Startseite
Zurück zur Übersicht

BSI IT-Grundschutz-Kompendium

Das BSI IT-Grundschutz-Kompendium ist das zentrale Nachschlagewerk des Bundesamts für Sicherheit in der Informationstechnik (BSI) für die Umsetzung von Informationssicherheit in deutschen Unternehmen und Behörden. Es enthält über 100 sogenannte Bausteine mit konkreten Sicherheitsanforderungen für verschiedene IT-Systeme, Anwendungen, Prozesse und Infrastrukturkomponenten. Im Gegensatz zum abstrakteren internationalen Standard ISO 27001 liefert das Kompendium direkt umsetzbare Maßnahmen und dient gleichzeitig als Grundlage für eine Zertifizierung nach „ISO 27001 auf Basis von IT-Grundschutz". Seit Januar 2026 wird das Kompendium durch das modernisierte Framework IT-Grundschutz++ abgelöst, das die Anforderungen deutlich verschlankt und maschinenlesbar im JSON-Format bereitstellt.

Den technische Kern des Kompendiums bilden die modular aufgebauten IT-Grundschutz-Bausteine, die in thematischen Schichten organisiert sind. Sie decken Bereiche wie Netzwerksicherheit, Zugriffskontrollen, Patch-Management, Notfallmanagement und mobile Geräte ab. Jeder Baustein beschreibt die relevante Gefährdungslage sowie konkrete Sicherheitsanforderungen, die Organisationen in drei Absicherungsstufen umsetzen können: Basis-, Kern- und Standardabsicherung, je nach Schutzbedarf und verfügbaren Ressourcen.

Für Behörden, öffentliche Einrichtungen und Unternehmen, die mit staatlichen Stellen zusammenarbeiten, ist das BSI IT-Grundschutz-Kompendium in der Praxis oft verbindlich oder wird als anerkannte Methodik zur Erfüllung gesetzlicher Anforderungen wie dem IT-Sicherheitsgesetz oder der NIS2-Richtlinie herangezogen. Ein Schulträger, der sensible Schülerdaten verarbeitet, oder ein IT-Dienstleister, der öffentliche Auftraggeber beliefert, nutzt das Kompendium als strukturierten Fahrplan für den Aufbau eines nachweisbaren Sicherheitskonzepts.

Ein wesentlicher Vorteil des IT-Grundschutz-Kompendiums ist die Reduzierung des Aufwands für die Risikoanalyse, da das BSI diese für Standardszenarien bereits vorwegnimmt. Organisationen können direkt mit der Umsetzung der Bausteine beginnen, ohne eine vollständige eigenständige Risikoanalyse durchführen zu müssen. Das spart Zeit und macht den Einstieg in strukturierte Informationssicherheit auch für kleinere IT-Teams praktikabel.

Die Anforderungen des Kompendiums an mobile Geräte, Netzwerksicherheit und Zugriffskontrollen lassen sich über zentral verwaltete Geräterichtlinien, Compliance-Checks und Verschlüsselungsstandards technisch umsetzen und helfen dabei, die relevanten Grundschutz-Bausteine nachweisbar zu erfüllen und Audits standzuhalten.