Cybervize - Cybersecurity Beratung

Die drei Vorgehensweisen: Basis-, Kern- und Standard-Absicherung

BSI IT-GrundschutzCEOCISOISMS ManagerIT-Leitung

Kernaussage

Der IT-Grundschutz bietet drei aufeinander bezogene Vorgehensweisen: Basis-, Kern- und Standard-Absicherung. Sie unterscheiden sich nicht im Ziel, sondern in Breite, Tiefe und Reihenfolge der Absicherung.

Für die Führungsebene gilt: Die Standard-Absicherung ist das eigentliche Ziel. Basis- und Kern-Absicherung sind legitime Einstiege, die schneller wirken, aber unvollständig bleiben. Wer die Wahl als Dauerzustand statt als Etappe versteht, baut ein Niveau auf, das später teuer nachgezogen werden muss; eine reine Basis-Absicherung trägt zudem keine Zertifizierung.

Problem in der Praxis

In vielen Organisationen wird die Vorgehensweise nicht bewusst gewählt, sondern ergibt sich aus Ressourcendruck: Man startet mit dem schnell Machbaren und verliert den Zielpfad.

Daraus entstehen zwei Muster. Im ersten bleibt eine Organisation dauerhaft in der Basis-Absicherung stehen, weil sie als "erledigt" gilt; niemand hat dieses zu niedrige Niveau bewusst entschieden. Im zweiten schützt die Kern-Absicherung die wichtigsten Werte, wird aber nie auf den Rest der Organisation ausgeweitet. Spätestens wenn ein Kunde oder Auditor nach dem erreichten Niveau fragt, zeigt sich: Die Vorgehensweise bestimmt direkt, was zertifizierbar ist.

CISO-Einordnung

Drei Leitfragen ordnen die Wahl: Wie breit sichern wir ab, wie tief, und was treibt die Auswahl - Reifegrad und Ressourcen oder ein konkreter, hoher Schutzbedarf einzelner Werte?

Die Basis-Absicherung sichert breit, aber flach: ein grundlegendes Schutzfundament über viele Bereiche, das schnell die größten Risiken senkt. Sie eignet sich bei niedrigem Reifegrad, normalem Schutzbedarf und ohne existenzbedrohende Werte.

Die Kern-Absicherung sichert schmal, aber tief: Sie schützt die essenziellen Prozesse und Ressourcen ("Kronjuwelen") vorrangig und vollständig. Sie ist sinnvoll, wenn der hohe Schutzbedarf auf einen klar abgrenzbaren Ausschnitt begrenzt ist.

Die Standard-Absicherung sichert breit und tief: Sie bringt alle relevanten Bereiche auf den vollständigen Stand der Technik und ist die vom BSI präferierte Vorgehensweise. Sie setzt ausreichenden Reifegrad und meist Erfahrung mit IT-Grundschutz oder ISO 27001 voraus.

Bei hohem oder sehr hohem Schutzbedarf reicht die Bausteinlogik nicht aus; dann tritt eine ergänzende Risikoanalyse hinzu (BSI-Standard 200-3) - fester Bestandteil der Kern-Absicherung und bei der Standard-Absicherung dort einschlägig, wo Werte den normalen Schutzbedarf übersteigen.

Umsetzungsperspektive

Die Auswahl erfolgt anfangs auf Basis einer groben Bestandsaufnahme - aus Managementsicht eine Etappen-, keine Endentscheidung. Ein bewährter Pfad:

  • Bei niedrigem Reifegrad und normalem Schutzbedarf mit der Basis-Absicherung als schnellem Fundament beginnen.
  • Wenn einzelne Werte herausragen und ihr Ausfall existenzbedrohend wäre, vorrangig die Kern-Absicherung fahren.
  • Den Übergang zur Standard-Absicherung von Beginn an als Ziel mit Zeithorizont benennen.

In der Aufrechterhaltung wird die Vorgehensweise erweitert: von Basis zu Standard in der Tiefe, von Kern zu einem größeren Geltungsbereich in der Breite. Der Hebel ist die Anforderungstiefe: Die Basis-Absicherung verlangt nur die grundlegende Ebene, Standard und Kern zusätzlich die darüber liegende, die zusammen den Stand der Technik bilden und über die Zertifizierbarkeit entscheiden.

Typische Fehler

  1. Die Basis-Absicherung wird als Endzustand verstanden und das Ziel Standard-Absicherung gerät aus dem Blick.
  2. Die Kern-Absicherung schützt die Kronjuwelen, wird danach aber nie auf das Umfeld ausgeweitet.
  3. Die Vorgehensweise wird nach Budget statt nach Schutzbedarf und Reifegrad gewählt.
  4. Es wird angenommen, eine reine Basis-Absicherung führe zu einer Zertifizierung.
  5. Hoher Schutzbedarf wird erkannt, aber die ergänzende Risikoanalyse unterbleibt.

Risiken und Trade-offs

Jede Vorgehensweise tauscht etwas gegen etwas anderes. Die Basis-Absicherung kauft Geschwindigkeit und Breite mit niedrigerem Niveau - vertretbar als Einstieg, riskant als Dauerlösung. Die Kern-Absicherung kauft Tiefe mit engerer Abdeckung und erzeugt ein gut geschütztes Zentrum in einem schwächeren Umfeld, das Angreifer ausnutzen können. Die Standard-Absicherung erkauft ein durchgängig angemessenes Niveau mit höherem Aufwand.

Der eigentliche Trade-off ist damit nicht "günstig gegen teuer", sondern "schneller Teilschutz heute gegen angemessenen Gesamtschutz auf Sicht". Diese Abwägung gehört vor die oberste Leitung, weil sie das Restrisiko bestimmt.

Entscheidungspunkte

  • Mit welcher Vorgehensweise starten wir, und bis wann erreichen wir die Standard-Absicherung?
  • Gibt es Werte mit hohem Schutzbedarf, die eine Kern-Absicherung und eine ergänzende Risikoanalyse erfordern?
  • Streben wir eine Zertifizierung an, und für welchen Geltungsbereich?
  • Wer in der Leitung akzeptiert das Restrisiko einer noch nicht abgeschlossenen Standard-Absicherung?

Praktische Empfehlungen

  1. Treffen Sie die Wahl bewusst und dokumentiert, nicht implizit über den Aufwand, und verankern Sie die Standard-Absicherung als Ziel mit Zeithorizont.
  2. Nutzen Sie die Kern-Absicherung gezielt für wenige, klar abgrenzbare Kronjuwelen statt für einen unscharfen Ausschnitt.
  3. Klären Sie früh, ob eine Zertifizierung das Ziel ist; das schließt eine reine Basis-Absicherung als Endzustand aus.
  4. Behandeln Sie hohen Schutzbedarf konsequent mit der ergänzenden Risikoanalyse statt in der Bausteinlogik.

Relevante Normreferenzen

  • BSI-Standard 200-2 (IT-Grundschutz-Methodik): Fundstelle für die drei Vorgehensweisen und ihre Auswahl. Verbindlich ist der Originalstandard.
  • BSI-Standard 200-3 (Risikoanalyse auf der Basis von IT-Grundschutz): Fundstelle für die ergänzende Risikoanalyse bei hohem Schutzbedarf.
  • BSI-Standard 200-1 (Managementsysteme für Informationssicherheit): Fundstelle für die ISMS-Einbettung der Methodik.
  • ISO/IEC 27001:2022: Referenz für die zertifizierbaren ISMS-Anforderungen. ISO-Ausgabe vor Verwendung prüfen.

Häufige Fragen

Welche Vorgehensweise ist das eigentliche Ziel?+

Die Standard-Absicherung. Basis- und Kern-Absicherung sind Einstiege, die mittelfristig dorthin überführt werden sollen.

Wofür ist die Kern-Absicherung gedacht?+

Für den vorrangigen, tiefen Schutz weniger essenzieller Werte, deren Verlust existenzbedrohend wäre und die klar abgrenzbar sind.

Kann ich mich mit einer Basis-Absicherung zertifizieren lassen?+

Nein. Eine Zertifizierung setzt das über Standard- oder Kern-Absicherung erreichte Niveau (Stand der Technik) voraus; die Basis-Absicherung allein reicht nicht. Möglich ist eine Zertifizierung aber auch für den abgegrenzten Geltungsbereich einer Kern-Absicherung.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen BSI IT-Grundschutz prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: gs-meth-002.