organisationen, die schnell ein Mindestniveau erreichen möchten. Die Standard-Absicherung bietet einen vollständigen Sicherheitsprozess für umfassenden Schutz. Die Kern-Absicherung fokussiert zunächst auf besonders schützenswerte Bereiche („Kronjuwelen") und eignet sich für Organisationen mit begrenzten Ressourcen.

Offizielle BSI-Quellen

Haben Sie Fragen zu diesem Thema?

In einem kostenfreien Erstgespräch klären wir Ihre individuellen Anforderungen und zeigen Ihnen, wie wir Sie unterstützen können.

Kostenloses Erstgespräch vereinbaren