GRUNDSCHUTZ.NET
Kontakt

IT-Grundschutz-Profile

IT-Grundschutz-Profile sind vorgefertigte, praxisnahe Muster für Sicherheitskonzepte zu einem klar abgegrenzten Anwendungsfall (z. B. eine Behörde, ein Betriebsprozess oder ein Leitstellen-Betrieb). Sie zeigen anhand eines realistischen Beispiels, wie die Vorgehensweise nach IT-Grundschutz Schritt für Schritt umgesetzt werden kann – vom Zuschnitt des Geltungsbereichs über die Modellierung bis zur Auswahl relevanter Bausteine und Maßnahmen. Profile werden häufig gemeinschaftlich von Branchen, Behörden oder Verbänden erarbeitet und öffentlich bereitgestellt.

Beispiele sind Profile für kommunale Verwaltungen (Basis-Absicherung), Leitstellen oder die Nutzung der E-Akte Bund. Sie erleichtern den Einstieg, weil typische Objekte, Bausteine und Mindestmaßnahmen bereits vorkonfiguriert sind.

Einordnung in den IT-Grundschutz / BSI-Standards

Profile ergänzen die Methodik des BSI-Standards 200-2: Sie liefern eine Vorlage für die Modellierung nach IT-Grundschutz (Auswahl und Zuordnung der Bausteine des Kompendiums zu Prozessen, Anwendungen, IT-Systemen, Räumen etc.) und geben Hinweise zur sinnvollen Umsetzungsreihenfolge. Sie ersetzen jedoch weder die Schutzbedarfsfeststellung noch die Risikobetrachtung – beides bleibt, je nach Schutzbedarf und Abbildbarkeit, erforderlich.
Besteht hoher oder sehr hoher Schutzbedarf oder lässt sich der Einsatzfall nicht hinreichend mit Bausteinen modellieren, ist zusätzlich die Risikoanalyse nach BSI-Standard 200-3 durchzuführen.

Zweck und Nutzen

  • Schneller Einstieg & Aufwandssenkung: Statt „bei Null“ zu beginnen, erhalten Institutionen ein erprobtes Raster für typische Strukturen, Abhängigkeiten und Maßnahmen.
  • Vergleichbarkeit & Community-Wissen: Profile entstehen oft kollaborativ; so fließen Erfahrungen aus Behörden, Unternehmen und Verbänden ein.
  • Orientierung für Branchen & KRITIS: Für kritische Infrastrukturen existieren spezifische Profile, die branchentypische Besonderheiten berücksichtigen.

Praktische Relevanz

In der Anwendung dienen Profile als Startpunkt:

  1. Passfähigkeit prüfen (Scope, Prozesse, Technik).
  2. Geltungsbereich definieren und den Informationsverbund gemäß 200-2 modellieren (Bausteinauswahl und -zuordnung).
  3. IT-Grundschutz-Check gegen die vorgegebenen Anforderungen durchführen.
  4. Abweichungen schließen und – falls Schutzbedarf hoch/ sehr hoch ist oder der Einsatzfall abweicht – eine Risikoanalyse nach 200-3 anschließen.

Gerade für Behörden und KMU sind Profile ein effizienter Weg, schnell ein tragfähiges Grundniveau zu erreichen und anschließend gezielt zu vertiefen. Konkrete Profile (z. B. Kommunalverwaltung, Leitstellen, E-Akte Bund) können weitgehend übernommen und dann an lokale Rahmenbedingungen angepasst werden.

Kurz gesagt: IT-Grundschutz-Profile sind praxiserprobte Schablonen, die die 200-2-Methodik greifbar machen und den Weg zur passgenauen Sicherheitskonzeption deutlich verkürzen – ohne die Pflicht zur eigenen Schutzbedarfs- und Risikobetrachtung auszuhebeln.

Relevante Links

Zurück zum Glossar