Neuer Text

IT-Grundschutz in der Praxis – Strategien für eine resiliente Informations-Sicherheit

2. August 2025
Bildquelle: Server im RZ - KI-generiert


Strategien für eine resiliente Informationssicherheit

EinleitungDie digitale Transformation bringt zweifellos zahlreiche Chancen – aber auch eine wachsende Angriffsfläche für Cyberbedrohungen. In Zeiten zunehmender Vernetzung, regulatorischer Anforderungen und gestiegener Erwartungen an Datenschutz und IT-Sicherheit benötigen Organisationen ein durchdachtes Sicherheitskonzept. Der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) hat sich in diesem Kontext als fundierter, praxiserprobter Standard etabliert.

Dieser Beitrag zeigt, warum IT-Grundschutz heute weit mehr ist als ein Regelwerk: Er ist ein strategisches Instrument für Sicherheit, Compliance und Resilienz.


Was ist der IT-Grundschutz?

Der IT-Grundschutz ist ein modularer Ansatz zur systematischen Absicherung von IT-Systemen und Geschäftsprozessen. Entwickelt vom BSI, bietet er Organisationen ein methodisches Vorgehen, um Informationssicherheit effektiv und nachvollziehbar umzusetzen.

Im Zentrum steht die Schutzbedarfsfeststellung, also die Frage: Welche Informationen und Systeme sind wie schützenswert? Darauf aufbauend erfolgt die Auswahl und Umsetzung geeigneter Sicherheitsmaßnahmen – technischer, organisatorischer und personeller Art.

Das IT-Grundschutz-Kompendium liefert dafür über 100 Bausteine und eine breite Sammlung typischer Gefährdungen und empfohlener Maßnahmen. Ergänzt wird dies durch optionale Risikoanalysen für besonders kritische Bereiche.


Warum ist der IT-Grundschutz so wichtig?

Informationssicherheit ist längst nicht mehr nur ein IT-Thema – sie ist Chefsache. Cyberangriffe, Datenverluste und regulatorische Verstöße können gravierende Folgen haben: von Betriebsunterbrechungen bis zu Bußgeldern und Reputationsschäden.

IT-Grundschutz hilft Organisationen, strukturiert auf diese Bedrohungen zu reagieren – mit klar definierten Prozessen, nachvollziehbaren Maßnahmen und einer systematischen Weiterentwicklung der Sicherheitslage. Gleichzeitig ist er flexibel genug, um auf neue Bedrohungen wie Ransomware oder hybride Angriffe reagieren zu können.

Auch gesetzlich gewinnt der IT-Grundschutz an Bedeutung. Für Bundesbehörden ist er verbindlich. Für Betreiber kritischer Infrastrukturen (KRITIS) oder im Kontext der NIS2-Richtlinie wird er zunehmend zur Referenz.


Wie wird der IT-Grundschutz umgesetzt?

Die Einführung des IT-Grundschutzes erfolgt in mehreren Schritten:

a) Initiale Analyse

 

  • IT-Systeme, Prozesse, Anwendungen und Datenbestände werden identifiziert
  • Schutzbedarfskategorien (normal, hoch, sehr hoch) werden zugeordnet

 

b) Modellierung

 

  • Passende Bausteine aus dem IT-Grundschutz-Kompendium werden den Komponenten zugeordnet
  • Wiederverwendbarkeit, Standardisierung und Vergleichbarkeit werden ermöglicht

 

c) Basis-Sicherheitscheck

 

  • Abgleich der vorhandenen Sicherheitsmaßnahmen mit den Empfehlungen des BSI
  • Erstellung eines Soll-Ist-Vergleichs
  • Dokumentation über den IT-Grundschutz-Check

 

d) Optional: Ergänzende Risikoanalyse

 

  • Für Bereiche mit hohem oder sehr hohem Schutzbedarf
  • Detaillierte Betrachtung von Bedrohungen, Wahrscheinlichkeiten und Schadensausmaßen

 

e) Umsetzung

 

  • Einführung der notwendigen Maßnahmen
  • Etablierung von Sicherheitsprozessen (z. B. Zugriffsmanagement, Patchmanagement, Backup-Strategien)
  • Schulungen, Awareness-Kampagnen, Sicherheitsrichtlinien

 

f) Kontinuierliche Verbesserung

 

  • Regelmäßige Überprüfung der Maßnahmen
  • Nachbesserungen auf Basis von Vorfällen, Prüfungen oder geänderten Rahmenbedingungen
  • Nutzung von Kennzahlen zur Messung der Sicherheitslage (KPIs)

 


Standards und Rahmenwerke im Umfeld

Der IT-Grundschutz kann eigenständig oder in Kombination mit weiteren Normen genutzt werden:

 

  • ISO/IEC 27001: Internationaler Standard für Informationssicherheitsmanagementsysteme (ISMS); mit IT-Grundschutz kompatibel, auch für Zertifizierungen nutzbar
  • ITIL: Rahmenwerk für das IT-Service-Management – hilfreich bei der sicheren und stabilen Erbringung von IT-Diensten
  • DSGVO / NIS2 / KRITIS-Verordnung: Rechtliche Rahmenbedingungen, in denen IT-Grundschutz als Maßstab dient
  • C5 / TISAX / B3S: Branchenspezifische Ergänzungen oder Ableitungen, z. B. für Cloud, Automotive oder Gesundheitswesen

 

________________________________________

Für wen ist IT-Grundschutz besonders geeignet?

Öffentliche Stellen

 

  • Bundes-, Landes- und Kommunalbehörden
  • Verpflichtung zur Anwendung des IT-Grundschutzes (z. B. in § 8 BSI-Gesetz)

 

Kritische Infrastrukturen

 

  • Energie, Wasser, Gesundheit, Finanzen, Telekommunikation etc.
  • IT-Grundschutz als Wegbereiter für KRITIS-Compliance

 

Unternehmen mit sensiblen Daten

 

  • z. B. im Bereich Forschung, Produktion, IP-Management, Finanzen
  • Schutz vor Spionage, Manipulation und Erpressung

 

KMU und mittelgroße Organisationen

 

  • Nutzen Standardisierung und Methodenvielfalt
  • Erhalten mit IT-Grundschutz einen klar strukturierten Einstieg

 

________________________________________

Herausforderungen aus der Praxis

 

  • Komplexität: Ohne Erfahrung wirkt der Einstieg überfordernd – externe Beratung kann hier stark unterstützen
  • Ressourcenmangel: Besonders KMU fehlt oft das Personal für Sicherheitsaufgaben
  • Akzeptanz: Sicherheitsmaßnahmen müssen als Unterstützung und nicht als Hindernis wahrgenommen werden
  • Technischer Wildwuchs: Heterogene Infrastrukturen erschweren einheitliche Bewertung und Absicherung

 

Tipp: Mit dem "Modernisierten IT-Grundschutz" (seit 2018) wurde das Vorgehen flexibler, modularer und zugänglicher gestaltet.

________________________________________

Empfehlungen zur Einführung

 

  • Fangen Sie klein an, z. B. mit einer Pilotanwendung
  • Setzen Sie auf Transparenz, z. B. durch Stakeholder-Workshops
  • Nutzen Sie etablierte Tools, z. B. GSTOOL oder verinice
  • Verankern Sie Sicherheit im Management, nicht nur in der IT
  • Betrachten Sie IT-Grundschutz als strategischen Hebel, nicht nur als Pflichterfüllung

 

________________________________________

Fazit

IT-Grundschutz ist ein wirkungsvolles Instrument, um Informationssicherheit systematisch und praxisnah umzusetzen. Gerade in einer Zeit wachsender Risiken, steigender regulatorischer Anforderungen und zunehmender Abhängigkeit von IT-Infrastrukturen bietet er Organisationen jeder Größe eine fundierte Orientierung.

Er ersetzt kein Sicherheitsbewusstsein – aber er fördert es.


FAQ – Häufig gestellte Fragen

Ist IT-Grundschutz nur für Behörden gedacht?

 

  • Nein, er ist zwar für Bundesbehörden verpflichtend, aber auch für Unternehmen (insb. KRITIS, KMU, Gesundheitssektor) sehr gut geeignet.

 

Wie unterscheidet sich IT-Grundschutz von ISO 27001?

 

  • IT-Grundschutz ist praxisnäher und bausteinorientiert, ISO 27001 ist international anerkannt. Beides kann kombiniert werden (z. B. IT-Grundschutz-basiertes ISMS mit ISO-Zertifizierung).

 

Wie lange dauert eine IT-Grundschutz-Einführung?

 

  • Das hängt vom Umfang ab. Für kleine Organisationen kann der Einstieg in wenigen Monaten erfolgen, für große Unternehmen dauert es oft 12–18 Monate.

 

Kann ich eine Zertifizierung erhalten?

 

  • Ja, das BSI bietet drei Stufen: Basis-, Standard- und Erweitertes IT-Grundschutz-Zertifikat.

 

Ist der Aufwand den Nutzen wert?

 

  • Ja – die Vermeidung eines einzigen schwerwiegenden Sicherheitsvorfalls übersteigt in der Regel die Einführungskosten bei weitem.

 


________________________________________

Interesse an einer Einführung oder Schulung?

Wenn Sie den IT-Grundschutz gezielt in Ihrem Unternehmen etablieren möchten – von der Schutzbedarfsfeststellung über Maßnahmenplanung bis zur Vorbereitung auf Zertifizierung – sprechen Sie mich gern an.


Kurz und knapp

  • IT-Grundschutz als strategisches Werkzeug: Weit mehr als ein Regelwerk – er unterstützt Organisationen strukturiert beim Aufbau von Informationssicherheit, Resilienz und Compliance.
  • Modular und praxisnah: Das Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI) bietet über 100 Bausteine, die flexibel kombinierbar sind – ideal auch für kleinere Organisationen.
  • Systematische Umsetzung: Von der Schutzbedarfsanalyse über den Soll-Ist-Abgleich bis zur kontinuierlichen Verbesserung – der IT-Grundschutz folgt einem klaren, nachvollziehbaren Prozess.
  • Relevanz über Behörden hinaus: Obwohl für Bundesbehörden verpflichtend, eignet sich der IT-Grundschutz ebenso für Unternehmen, insbesondere kritische Infrastrukturen (KRITIS), KMU und Organisationen mit sensiblen Daten.
  • Rechtskonformität und Integration: Unterstützt die Einhaltung regulatorischer Vorgaben wie DSGVO, NIS2 oder der KRITIS-Verordnung und lässt sich mit ISO 27001 und anderen Standards kombinieren.
  • Typische Herausforderungen: Der Einstieg erfordert Ressourcen, Erfahrung und Akzeptanz. Externe Beratung und Tools wie GSTOOL oder verinice können die Einführung deutlich erleichtern.
  • Empfohlener Einstieg: Klein starten, Stakeholder einbinden und Sicherheit als Managementaufgabe verstehen – so gelingt eine nachhaltige Verankerung.


Exchange Sicherheitslücke

Microsoft Exchange akut gefährdet

8. August 2025
Einleitung Die Schwachstelle CVE 2025 53786 betrifft hybride Microsoft Exchange Umgebungen, in denen eine Verbindung zwischen On Premises Servern und Exchange Online besteht. Sie ermöglicht privilegierte Eskalation im Cloud Bereich, wenn bereits Admin Rechte im lokalen Exchange Server bestehen. Die Kombination aus technischer Komplexität und erheblicher Auswirkung unterstreicht die Dringlichkeit zur Behebung. Hintergrund und technische Analyse Natur der Schwachstelle Elevierung von Rechten (Elevation of Privilege, EoP) in hybriden Deployments: Ein Angreifer mit Administratorzugang zum lokalen Exchange Server kann diesen Zugriff nutzen, um binnen der verbundenen Cloud Umgebung weiterführende Privilegien zu erlangen – dank einer gemeinsam genutzten Service Principal Instanz für Exchange Server und Exchange Online. Microsoft bewertet diesen Vorgang als schwerwiegend, da er nahezu spurlos abläuft – es werden wenig bis keine Audit Spuren hinterlassen. CVSS 3.x Score: 8.0 (High Severity) – Netzwerkangriff möglich, gewisse Hürden (administrativer Zugang nötig), aber mit potenziell vollständiger Kompromittierung von Cloud Identitäten. Entdeckung und Timing Microsoft veröffentlichte am 6. August 2025 die Sicherheitsmeldung inklusive CVE und empfahl dringend die Umsetzung eines im April zuvor veröffentlichten Hotfixes. CISA folgte mit einem offiziellen Alert und ordnete am 7. August 2025 eine Emergency Directive (ED 25 02) an, die US Bundesbehörden verpflichtete, die notwendigen Maßnahmen bis Montag, den 11. August 2025, 09:00 AM ET umzusetzen. Bis dato liegen keine Hinweise auf aktive Exploits vor – jedoch stuft Microsoft den Angriffspfad als technisch realistisch ein („Exploitation More Likely“). Handlungsempfehlungen und technische Maßnahmen Sofortmaßnahmen April Hotfix installieren (auf Systemen mit Exchange 2016 CU23, Exchange 2019 CU14/CU15, oder Subscription Edition RTM) und danach die Health Checker Tools einsetzen zur Bestandsaufnahme. Dedicated Hybrid App implementieren: Ablösung der geteilten Service Principal Konfiguration durch eine dedizierte Exchange Hybrid App (PowerShell Script ConfigureExchangeHybridApplication.ps1 mit entsprechenden Parametern ausführen). Credentials bereinigen: Falls Hybrid OAuth oder -Hybrid früher eingerichtet und inzwischen nicht mehr genutzt wird, sind die keyCredentials der Shared Service Principal zurückzusetzen (ResetFirstPartyServicePrincipalKeyCredential). EOL Server vom Netz nehmen, z. B. Exchange oder SharePoint Server vor dem Ende des Supports, um unüberwachte Angriffsflächen zu minimieren. CISAHelp Net Security Strategische Planung Verlagerung auf Microsoft Graph API: Die Nutzung alter Exchange Web Services (EWS) wird schrittweise durch Graph basierte Architektur ersetzt – EWS wird temporär blockiert, finales Abschalten des Shared Principal erfolgt spätestens Ende Oktober 2025. Graph Permissions folgen bis Oktober 2026. Help Net Security Reale Herausforderungen in der Umsetzung In komplexen Hybrid Setups (z. B. bei dezentralen Standorten oder Public Cloud Verbindungen) gestaltet sich das koordinierte Upgrade samt Health Check und Konfigurationsänderung anspruchsvoll – besonders unter Zeitdruck wie bei der CISA Frist. Legacy Strukturen werden häufig nicht konsequent erfasst, sodass Unsicherheiten bezüglich EOL Servern bestehen. Ein fehlender dedizierter Hybrid App führt zu Ausfallrisiken, wenn Shared Principal blockiert wird. Awareness und interne Rollenzuweisung müssen sicherstellen, dass für Zugriff auf Entra ID die Rolle „Application Administrator“ vorhanden ist. Fazit CVE 2025 53786 stellt ein hohes Risiko für hybride Exchange Organisationen dar – trotz fehlender bekannter Exploits. Die Kombination aus hoher Effektivität, fehlender Auditierbarkeit und geschlossener Remote Verfügbarkeit macht zügiges Handeln erforderlich. Durch die bereitgestellten Fixes, Tools und Best Practices lässt sich die Gefahr im laufenden Betrieb erfolgreich vermindern. FAQ Was ist CVE-2025-53786? Eine erhöhte Privilegieneskalation im Exchange Hybrid¬Deployment – bei Wissensvorsprung reicht Adminzugang lokal, um Zugriff auf Exchange Online zu erlangen. Ist die Schwachstelle bereits aktiv ausgenutzt worden? Bis zum heutigen Tage sind keine aktiven Fälle bekannt, jedoch stuft Microsoft die Gefahr als „Exploitation More Likely“ ein. Welche Versionen sind betroffen? Betroffene Systeme umfassen Exchange 2016 CU23, Exchange 2019 CU14/CU15 und Subscription Edition RTM im Hybrid Betrieb. Welche Maßnahmen sind entscheidend? Hotfix installieren, Dedicated Hybrid App einsetzen, Credentials bereinigen, EOL-Server isolieren, Health Checker laufen lassen, Graph-Migration planen. 
SharePoint-Sicherheitslücke

Aktuelle IT-Security-Probleme bei Microsoft SharePoint

5. August 2025
Am 18. Juli 2025 begann eine Welle globaler Angriffe auf lokal betriebene SharePoint-Server mit dem Chaining von zwei zuvor gepatchten Schwachstellen (CVE-2025-49704 und CVE‑2025‑49706), bekannt unter dem Namen „ToolShell“. Microsoft stellte am 19. Juli 2025 fest, dass die ursprünglichen Patches unvollständig waren: n
NIS2 Bild - KI-generiert

NIS2 im Kontext des IT-Grundschutzes

4. August 2025
Unternehmensweite Verantwortung NIS2 nimmt explizit die Unternehmensleitung in die Pflicht. Diese muss sicherstellen, dass Cybersicherheitsmaßnahmen umgesetzt werden und trägt persönliche Verantwortung. Der IT-Grundschutz adressiert primär Fachabteilungen und IT-Verantwortliche.