BSI IT-Grundschutz vs ISO 27001: Welcher Rahmen passt zu Ihrer Organisation

Der BSI IT-Grundschutz und die ISO/IEC 27001:2022 sind die beiden dominierenden Rahmenwerke für ein Informationssicherheits-Managementsystem (ISMS) in Deutschland. Beide führen zu zertifizierbaren Systemen, beide werden von Aufsichtsbehörden anerkannt, beide adressieren Vertraulichkeit, Integrität und Verfügbarkeit. Sie unterscheiden sich jedoch deutlich in Methodik, Detailtiefe, Auditform und Kostenstruktur. Wer den falschen Rahmen wählt, baut entweder Bürokratie auf, die niemand pflegt, oder Lücken, die im Audit oder beim NIS-2-Nachweis auffallen.

Dieser Beitrag stellt beide Rahmen direkt gegenüber: vom Aufbau über die Risikomethodik bis zur Zertifizierung. Sie lernen, wann ISO 27001:2022 sinnvoller ist, wann der BSI IT-Grundschutz seine Stärken ausspielt und wie sich beide kombinieren lassen (ISO 27001 auf Basis von IT-Grundschutz). Außerdem zeigen wir, wie die CIVAC-Plattform und Officer-as-a-Service das gewählte Rahmenwerk operativ in Audit-Vorlagen, Kontrollkatalog und Berichtslinie übersetzt.

ISO/IEC 27001:2022 und der BSI IT-Grundschutz verfolgen dasselbe Ziel: Sie etablieren ein dokumentiertes, gelebtes und prüfbares Managementsystem für Informationssicherheit. Beide verlangen Top-Management-Verpflichtung, einen Risikoprozess, ein Kontrollportfolio, Schulung, Vorfallmanagement, kontinuierliche Verbesserung und Audits. Beide enden in einer akkreditierten Zertifizierung mit dreijähriger Gültigkeit, jährlicher Überwachung und Rezertifizierung.

Methodisch unterscheiden sie sich. ISO 27001 ist primär risikobasiert: Sie identifizieren Risiken, bewerten sie nach Eintrittswahrscheinlichkeit und Schadensausmaß und wählen Controls aus Annex A oder gleichwertige Maßnahmen aus, um Risiken auf ein akzeptables Niveau zu reduzieren. Der BSI IT-Grundschutz ist kompendiumsbasiert: Sie modellieren Ihren Informationsverbund mit Bausteinen aus dem IT-Grundschutz-Kompendium und setzen die darin enthaltenen Anforderungen um. Die Risikobetrachtung greift nur dann mit voller Tiefe, wenn der Schutzbedarf über normal hinausgeht.

Beide Rahmen sind im Sinne des § 8a BSIG für KRITIS und nach dem NIS-2-Umsetzungsgesetz für besonders wichtige und wichtige Einrichtungen geeignet, die Anforderungen an das Risikomanagement zu erfüllen. Welcher Rahmen passt, hängt von Branche, Reife und Auditpartnern ab. Mehr Hintergrund zur Übergangsphase finden Sie in der CIVAC-Übersicht zum ISO-27001:2022-Übergang.

Die ISO/IEC 27001:2022 wurde im Oktober 2022 veröffentlicht und löste die Version von 2013 ab. Die wichtigste Änderung: Annex A wurde von 114 auf 93 Controls reduziert und in vier Themen gegliedert (organisatorisch, personell, physisch, technologisch). Elf Controls sind neu, darunter Threat Intelligence (A.5.7), Information Security for Cloud Services (A.5.23) und Secure Coding (A.8.28). Die Übergangsfrist endete am 31. Oktober 2025.

Der Aufbau besteht aus dem Hauptteil (Klauseln 4 bis 10), der das ISMS strukturell beschreibt: Kontext, Führung, Planung, Unterstützung, Betrieb, Bewertung, Verbesserung. Diese Klauseln sind verpflichtend. Annex A liefert die Referenz-Controls; ihre Anwendbarkeit wird in einer Statement of Applicability (SoA) dokumentiert.

Auditiert wird durch eine akkreditierte Zertifizierungsstelle in zwei Stufen: Stufe 1 (Dokumentenprüfung), Stufe 2 (Implementierungsprüfung vor Ort oder remote). Die Zertifizierung gilt drei Jahre mit jährlichen Überwachungsaudits. Aufwand für die Erstzertifizierung im Mittelstand: typischerweise sechs bis zwölf Monate Vorbereitung. In der CIVAC-Plattform und Officer-as-a-Service liegen die 93 Controls als Kontrollkatalog vor, verknüpft mit Audit-Vorlagen und Verantwortungsmatrix.

Der BSI IT-Grundschutz besteht aus den BSI-Standards 200-1 (ISMS), 200-2 (Vorgehensweise), 200-3 (Risikoanalyse) und 200-4 (Business Continuity) sowie dem IT-Grundschutz-Kompendium. Letzteres umfasst rund hundert Bausteine, die typische Strukturelemente eines Informationsverbunds adressieren, etwa OPS für operative Prozesse, APP für Anwendungen, SYS für Systeme, IND für industrielle Steuerungssysteme.

Die Vorgehensweise nach BSI-Standard 200-2 sieht drei Stufen vor: Basis-Absicherung (schnelle Stabilisierung), Kern-Absicherung (Konzentration auf Kronjuwelen), Standard-Absicherung (vollständiges ISMS). Schutzbedarf wird in drei Stufen klassifiziert: normal, hoch, sehr hoch. Für normale Bedarfslagen reichen die Bausteinanforderungen; bei hohem oder sehr hohem Schutzbedarf wird eine ergänzende Risikoanalyse nach BSI-Standard 200-3 angeschlossen.

Zertifiziert wird ISO 27001 auf Basis von IT-Grundschutz durch akkreditierte Zertifizierungsstellen unter Aufsicht des BSI. Der Audit umfasst Dokumenten- und Vor-Ort-Prüfung, Auditbericht und Zertifikat mit drei Jahren Gültigkeit. Stärke des Ansatzes: hohe Konkretheit der Anforderungen, viele Beispielmaßnahmen. Schwäche: hoher Pflegeaufwand der Modellierung. Die CIVAC-Plattform und Officer-as-a-Service liefert ein Mapping zwischen ISO-Annex-A-Controls und BSI-Bausteinen, sodass beide Welten in einem Workspace gepflegt werden.

ISO 27001 verlangt eine systematische Risikoidentifikation und -bewertung in Klausel 6.1. Die Wahl der Methode liegt bei der Organisation, gängig sind asset-basierte oder szenariobasierte Ansätze, mit oder ohne quantitative Komponente. Das Ergebnis ist eine Risikomatrix mit priorisierten Risiken, denen Maßnahmen aus Annex A oder gleichwertige Controls zugeordnet werden. Die SoA hält fest, welche Controls anwendbar sind und welche nicht, mit Begründung.

Der BSI IT-Grundschutz dreht die Logik um. Statt zuerst Risiken zu modellieren, modellieren Sie zuerst den Informationsverbund mit Bausteinen. Jeder Baustein bringt seine Anforderungen mit. Erst bei hohem oder sehr hohem Schutzbedarf, bei nicht abgebildeten Spezifika oder bei zusätzlichen Gefährdungen wird die Risikoanalyse nach BSI 200-3 angeschlossen. Vorteil: weniger Diskussion über Risikomethodik, klar definierte Bausteine, geringe Hürde am Anfang.

Praktisch heißt das: Bei stark IT-getriebenen, klar strukturierten Organisationen mit überschaubarer Anwendungslandschaft ist BSI-Grundschutz oft schneller produktiv. Bei stark prozessgetriebenen, internationalen oder dienstleistungsorientierten Organisationen entfaltet ISO 27001 mit seiner Risiko- und Prozessorientierung mehr Wirkung. Beide Wege benötigen ein Mapping auf NIS-2-Risikomanagementanforderungen, das die CIVAC-Plattform Audit-fest, dokumentiert, § 30 BSIG-fest, bereitstellt.

Belastbare Pauschalzahlen gibt es nicht, aber Erfahrungswerte. Erstzertifizierung ISO 27001 für ein mittelständisches Unternehmen mit ein bis drei Standorten: sechs bis zwölf Monate Vorbereitung, interner Aufwand vier bis zehn Personenmonate, externe Beratung null bis zwei Personenmonate, Zertifizierungskosten zwölf- bis fünfzigtausend Euro je nach Größe und Standortanzahl, Folgekosten jährlich rund vierzig Prozent der Erstkosten.

BSI IT-Grundschutz auf Basis-Absicherung kann in drei bis sechs Monaten erste Wirkung zeigen, eine ISO-27001-auf-Basis-Grundschutz-Zertifizierung benötigt typischerweise zwölf bis achtzehn Monate. Der Pflegeaufwand der Modellierung ist höher, weil jede Veränderung des Informationsverbunds nachgezogen werden muss. Im Gegenzug ist die Konkretheit der Maßnahmen höher und die Diskussion mit dem Auditor ist meist kürzer.

Versteckte Kosten entstehen in beiden Welten durch Tooling, Schulung, Trockenübungen vor dem Audit, Nachweise zu Lieferanten und Cloud-Diensten. Wer ohne Plattform startet, baut Schatten-IT in Form von SharePoint-Sammlungen und Excel-Trackern auf. Die CIVAC-Plattform und Officer-as-a-Service ersetzt diese Sammlung durch einen strukturierten Workspace mit 37 einsatzbereiten Audit-Vorlagen und der Bestellurkunde des Informationssicherheitsbeauftragten, unterschrieben, abgelegt, belegbar.

Das NIS-2-Umsetzungsgesetz formuliert Anforderungen an Risikomanagement, Sicherheitsvorfallmeldung (24h Frühwarnung, 72h Folgemeldung), Geschäftsführerverantwortung und Lieferkettensicherheit. Sowohl ISO 27001:2022 als auch BSI IT-Grundschutz liefern den Großteil der Bausteine. Wichtig: Die Meldepflichten und Schulungsanforderungen sind in beiden Rahmen mitgedacht, aber müssen mit dem konkreten Meldepfad nach BSIG verbunden werden.

KRITIS-Betreiber stehen unter § 8a BSIG. Hier ist BSI IT-Grundschutz traditionell etabliert, weil das BSI mit branchenspezifischen Sicherheitsstandards (B3S) arbeitet, die häufig an Grundschutz-Bausteine anschließen. ISO 27001 ist ebenfalls anerkannt, erfordert aber den Nachweis, dass die KRITIS-spezifischen Anforderungen abgedeckt sind.

In Lieferketten verlangen Großkunden zunehmend ISO 27001 als Mindeststandard, insbesondere bei internationaler Anschlussfähigkeit. Cloud-Provider, Softwareanbieter und Industriedienstleister positionieren sich mit ISO. Wer beide Welten bedient (deutsche Behörden plus internationale Industriekunden), wählt ISO 27001 auf Basis von IT-Grundschutz, das beide Pfade in einer Zertifizierung verbindet. Der Prüfer ruft an, der Nachweis liegt bereit; die CIVAC-Plattform stellt das Mapping bereit.

Sechs Leitfragen helfen bei der Entscheidung. Erstens: Welche Kundengruppen verlangen welches Zertifikat? Wenn internationale Industrie- oder Tech-Kunden den Markt bestimmen, führt der Weg meist über ISO 27001. Zweitens: Sind Sie KRITIS oder gehören Sie zu einer Branche mit B3S? Dann ist Grundschutz oder die Kombination naheliegend.

Drittens: Wie reif ist Ihre IT-Dokumentation? Sehr unstrukturierte Landschaften profitieren vom Bausteinansatz des Grundschutzes als Strukturgeber. Viertens: Wie groß ist Ihr Team für Pflege und Audit? Grundschutz braucht mehr kontinuierliche Pflege, ISO 27001 mehr methodische Kompetenz im Risikoprozess.

Fünftens: Stehen Sie unter dem NIS-2-Umsetzungsgesetz und benötigen Sie eine Plattform, die sowohl Meldepfade 24h und 72h als auch Risikomanagement und Lieferkettenprüfung abbildet? Sechstens: Welche Beratungs- und Auditressourcen sind regional verfügbar?

Eine pragmatische Regel: Mittelstand mit internationaler Lieferkette und unter zweihundertfünfzig Mitarbeitenden startet meist mit ISO 27001:2022 ISMS und nutzt das Grundschutz-Kompendium als Maßnahmen-Steinbruch. KRITIS-pflichtige Organisationen und Behördennahe Auftragnehmer wählen häufig den BSI-Pfad. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

Das BSI bietet seit Jahren einen kombinierten Pfad an. Sie führen ein ISMS nach BSI-Standard 200-1 und 200-2, setzen die Anforderungen aus den relevanten Bausteinen um und erhalten am Ende ein ISO-27001-Zertifikat auf Basis von IT-Grundschutz, ausgestellt durch eine akkreditierte Zertifizierungsstelle unter Aufsicht des BSI. Damit haben Sie ein international anerkanntes Zertifikat und ein deutsches Grundschutz-Niveau in einem Zug.

Stärken: Maximale Konkretheit, hohe Akzeptanz in deutschen Behörden, gleichzeitig internationale Anschlussfähigkeit. Schwächen: Höchster Aufwand der drei Wege, längste Vorbereitungsphase, anspruchsvolles Audit. Geeignet besonders für Organisationen mit gemischter Kundschaft, mit Behördenanteil und internationalen Auftraggebern.

In der CIVAC-Plattform und Officer-as-a-Service ist das Mapping ISO 27001 Annex A zu BSI-Bausteinen hinterlegt, sodass eine Anforderung nur einmal dokumentiert wird, aber in beiden Frameworks erscheint. Die Berichtslinie zur Geschäftsleitung wird mit einer monatlichen Statusübersicht versorgt: Anzahl Risiken, Reifegrad pro Baustein, offene Maßnahmen, Audit-Status. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen.

Egal welcher Rahmen, der Erfolg hängt von drei Faktoren ab: klare Verantwortung, gelebte Routine und reproduzierbarer Nachweis. Ohne benannten Informationssicherheitsbeauftragten mit Bestellurkunde, unterschrieben, abgelegt, belegbar, ohne monatlichen Statusbericht an die Geschäftsleitung und ohne Audit-Vorbereitung im laufenden Betrieb wird jedes ISMS zur Papierübung.

Die CIVAC-Plattform und Officer-as-a-Service liefert für beide Rahmenwerke vorkonfigurierte Workspaces. Für ISO 27001:2022 sind die 93 Controls als Kontrollkatalog mit Verantwortlichkeiten, Nachweistypen und Auditfragen hinterlegt. Für BSI IT-Grundschutz steht das Bausteinmodell mit den jeweiligen Anforderungen bereit. Beide Welten teilen sich Risikomanagement, Vorfallmanagement, Lieferantenprüfung, Schulung und Bewusstseinsmaßnahmen, alles in EU-Datenresidenz.

Sie haben zwei Wege: Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Im zweiten Modell stellt CIVAC einen externen Informationssicherheitsbeauftragten, Bestellung binnen zwei Werktagen statt klassischer zwei bis sechs Wochen, monatlicher Statusbericht, Vorbereitung interner und externer Audits. Die 37 einsatzbereiten Audit-Vorlagen decken beide Frameworks ab.

Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de, wenn Ihre Organisation den passenden Rahmen wählen oder das ISMS auditfest aufbauen möchte.