Cybervize - Cybersecurity Beratung

ISO 27001 auf Basis von IT-Grundschutz: das Zertifizierungsschema

BSI IT-GrundschutzCEOCISOISMS ManagerIT-Leitung

Kernaussage

"ISO 27001 auf Basis von IT-Grundschutz" ist ein eigenes Zertifizierungsschema des BSI. Es bescheinigt ein ISMS, das die Anforderungen der ISO/IEC 27001 erfüllt, prüft das aber nicht gegen den knappen, abstrakten Normtext, sondern gegen die konkretere IT-Grundschutz-Methodik und das IT-Grundschutz-Kompendium als Prüfkatalog.

Für die Führungsebene bedeutet das: Das BSI-Zertifikat und ein natives ISO-27001-Zertifikat zielen auf dieselbe Norm, unterscheiden sich aber in Prüftiefe, Nachweisbarkeit und ausstellender Instanz. Die Wahl des Wegs ist eine bewusste Managemententscheidung mit Konsequenzen für Aufwand, Auditorenkreis und Marktakzeptanz - keine technische Detailfrage.

Problem in der Praxis

In vielen Organisationen heißt das Ziel pauschal "ISO 27001", ohne dass geklärt ist, welcher Weg gemeint ist: die direkte Zertifizierung gegen die ISO-Norm oder die Variante auf Basis von IT-Grundschutz. Die Entscheidung fällt dann implizit, oft erst bei der Auswahl der Stelle.

Das rächt sich an zwei Stellen. Erstens beim Niveau: Wer annimmt, eine breite Basis-Absicherung genüge, stellt im Audit fest, dass das Schema das über Standard- oder Kern-Absicherung erreichte Niveau voraussetzt. Zweitens bei der Erwartung Dritter: Ein öffentlicher Auftraggeber, Regulator oder Großkunde erwartet mitunter ausdrücklich die BSI-Variante mit ihrer höheren Prüftiefe, während die Organisation auf eine native Zertifizierung hingearbeitet hat. Beide Fehler werden spät sichtbar und sind teuer.

CISO-Einordnung

Der Kern des Schemas ist ein Mechanismus. Die ISO/IEC 27001 ist die international anerkannte, zertifizierbare Norm, aber bewusst schlank: wenige Seiten normativer Vorgaben und ein Anhang mit generischen Controls, ohne praktische Umsetzungshilfe. Der IT-Grundschutz interpretiert und konkretisiert genau diese generischen Anforderungen.

Im BSI-Schema wird daraus ein Prüfmechanismus: Das IT-Grundschutz-Kompendium ist der Prüfkatalog, also der Soll-Maßstab, gegen den der Ist-Zustand des ISMS gemessen wird. Die Voraussetzung: Die Basis- und Standard-Anforderungen der einschlägigen Bausteine müssen umgesetzt sein - sie bilden zusammen den Stand der Technik. Eine Standard- oder Kern-Absicherung bildet die ISO-27001-Anforderungen ab; eine reine Basis-Absicherung trägt die Zertifizierung nicht. Der Geltungsbereich ist der definierte Informationsverbund; bei einer Kern-Absicherung kann auch ein bewusst abgegrenzter Verbund zertifiziert werden.

Zwei Rollen sind zu trennen. Das BSI betreibt das Schema, lässt die Auditoren zu und stellt das Zertifikat aus - es ist die Zertifizierungsinstanz. Der Auditor ist eine beim BSI zugelassene, für dieses Schema zertifizierte Person; er führt das Audit durch und erstellt den Bericht, auf dessen Grundlage das BSI über die Zertifizierung entscheidet. Das unterscheidet das Schema von der nativen ISO-27001-Zertifizierung durch akkreditierte Stellen. Beide Wege sind eigenständig; das BSI-Schema ist die IT-Grundschutz-spezifische Variante mit größerer Prüftiefe.

Umsetzungsperspektive

Aus CISO-Sicht ist die Zertifizierung kein Endspurt, sondern die Bestätigung eines bereits betriebenen ISMS. Der Weg dorthin folgt einer erkennbaren Logik:

  • Weichenstellung: native ISO-Variante oder BSI-Schema, und für welchen Informationsverbund.
  • Niveau: Standard- oder Kern-Absicherung muss tatsächlich erreicht sein, nicht nur eine Basis-Absicherung.
  • Der IT-Grundschutz-Check macht den Umsetzungsgrad sichtbar; offene Punkte werden behandelt oder nachvollziehbar begründet. Abweichungen von einer SOLLTE-Anforderung verlangen eine stichhaltige Begründung, und bei Basis-Anforderungen ist der Status "entbehrlich" nicht zulässig.
  • Das Audit ist zweistufig - in der Praxis typischerweise eine Prüfung der Dokumentation und anschließend der Umsetzung. Das Ergebnis führt zum BSI-Zertifikat.

Wie bei Managementsystem-Zertifikaten üblich, folgen auf das Erstaudit wiederkehrende Prüfungen und später eine Rezertifizierung. Die genauen Fristen, das Auditierungsschema und die Gültigkeitsdauer regelt jedoch das jeweils aktuelle Zertifizierungsschema des BSI, nicht die 200-x-Standards; sie sind vor jeder Planung gegen die aktuellen BSI-Dokumente zu prüfen.

Typische Fehler

  1. Die Variante - native ISO oder BSI-Schema - wird nicht bewusst entschieden, sondern ergibt sich aus der Wahl der Stelle.
  2. Es wird angenommen, eine Basis-Absicherung reiche für eine Zertifizierung; tatsächlich braucht es das Niveau der Standard- oder Kern-Absicherung.
  3. Das Kompendium wird als reine Abhak-Checkliste behandelt statt als Prüfkatalog im Kontext eines betriebenen ISMS.
  4. Es wird übersehen, dass nur beim BSI zugelassene Auditoren dieses Schema auditieren dürfen - nicht jeder ISO-27001-Auditor ist berechtigt.
  5. Nachweise werden kurz vor dem Audit zusammengesucht, statt im Regelbetrieb zu entstehen.

Risiken und Trade-offs

Die Wahl zwischen den beiden Wegen ist ein echter Trade-off. Das BSI-Schema bietet eine höhere, methodisch klar definierte Prüftiefe und starke Nachweisbarkeit; es genießt im deutschen Markt, bei Behörden und in regulierten Bereichen besondere Anerkennung. Der Preis ist mehr Aufwand, die Bindung an die deutschsprachige IT-Grundschutz-Methodik und ein kleinerer Kreis zugelassener Auditoren. Die native ISO-27001-Zertifizierung ist international breiter anerkannt, flexibler im Zuschnitt und durch viele akkreditierte Stellen verfügbar; dafür hängt die faktische Prüftiefe stärker vom selbst gewählten Geltungsbereich und der Erklärung zur Anwendbarkeit ab.

Abzuwägen ist also nicht "günstig gegen teuer", sondern "internationale Flexibilität gegen vorgegebene Prüftiefe und Behördenakzeptanz". Diese Abwägung gehört vor die Leitung, weil sie Marktzugang und Glaubwürdigkeit des Zertifikats betrifft.

Entscheidungspunkte

  • Streben wir die native ISO-27001-Zertifizierung oder die Variante auf Basis von IT-Grundschutz an?
  • Für welchen Informationsverbund - die gesamte Institution oder einen abgegrenzten Verbund der Kern-Absicherung?
  • Ist das erforderliche Niveau (Standard- oder Kern-Absicherung) erreicht, oder stehen wir noch bei einer Basis-Absicherung?
  • Erwarten unsere Kunden, Auftraggeber oder Regulatoren ein bestimmtes Zertifikat?
  • Wer in der Leitung trägt das Restrisiko offener oder begründet abgewichener Anforderungen?

Praktische Empfehlungen

  1. Legen Sie Variante und Geltungsbereich früh und dokumentiert fest, statt sie über die Auswahl der Stelle implizit zu entscheiden.
  2. Stellen Sie vor dem Audit sicher, dass tatsächlich das Niveau der Standard- oder Kern-Absicherung erreicht ist, nicht nur eine Basis-Absicherung.
  3. Verankern Sie das Kompendium als laufenden Prüfmaßstab im ISMS-Betrieb, sodass Nachweise als Nebenprodukt entstehen.
  4. Prüfen Sie die Zulassung des Auditors für dieses Schema, bevor Sie ein Angebot annehmen.
  5. Ziehen Sie für Fristen, Ablauf und Gültigkeit ausschließlich das aktuelle Zertifizierungsschema des BSI heran.

Relevante Normreferenzen

  • ISO/IEC 27001:2022: Referenz für die zertifizierbaren ISMS-Anforderungen. ISO-Ausgabe vor Verwendung prüfen.
  • BSI-Standard 200-1 (Managementsysteme für Informationssicherheit): Fundstelle für die Kompatibilität zur ISO/IEC 27001 und das zweistufige Zertifizierungsverfahren.
  • BSI-Standard 200-2 (IT-Grundschutz-Methodik): Fundstelle für Anforderungsarten, Stand der Technik und IT-Grundschutz-Check.
  • IT-Grundschutz-Kompendium: Fundstelle und Prüfkatalog des Schemas. Verbindlich ist das BSI-Original.
  • Zertifizierungsschema des BSI: maßgeblich für Auditablauf, Gültigkeitsdauer und Überwachung. Separat und aktuell heranziehen.

Häufige Fragen

Was ist der Unterschied zwischen ISO 27001 und ISO 27001 auf Basis von IT-Grundschutz?+

Beide bescheinigen ein ISMS gegen dieselbe Norm. Die native Zertifizierung erfolgt durch akkreditierte Stellen gegen den ISO-Text; die BSI-Variante misst die ISO-Konformität anhand der IT-Grundschutz-Methodik und des Kompendiums als Prüfkatalog und hat dadurch größere Prüftiefe.

Wer stellt das Zertifikat aus?+

Das BSI als Zertifizierungsinstanz. Beim BSI zugelassene Auditoren führen das zweistufige Audit durch; auf Grundlage ihres Berichts entscheidet das BSI.

Reicht eine Basis-Absicherung für die Zertifizierung?+

Nein. Das Schema setzt das über Standard- oder Kern-Absicherung erreichte Niveau voraus, also Basis- und Standard-Anforderungen als Stand der Technik. Möglich ist eine Zertifizierung auch für den abgegrenzten Verbund einer Kern-Absicherung.

Was ist der Prüfkatalog?+

Das IT-Grundschutz-Kompendium. Es liefert den Soll-Maßstab, gegen den der Ist-Zustand des ISMS im Audit gemessen wird.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen BSI IT-Grundschutz prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: gs-cert-008.