BSI IT-Grundschutz als Umsetzungsrahmen

Warum BSI IT-Grundschutz für KRITIS-Betreiber?

Wenn du ein Stadtwerk, einen Energieversorger, ein Wasserwerk oder einen Entsorgungsbetrieb betreibst, stehst du vor einer zentralen Herausforderung: Du musst dem BSI alle zwei Jahre nachweisen, dass deine IT-Sicherheit dem Stand der Technik entspricht. Genau hier kommt der BSI IT-Grundschutz ins Spiel. Das IT-Grundschutz-Kompendium ist als branchenspezifischer Sicherheitsstandard (B3S) vom BSI anerkannt und wird als Nachweisgrundlage für die KRITIS-Prüfung nach §8a BSIG akzeptiert. Das bedeutet: Wenn du dein Informationssicherheits-Managementsystem (ISMS) nach IT-Grundschutz aufbaust, erfüllst du gleichzeitig die gesetzlichen Nachweispflichten für kritische Infrastrukturen.

Der Vorteil gegenüber anderen Frameworks: IT-Grundschutz ist speziell auf die deutsche Verwaltungs- und Infrastrukturlandschaft zugeschnitten. Die Bausteine adressieren genau die Systeme und Prozesse, die du in einem kommunalen Versorgungsunternehmen vorfindest. Du musst keine abstrakten internationalen Normen auf deine Realität herunterbrechen, sondern kannst direkt mit konkreten Maßnahmenempfehlungen arbeiten. Für Stadtwerke, die häufig sowohl Strom-, Gas- als auch Wasserversorgung betreiben, bietet IT-Grundschutz den zusätzlichen Vorteil, dass du mit einem einheitlichen Rahmenwerk alle Sparten abdecken kannst.

Darüber hinaus erkennen auch die NIS2-Anforderungen ein nach IT-Grundschutz aufgebautes ISMS als geeigneten Nachweis an. Wenn du also heute mit IT-Grundschutz startest, bereitest du dich nicht nur auf die aktuelle KRITIS-Prüfung vor, sondern bist auch für die seit Dezember 2025 geltende NIS2-Regulierung aufgestellt.

Das IT-Grundschutz-Kompendium: Bausteine und Schichtenmodell

Das IT-Grundschutz-Kompendium ist das zentrale Nachschlagewerk des BSI für Informationssicherheit. Es enthält aktuell über 100 Bausteine, die in einem Schichtenmodell organisiert sind. Jeder Baustein beschreibt typische Gefährdungen und konkrete Sicherheitsanforderungen für einen bestimmten Bereich. Für KRITIS-Betreiber sind folgende Bausteinschichten besonders relevant:

• ISMS (Sicherheitsmanagement): Der übergeordnete Baustein für den Aufbau und Betrieb deines Informationssicherheits-Managementsystems. Hier definierst du Sicherheitsleitlinie, Rollen, Verantwortlichkeiten und den kontinuierlichen Verbesserungsprozess. Für Stadtwerke ist dieser Baustein die Grundlage, auf der alles weitere aufbaut.
• ORP (Organisation und Personal): Anforderungen an organisatorische Regelungen, Sensibilisierung und Schulung von Mitarbeitenden. Gerade in kommunalen Versorgungsunternehmen, wo IT-Sicherheit oft nicht die Kernkompetenz der Belegschaft ist, sind diese Bausteine entscheidend.
• CON (Konzepte und Vorgehensweisen): Übergreifende Sicherheitskonzepte wie Kryptografie, Datenschutz, Datensicherung und physische Sicherheit. Für KRITIS-Betreiber besonders wichtig: CON.3 (Datensicherungskonzept) und CON.6 (Löschen und Vernichten).
• OPS (Betrieb): Anforderungen an den sicheren IT-Betrieb, Patch-Management, Malware-Schutz, Protokollierung und Monitoring. Hier liegt der operative Kern deiner IT-Sicherheit. OPS.1.1.2 (Ordnungsgemäße IT-Administration) und OPS.1.2.5 (Fernwartung) sind für Versorger mit verteilten Standorten besonders relevant.
• DER (Detektion und Reaktion): Bausteine für Sicherheitsvorfallsmanagement, Forensik und Notfallmanagement. Für KRITIS-Betreiber ist DER.2.1 (Behandlung von Sicherheitsvorfällen) Pflicht, denn Meldepflichten nach BSIG erfordern einen funktionierenden Incident-Response-Prozess.
• APP (Anwendungen): Sicherheitsanforderungen für spezifische Anwendungen wie Datenbanken, Webserver, E-Mail und Active Directory. Für Versorger sind die Bausteine zu SCADA-nahen IT-Anwendungen und Leittechnik-Software besonders relevant.
• SYS (IT-Systeme): Anforderungen an Server, Clients, mobile Geräte und Virtualisierung. Hier adressierst du die Härtung deiner konkreten Systeme, von Windows-Servern über Linux-Systeme bis hin zu Netzwerkkomponenten.
• NET (Netze und Kommunikation): Netzwerksegmentierung, Firewall-Management, VPN und WLAN. Für Versorger mit OT-Netzwerken (Operational Technology) ist die saubere Trennung zwischen IT- und OT-Netz ein zentrales Thema, das in den NET-Bausteinen adressiert wird.
• INF (Infrastruktur): Physische Sicherheit von Gebäuden, Rechenzentren und technischen Räumen. Für Wasserwerke, Umspannwerke und Kläranlagen mit verteilten Standorten sind diese Bausteine besonders praxisrelevant.

Das Schichtenmodell ermöglicht es dir, die Bausteine systematisch auf deinen Informationsverbund anzuwenden. Du modellierst deine IT-Landschaft, ordnest jedem Zielobjekt (Server, Anwendung, Raum, Netzwerk) die passenden Bausteine zu und arbeitest die Anforderungen Baustein für Baustein ab. Dieser strukturierte Ansatz macht IT-Grundschutz gerade für Versorger attraktiv, die eine heterogene IT-Landschaft mit vielen unterschiedlichen Systemen betreiben.

Vorgehensweisen: Basis, Standard oder Kern-Absicherung?

Das BSI definiert drei Vorgehensweisen für die Umsetzung des IT-Grundschutzes. Die Wahl der richtigen Vorgehensweise hängt von deiner Ausgangslage, deinem Schutzbedarf und deinen Ressourcen ab. Für KRITIS-Betreiber ist die Entscheidung besonders wichtig, weil sie direkt beeinflusst, wie schnell du den Nachweis nach §8a BSIG erbringen kannst.

Basis-Absicherung

Die Basis-Absicherung ist der Einstieg. Du setzt die grundlegenden Sicherheitsanforderungen aller relevanten Bausteine um und erreichst damit ein fundamentales Schutzniveau. Für Stadtwerke, die bisher kein formalisiertes ISMS betreiben, ist die Basis-Absicherung ein guter erster Schritt. Sie reicht jedoch in der Regel nicht als alleiniger Nachweis für die KRITIS-Prüfung aus. Die Basis-Absicherung solltest du daher als Zwischenziel auf dem Weg zur Standard-Absicherung betrachten.

Standard-Absicherung

Die Standard-Absicherung ist die empfohlene Vorgehensweise für KRITIS-Betreiber. Du setzt alle Basis- und Standard-Anforderungen der relevanten Bausteine um und erreichst damit ein Schutzniveau, das dem Stand der Technik entspricht. Die Standard-Absicherung ist die Grundlage für das BSI IT-Grundschutz-Zertifikat und wird als Nachweis für die KRITIS-Prüfung akzeptiert. Für Stadtwerke und Versorger, die langfristig planen, ist die Standard-Absicherung der Goldstandard.

Der Aufwand ist erheblich: Je nach Größe deines Informationsverbunds musst du mit 12 bis 24 Monaten für die erstmalige Umsetzung rechnen. Der Aufwand lohnt sich aber, denn du erhältst ein umfassendes ISMS, das nicht nur die KRITIS-Anforderungen erfüllt, sondern dein gesamtes Sicherheitsniveau nachhaltig hebt.

Kern-Absicherung

Die Kern-Absicherung ist ein pragmatischer Mittelweg. Du konzentrierst dich auf die Absicherung deiner kritischsten Geschäftsprozesse und Systeme, den sogenannten Kronjuwelen. Für einen Energieversorger wäre das beispielsweise die Leittechnik und die SCADA-Systeme. Für ein Wasserwerk die Prozesssteuerung der Aufbereitungsanlage. Die Kern-Absicherung kann als Einstieg dienen, wenn du schnell einen Nachweis für die kritischsten Bereiche erbringen musst. Langfristig solltest du aber auf die Standard-Absicherung hinarbeiten, um den gesamten Informationsverbund abzudecken.

Empfehlung für Stadtwerke und Versorger: Starte mit der Kern-Absicherung für deine kritischen Systeme (insbesondere Leittechnik, Netzsteuerung und Prozessautomatisierung) und erweitere parallel den Scope auf die Standard-Absicherung. Damit erzielst du schnell einen nachweisbaren Schutz für die wichtigsten Bereiche und baust gleichzeitig ein vollständiges ISMS auf.

IT-Grundschutz und NIS2: Wie die Bausteine auf NIS2-Artikel mappen

Mit der Umsetzung der NIS2-Richtlinie in deutsches Recht kommen auf KRITIS-Betreiber zusätzliche Anforderungen zu. Die gute Nachricht: Wenn du bereits nach IT-Grundschutz arbeitest, hast du einen großen Teil der NIS2-Anforderungen bereits abgedeckt. Das Mapping zwischen IT-Grundschutz-Bausteinen und NIS2-Artikeln zeigt die Überschneidungen:

• NIS2 Art. 21 Abs. 2 lit. a (Risikoanalyse und Sicherheitskonzepte): Abgedeckt durch ISMS-Bausteine, insbesondere die Sicherheitsleitlinie, Risikoanalyse und Sicherheitskonzeption nach BSI-Standard 200-2. Die IT-Grundschutz-Risikoanalyse nach BSI-Standard 200-3 erfüllt die NIS2-Anforderungen an ein systematisches Risikomanagement.
• NIS2 Art. 21 Abs. 2 lit. b (Bewältigung von Sicherheitsvorfällen): Abgedeckt durch DER-Bausteine (DER.2.1 Behandlung von Sicherheitsvorfällen, DER.2.2 Vorsorge für die IT-Forensik). Die Meldepflichten nach NIS2 gehen allerdings über die IT-Grundschutz-Anforderungen hinaus. Hier brauchst du ergänzende Prozesse für die Meldung an das BSI.
• NIS2 Art. 21 Abs. 2 lit. c (Business Continuity): Abgedeckt durch DER.4 (Notfallmanagement) und CON.3 (Datensicherungskonzept). Der BSI-Standard 200-4 zum Business Continuity Management ergänzt die IT-Grundschutz-Bausteine um eine umfassende BCM-Methodik.
• NIS2 Art. 21 Abs. 2 lit. d (Sicherheit der Lieferkette): Teilweise abgedeckt durch OPS-Bausteine (insbesondere OPS.2.1 Outsourcing für Kunden). IT-Grundschutz adressiert Lieferkettenrisiken, allerdings nicht mit der Tiefe, die NIS2 fordert. Hier brauchst du ein ergänzendes Dienstleistermanagement.
• NIS2 Art. 21 Abs. 2 lit. e (Sicherheit bei Erwerb und Wartung): Abgedeckt durch SYS-Bausteine (Härtung, Patch-Management) und OPS-Bausteine (Change-Management, Patch-Prozesse).
• NIS2 Art. 21 Abs. 2 lit. j (Multi-Faktor-Authentifizierung): Abgedeckt durch ORP.4 (Identitäts- und Berechtigungsmanagement) und die SYS-Bausteine für Authentifizierungssysteme.

Das Mapping zeigt: IT-Grundschutz deckt schätzungsweise 70 bis 80 % der NIS2-Anforderungen ab. Die verbleibenden Lücken betreffen primär die erweiterten Meldepflichten (24-Stunden-Erstmeldung), die detaillierten Lieferketten-Anforderungen und die Rechenschaftspflichten der Geschäftsleitung. Wenn du deinen NIS2-Anforderungskatalog neben deine IT-Grundschutz-Umsetzung legst, siehst du schnell, wo du bereits compliant bist und wo Nacharbeit nötig ist.

IT-Grundschutz und ISO 27001: Doppelnutzen durch ein Zertifikat

Ein häufiges Missverständnis: IT-Grundschutz und ISO 27001 sind keine konkurrierenden Standards. Das ISO 27001-Zertifikat auf Basis von IT-Grundschutz vereint beide Welten. Es bestätigt, dass dein ISMS sowohl die Anforderungen der internationalen Norm ISO/IEC 27001 als auch die spezifischen Anforderungen des BSI IT-Grundschutz-Kompendiums erfüllt.

Der Doppelnutzen für KRITIS-Betreiber ist erheblich:

• KRITIS-Nachweis: Das Zertifikat wird vom BSI als Nachweis nach §8a BSIG anerkannt. Du sparst dir separate Prüfungen und Audits.
• Internationale Anerkennung: ISO 27001 ist weltweit anerkannt. Wenn dein Versorgungsunternehmen international agiert oder mit internationalen Partnern zusammenarbeitet, verschafft dir das Zertifikat Vertrauen über Landesgrenzen hinweg.
• Kundenanforderungen: Immer mehr kommunale Auftraggeber und Partnerunternehmen fordern ISO 27001 als Mindeststandard. Mit dem IT-Grundschutz-Zertifikat erfüllst du diese Anforderung automatisch.
• Synergien mit weiteren Normen: ISO 27001 bildet die Grundlage für branchenspezifische Erweiterungen wie ISO 27019 (Energieversorgungsunternehmen) oder ISO 27701 (Datenschutz). Wenn du bereits zertifiziert bist, ist die Erweiterung um diese Normen deutlich einfacher.

Der Zertifizierungsprozess umfasst ein zweistufiges Audit durch eine vom BSI zertifizierte Prüfstelle. In der ersten Stufe wird die Dokumentation geprüft (Sicherheitskonzept, Richtlinien, Risikoanalyse). In der zweiten Stufe erfolgt die Vor-Ort-Prüfung, bei der die tatsächliche Umsetzung der Maßnahmen überprüft wird. Das Zertifikat ist drei Jahre gültig, mit jährlichen Überwachungsaudits. Für ein mittelgroßes Stadtwerk mit 200 bis 500 Mitarbeitenden solltest du mit Zertifizierungskosten von 30.000 bis 60.000 EUR rechnen, zuzüglich interner Aufwände für die Umsetzung.

Praxistipps für Versorger: Schutzbedarfsfeststellung bis OT-Modellierung

Die Umsetzung von IT-Grundschutz in einem Versorgungsunternehmen unterscheidet sich in einigen Punkten von einer klassischen IT-Umgebung. Hier sind die wichtigsten Praxistipps:

Schutzbedarfsfeststellung für Versorgungsprozesse

Die Schutzbedarfsfeststellung ist der Ausgangspunkt jeder IT-Grundschutz-Umsetzung. Für Versorger hat sie eine besondere Dimension: Du musst den Schutzbedarf nicht nur für klassische IT-Systeme bestimmen, sondern auch für die Prozesse der Daseinsvorsorge. Die Stromversorgung einer Kleinstadt, die Trinkwasseraufbereitung oder die Gasverteilung haben per Definition einen hohen bis sehr hohen Schutzbedarf in der Kategorie Verfügbarkeit. Das zieht sich durch alle nachgelagerten Systeme: Leittechnik, Netzleitstelle, Fernwirkverbindungen und Prozesssteuerungssysteme erben diesen hohen Schutzbedarf.

Tipp: Beginne die Schutzbedarfsfeststellung bei den Versorgungsprozessen, nicht bei der IT. Frage dich: Welche Prozesse sind für die Versorgungssicherheit kritisch? Welche IT-Systeme unterstützen diese Prozesse? Auf dieser Grundlage modellierst du deinen Informationsverbund top-down, vom Geschäftsprozess zum technischen System. Kopexa unterstützt dich dabei mit einem strukturierten Risikomanagement, das Schutzbedarf, Bedrohungen und Maßnahmen verknüpft.

OT-Systeme im IT-Grundschutz modellieren

Eine der größten Herausforderungen für Versorger: Die Modellierung von OT-Systemen (Operational Technology) im IT-Grundschutz. Leittechnik, SCADA-Systeme, SPS-Steuerungen und Fernwirkverbindungen lassen sich nicht eins zu eins mit den Standard-Bausteinen abbilden. Hier sind einige bewährte Ansätze:

• Netzwerksegmentierung: Trenne IT- und OT-Netzwerke konsequent. Die NET-Bausteine bieten hier klare Anforderungen. Eine DMZ zwischen IT und OT mit kontrollierten Übergängen ist Pflicht. Modelliere die OT-DMZ als eigene Netzzone im IT-Grundschutz.
• Ergänzende Risikoanalyse: Für OT-Systeme, die nicht vollständig durch IT-Grundschutz-Bausteine abgedeckt sind, musst du eine ergänzende Risikoanalyse nach BSI-Standard 200-3 durchführen. Das betrifft typischerweise industrielle Steuerungssysteme, proprietäre Protokolle und Altsysteme ohne aktuelle Sicherheitsupdates.
• ICS-spezifische Bausteine: Das BSI hat mit IND-Bausteinen (Industrielle IT) begonnen, spezifische Anforderungen für industrielle Steuerungssysteme zu definieren. Nutze diese Bausteine als Ergänzung zu den Standard-Bausteinen, wenn sie für deine Systeme verfügbar sind.
• Patch-Management für OT: In OT-Umgebungen ist Patching deutlich komplexer als in der klassischen IT. Systeme können nicht einfach neu gestartet werden, Wartungsfenster sind begrenzt und Herstellerfreigaben dauern oft Monate. Dokumentiere deine Patch-Strategie für OT-Systeme separat und definiere kompensierende Maßnahmen für Systeme, die nicht zeitnah gepatcht werden können. Kopexa hilft dir, diese Assets und ihre Patch-Stände im IT-Asset-Management zu erfassen und zu überwachen.

Risikoanalyse nach BSI-Standard 200-3

Die Risikoanalyse nach BSI-Standard 200-3 ist für KRITIS-Betreiber besonders wichtig, denn sie adressiert genau die Bereiche, die über den normalen Schutzbedarf hinausgehen. Für Versorgungsunternehmen empfiehlt sich folgende Vorgehensweise:

• Identifiziere alle Zielobjekte mit hohem oder sehr hohem Schutzbedarf. In einem Stadtwerk sind das typischerweise die Netzleitstelle, das Leitsystem, die Fernwirkverbindungen und die kritischen Prozesssteuerungssysteme.
• Erstelle für diese Zielobjekte eine detaillierte Gefährdungsanalyse. Nutze die elementaren Gefährdungen des BSI als Ausgangspunkt und ergänze sie um branchenspezifische Bedrohungen (z. B. gezielte Angriffe auf Energieinfrastruktur, physische Sabotage an verteilten Standorten).
• Bewerte die Risiken anhand von Eintrittswahrscheinlichkeit und Schadenshöhe. Für KRITIS-Betreiber ist die Schadenshöhe nicht nur finanziell zu bewerten, sondern auch hinsichtlich der Versorgungssicherheit und der Auswirkungen auf die Bevölkerung.
• Definiere Maßnahmen zur Risikobehandlung und verknüpfe sie mit den IT-Grundschutz-Anforderungen. Jede Maßnahme muss einem Verantwortlichen zugeordnet, terminiert und nachverfolgt werden.

Kopexa für IT-Grundschutz: Framework Builder und Cross-Framework-Synergien

Die Umsetzung von IT-Grundschutz ist ein komplexes Projekt mit hunderten von Anforderungen, dutzenden Bausteinen und zahlreichen Dokumentationspflichten. Kopexa unterstützt dich dabei systematisch:

• Framework Builder: Mit Kopexas Framework Builder bildest du die IT-Grundschutz-Bausteine strukturiert in deiner Compliance-Plattform ab. Du importierst die relevanten Bausteine, ordnest sie deinen Zielobjekten zu und trackst den Umsetzungsstatus jeder einzelnen Anforderung. Der Framework Builder unterstützt die Schichtenstruktur des IT-Grundschutz-Kompendiums und ermöglicht dir eine klare Zuordnung von Bausteinen zu Geschäftsprozessen und IT-Systemen.
• Control-Mapping: IT-Grundschutz ist nicht dein einziges Framework. Als KRITIS-Betreiber musst du gleichzeitig NIS2-Anforderungen erfüllen, ISO 27001 Annex-A-Controls nachweisen und möglicherweise branchenspezifische Standards einhalten. Kopexas Control-Mapping zeigt dir, welche IT-Grundschutz-Anforderungen sich mit Anforderungen anderer Frameworks überschneiden. Wenn du einen IT-Grundschutz-Baustein umgesetzt hast, siehst du sofort, welche NIS2-Artikel und ISO-27001-Controls du damit ebenfalls abgedeckt hast.
• Evidence Management: Für die KRITIS-Prüfung und das Zertifizierungsaudit brauchst du Nachweise. Kopexa ermöglicht dir, Nachweise direkt an die jeweilige IT-Grundschutz-Anforderung zu koppeln. Screenshots, Konfigurationsdateien, Prüfberichte und Richtlinien werden zentral verwaltet und sind jederzeit exportierbar. Bei der nächsten Prüfung lieferst du ein strukturiertes Nachweispaket statt loser Dokumentensammlungen.
• Policy-Management: IT-Grundschutz fordert eine Vielzahl von Richtlinien: Sicherheitsleitlinie, Passwort-Richtlinie, Backup-Richtlinie, Incident-Response-Richtlinie und viele mehr. Kopexa bietet dir Templates, die auf die IT-Grundschutz-Anforderungen abgestimmt sind. Du passt sie an dein Unternehmen an, lässt sie von der Geschäftsleitung freigeben und verteilst sie an die Mitarbeitenden. Der gesamte Lebenszyklus einer Richtlinie ist nachvollziehbar dokumentiert.
• Cross-Framework-Synergien: Hier entfaltet Kopexa seinen größten Mehrwert für KRITIS-Betreiber. Statt IT-Grundschutz, NIS2 und ISO 27001 in separaten Silos zu bearbeiten, arbeitest du in einer integrierten Plattform. Ein umgesetzter IT-Grundschutz-Baustein zählt automatisch auch für die entsprechenden NIS2-Artikel und ISO-27001-Controls. Das spart dir 40 bis 60 % des Aufwands gegenüber einer isolierten Bearbeitung jedes einzelnen Frameworks.
• Dienstleister-Übersicht: Als Versorger arbeitest du mit zahlreichen IT-Dienstleistern, von Cloud-Providern über Leittechnik-Hersteller bis hin zu Managed-Service-Providern. IT-Grundschutz und NIS2 fordern eine lückenlose Übersicht über diese Dienstleister. Kopexas Vendor Management erfasst alle Dienstleister, ihre Vertragsdetails, Sicherheitsnachweise und Risikobewertungen an einem Ort.

Nächste Schritte

Du möchtest tiefer in verwandte Themen einsteigen oder deinen konkreten Handlungsbedarf ermitteln? Hier findest du weiterführende Inhalte:

• NIS2 für KRITIS-Betreiber mit allen Pflichten, Fristen und Umsetzungsschritten für Stadtwerke und Versorger
• KRITIS-Anforderungen nach IT-SiG 2.0 mit Schwellenwerten, Meldepflichten und Nachweispflichten nach BSI-KritisV und BSIG §8a
• NIS2-Anforderungskatalog mit dem vollständigen Katalog aller NIS2-Anforderungen und Umsetzungsleitfäden
• Risikomanagement in Kopexa für Risikoregister, Schutzbedarfsfeststellung und Maßnahmen-Tracking
• Policy-Management für IT-Grundschutz-Richtlinien, Freigabe-Workflows und Verteilung
• IT-Asset-Management für die Erfassung und Überwachung aller IT- und OT-Assets in deinem Informationsverbund
• Vendor Management für die lückenlose Übersicht über IT-Dienstleister, Verträge und Sicherheitsnachweise