IT-Grundschutz-Bausteine

IT-Grundschutz-Bausteine sind modular aufgebaute Kapitel des IT-Grundschutz-Kompendiums. Jeder Baustein bündelt für ein typisches Thema (z. B. Prozesse, Komponenten, Systeme) die spezifische Gefährdungslage sowie klare Sicherheitsanforderungen—gegliedert in Basis-, Standard- und Anforderungen bei erhöhtem Schutzbedarf—und ggf. weiterführende Hinweise. So entsteht ein „Baukasten“ mit einheitlichem Aufbau, der sich leicht erweitern und aktualisieren lässt.

Einordnung in den IT-Grundschutz / BSI-Standards

Die Bausteine sind das Arbeitsmaterial der IT-Grundschutz-Methodik (BSI-Standard 200-2): Ein Informationsverbund wird modelliert, indem passende Bausteine ausgewählt und Zielobjekten (z. B. Geschäftsprozessen, Anwendungen, IT-Systemen, Räumen) zugeordnet werden. Das Ergebnis dient als Prüfplan (Soll-Ist-Vergleich) oder als Entwicklungskonzept für neue Vorhaben.
Zur Orientierung sind die Bausteine in ein Schichtenmodell einsortiert—prozessorientiert (ISMS, ORP, CON, OPS, DER) sowie systemorientiert (INF, NET, SYS, APP, IND). Beispiele: „Sicherheitsmanagement“ (ISMS), „Schutz vor Schadprogrammen“ (OPS) oder „Webserver“/„Browser“ (APP).

Für die Umsetzung wird eine sinnvolle Reihenfolge empfohlen (R1 → R2 → R3), beginnend mit Grundpfeilern wie ISMS, Organisation & Personal sowie Kern-IT-Betrieb; maßgeblich ist jedoch immer die Relevanz im betrachteten Verbund.
Die im Kompendium formulierten Basis- und Standard-Anforderungen gelten zusammengenommen als Stand der Technik und sind für eine ISO-27001-Zertifizierung auf Basis von IT-Grundschutz zu erfüllen.

Zweck und Nutzen

Bausteine beschleunigen die Sicherheitskonzeption, weil sie typische Gefährdungen bereits vorbewerten und passende Anforderungen bündeln—damit entfällt für Bereiche mit normalem Schutzbedarf oft eine individuelle Bedrohungs- und Schwachstellenanalyse.
Sie fördern zudem Konsistenz: Terminologie, Muss/Sollte-Formulierungen und Struktur sind einheitlich; Umsetzungshinweise (separat bereitgestellt) helfen, Anforderungen praxisnah in Maßnahmen zu übersetzen.
Über Kreuzreferenztabellen lässt sich transparent zeigen, gegen welche elementaren Gefährdungen eine (nicht) erfüllte Anforderung wirkt—wichtig für Priorisierung, Restrisikobetrachtung und Management-Entscheidungen.

Praktische Relevanz

In der Praxis erfassen Institutionen zunächst Strukturen und Schutzbedarf, modellieren dann den Verbund mit Bausteinen und prüfen die Erfüllung per IT-Grundschutz-Check. So wird z. B. ein E-Mail-Dienst über passende APP-Bausteine, der Betrieb über OPS-Bausteine und organisatorische Aspekte über ORP/CON-Bausteine abgedeckt; Detektion/Response steuert die DER-Schicht bei.
Wo Bausteine (noch) nicht ausreichen oder hoher/ sehr hoher Schutzbedarf besteht, ergänzt man eine Risikoanalyse nach BSI-Standard 200-3 und erweitert Maßnahmen gezielt.