Die drei Vorgehensweisen: Basis-, Kern- und Standard-Absicherung
Kernaussage
Der IT-Grundschutz bietet drei aufeinander bezogene Vorgehensweisen: Basis-, Kern- und Standard-Absicherung. Sie unterscheiden sich nicht im Ziel, sondern in Breite, Tiefe und Reihenfolge der Absicherung.
Für die Führungsebene gilt: Die Standard-Absicherung ist das eigentliche Ziel. Basis- und Kern-Absicherung sind legitime Einstiege, die schneller wirken, aber unvollständig bleiben. Wer die Wahl als Dauerzustand statt als Etappe versteht, baut ein Niveau auf, das später teuer nachgezogen werden muss; eine reine Basis-Absicherung trägt zudem keine Zertifizierung.
Problem in der Praxis
In vielen Organisationen wird die Vorgehensweise nicht bewusst gewählt, sondern ergibt sich aus Ressourcendruck: Man startet mit dem schnell Machbaren und verliert den Zielpfad.
Daraus entstehen zwei Muster. Im ersten bleibt eine Organisation dauerhaft in der Basis-Absicherung stehen, weil sie als "erledigt" gilt; niemand hat dieses zu niedrige Niveau bewusst entschieden. Im zweiten schützt die Kern-Absicherung die wichtigsten Werte, wird aber nie auf den Rest der Organisation ausgeweitet. Spätestens wenn ein Kunde oder Auditor nach dem erreichten Niveau fragt, zeigt sich: Die Vorgehensweise bestimmt direkt, was zertifizierbar ist.
CISO-Einordnung
Drei Leitfragen ordnen die Wahl: Wie breit sichern wir ab, wie tief, und was treibt die Auswahl - Reifegrad und Ressourcen oder ein konkreter, hoher Schutzbedarf einzelner Werte?
Die Basis-Absicherung sichert breit, aber flach: ein grundlegendes Schutzfundament über viele Bereiche, das schnell die größten Risiken senkt. Sie eignet sich bei niedrigem Reifegrad, normalem Schutzbedarf und ohne existenzbedrohende Werte.
Die Kern-Absicherung sichert schmal, aber tief: Sie schützt die essenziellen Prozesse und Ressourcen ("Kronjuwelen") vorrangig und vollständig. Sie ist sinnvoll, wenn der hohe Schutzbedarf auf einen klar abgrenzbaren Ausschnitt begrenzt ist.
Die Standard-Absicherung sichert breit und tief: Sie bringt alle relevanten Bereiche auf den vollständigen Stand der Technik und ist die vom BSI präferierte Vorgehensweise. Sie setzt ausreichenden Reifegrad und meist Erfahrung mit IT-Grundschutz oder ISO 27001 voraus.
Bei hohem oder sehr hohem Schutzbedarf reicht die Bausteinlogik nicht aus; dann tritt eine ergänzende Risikoanalyse hinzu (BSI-Standard 200-3) - fester Bestandteil der Kern-Absicherung und bei der Standard-Absicherung dort einschlägig, wo Werte den normalen Schutzbedarf übersteigen.
Umsetzungsperspektive
Die Auswahl erfolgt anfangs auf Basis einer groben Bestandsaufnahme - aus Managementsicht eine Etappen-, keine Endentscheidung. Ein bewährter Pfad:
- Bei niedrigem Reifegrad und normalem Schutzbedarf mit der Basis-Absicherung als schnellem Fundament beginnen.
- Wenn einzelne Werte herausragen und ihr Ausfall existenzbedrohend wäre, vorrangig die Kern-Absicherung fahren.
- Den Übergang zur Standard-Absicherung von Beginn an als Ziel mit Zeithorizont benennen.
In der Aufrechterhaltung wird die Vorgehensweise erweitert: von Basis zu Standard in der Tiefe, von Kern zu einem größeren Geltungsbereich in der Breite. Der Hebel ist die Anforderungstiefe: Die Basis-Absicherung verlangt nur die grundlegende Ebene, Standard und Kern zusätzlich die darüber liegende, die zusammen den Stand der Technik bilden und über die Zertifizierbarkeit entscheiden.
Typische Fehler
- Die Basis-Absicherung wird als Endzustand verstanden und das Ziel Standard-Absicherung gerät aus dem Blick.
- Die Kern-Absicherung schützt die Kronjuwelen, wird danach aber nie auf das Umfeld ausgeweitet.
- Die Vorgehensweise wird nach Budget statt nach Schutzbedarf und Reifegrad gewählt.
- Es wird angenommen, eine reine Basis-Absicherung führe zu einer Zertifizierung.
- Hoher Schutzbedarf wird erkannt, aber die ergänzende Risikoanalyse unterbleibt.
Risiken und Trade-offs
Jede Vorgehensweise tauscht etwas gegen etwas anderes. Die Basis-Absicherung kauft Geschwindigkeit und Breite mit niedrigerem Niveau - vertretbar als Einstieg, riskant als Dauerlösung. Die Kern-Absicherung kauft Tiefe mit engerer Abdeckung und erzeugt ein gut geschütztes Zentrum in einem schwächeren Umfeld, das Angreifer ausnutzen können. Die Standard-Absicherung erkauft ein durchgängig angemessenes Niveau mit höherem Aufwand.
Der eigentliche Trade-off ist damit nicht "günstig gegen teuer", sondern "schneller Teilschutz heute gegen angemessenen Gesamtschutz auf Sicht". Diese Abwägung gehört vor die oberste Leitung, weil sie das Restrisiko bestimmt.
Entscheidungspunkte
- Mit welcher Vorgehensweise starten wir, und bis wann erreichen wir die Standard-Absicherung?
- Gibt es Werte mit hohem Schutzbedarf, die eine Kern-Absicherung und eine ergänzende Risikoanalyse erfordern?
- Streben wir eine Zertifizierung an, und für welchen Geltungsbereich?
- Wer in der Leitung akzeptiert das Restrisiko einer noch nicht abgeschlossenen Standard-Absicherung?
Praktische Empfehlungen
- Treffen Sie die Wahl bewusst und dokumentiert, nicht implizit über den Aufwand, und verankern Sie die Standard-Absicherung als Ziel mit Zeithorizont.
- Nutzen Sie die Kern-Absicherung gezielt für wenige, klar abgrenzbare Kronjuwelen statt für einen unscharfen Ausschnitt.
- Klären Sie früh, ob eine Zertifizierung das Ziel ist; das schließt eine reine Basis-Absicherung als Endzustand aus.
- Behandeln Sie hohen Schutzbedarf konsequent mit der ergänzenden Risikoanalyse statt in der Bausteinlogik.
Relevante Normreferenzen
- BSI-Standard 200-2 (IT-Grundschutz-Methodik): Fundstelle für die drei Vorgehensweisen und ihre Auswahl. Verbindlich ist der Originalstandard.
- BSI-Standard 200-3 (Risikoanalyse auf der Basis von IT-Grundschutz): Fundstelle für die ergänzende Risikoanalyse bei hohem Schutzbedarf.
- BSI-Standard 200-1 (Managementsysteme für Informationssicherheit): Fundstelle für die ISMS-Einbettung der Methodik.
- ISO/IEC 27001:2022: Referenz für die zertifizierbaren ISMS-Anforderungen. ISO-Ausgabe vor Verwendung prüfen.
Häufige Fragen
Welche Vorgehensweise ist das eigentliche Ziel?+
Die Standard-Absicherung. Basis- und Kern-Absicherung sind Einstiege, die mittelfristig dorthin überführt werden sollen.
Wofür ist die Kern-Absicherung gedacht?+
Für den vorrangigen, tiefen Schutz weniger essenzieller Werte, deren Verlust existenzbedrohend wäre und die klar abgrenzbar sind.
Kann ich mich mit einer Basis-Absicherung zertifizieren lassen?+
Nein. Eine Zertifizierung setzt das über Standard- oder Kern-Absicherung erreichte Niveau (Stand der Technik) voraus; die Basis-Absicherung allein reicht nicht. Möglich ist eine Zertifizierung aber auch für den abgegrenzten Geltungsbereich einer Kern-Absicherung.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen BSI IT-Grundschutz prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: gs-meth-002.
