Fuentis

Unterschied zwischen ISO 27001 und BSI IT-Grundschutz

Approved
Last updated: Sep 29, 2025
fuentis Trust Platform, fuentis Suite 4

ISO 27001 vs. BSI IT-Grundschutz — Wann nutze ich was (und wie kombiniere ich beides)

Praxisorientierter Entscheidungs-Guide für ISO-Praktiker:innen, die über den Tellerrand schauen wollen. Kurz, klar, umsetzbar.

TL;DR – Schnellauswahl

SituationWahlWarumErste Artefakte
Globale Kunden, gemischte Jurisdiktionen, schneller Nachweis nötigISO 27001International anerkannt, schlankere Doku, flexibelScope, Risikomethodik, Risikoregister, SoA (Annex A), Ziele & KPIs
Deutsche Behörde/KRITIS, Vergaben erwarten BSIIT-GrundschutzDeutsch geprägt, preskriptive Maßnahmen, hohe AkzeptanzStrukturanalyse, Schutzbedarf (CIA), Modellierung, GS-Check
Innovative/atypische IT-LandschaftISO (+ ausgewählte BSI-Bausteine)Frei maßschneidern, risikobasiertISO-Risiko-Prozess + BSI-Härtung für heikle Bereiche
KMU, kleines Team, schnelle ErfolgeISO (lean)MV-ISMS möglichISO 90-Tage-Starter (unten)
Reifes ISO-ISMS, braucht mehr „Grip“ISO + GrundschutzISO-Cert behalten, BSI-Tiefe dort, wo’s zähltAsset-Mapping → BSI-Bausteine für Hochrisiken
Sie müssen ein Sicherheitsniveau nachweisenGrundschutzZertifikat zeigt AbsicherungsgradGS-Check mit Evidenzen

Entscheidungsbaum (schnell)

  1. Deutsche Behörde/KRITIS im Scope?
→ Ja: Grundschutz oder HybridHybrid-Rezept.

→ Nein: weiter.

  1. Brauchen Sie schnell ein international anerkanntes Zertifikat?
→ Ja: ISO zuerstISO 90-Tage-Starter.

→ Nein/unklar: weiter.

  1. Überwiegt Standard-IT (Windows, AD, LAN, Office)?
→ Ja: Grundschutz passt gut.

→ Nein (Cloud-native, Data/OT/IoT-Mix): ISO-Kern + gezielte BSI-Bausteine.

Praktischer Unterschied (nur das Relevante)

- ISO 27001 = Managementsystem + risikobasierte Controls (Annex A). Zertifiziert das System, nicht ein fixes Niveau.

- Grundschutz = Maßnahmenkatalog (Bausteine) + Modellierung. Zertifizierung spiegelt Absicherungsgrad.

ISO für Tempo, Flexibilität, globale Anerkennung.

Grundschutz für konkrete Tiefe & deutsche Akzeptanz.

ISO 90-Tage-Starter (schlank, aber zertifizierungsfähig)

Ziel: Minimal Viable ISMS, das skaliert.

Must-haves: Scope (§4.3), Kontext & Stakeholder, Risiko-Methode & Kriterien, Risikoregister, SoA (Annex A:2022, 93 Controls), IS-Ziele+KPIs, Auditplan, Management-Review-Takt.

Zeitplan

- Woche 1–3: Scope, RACI, Risikomethode; Top-20 Assets/Prozesse inventarisieren; schnelle CIA-Bewertung.

- Woche 4–7: Risiko-Workshops; Controls wählen; SoA entwerfen; Behandlungsplan (Owner/Fristen).

- Woche 8–10: Top-10 High-Impact-Controls umsetzen (IDM, Backup, Vuln-Mgmt, Incident-Flow, Logging).

- Woche 11–12: Internes Audit (Stichprobe), KPI-Baseline, Mgmt-Review #1; Lücken schließen.

Tipp: BSI punktuell nutzen (Windows/AD, Netzwerk, Backup-Härtung), aber ISO-zentriert bleiben.

Grundschutz Fast-Track (für ISO-Leute)

Denke anders als ISO: erst Struktur → Schutzbedarf → Modellierung, dann Risiko.

Controls kommen aus Bausteinen (Basis/Standard/Hoch). GS-Check zeigt Absicherungsgrad.

Minimalpfad

  1. Strukturanalyse: TOGs bilden (Server, Clients, Netz, Apps, Standorte).
  2. Schutzbedarf (CIA): normal/hoch/sehr hoch; Vererbung nutzen (Prozess → App → System, Kumulation beachten).
  3. Modellierung: Bausteine zuordnen, Abweichungen dokumentieren.
  4. GS-Check: Lücken schließen; bei „hoch“ ergänzende Risikoanalyse.
  5. Nachweise: Umsetzung, Zuständigkeiten, Evidenzen.
Tipp: ISO-Risikoregister weiterverwenden und Einträge auf Bausteine taggen → kein Doppelaufwand.

Hybrid-Rezept (Best of both)

  1. ISO als Rahmen: Scope, Governance, Risiko, SoA, KPIs, Audits.
  2. BSI für Tiefe: Bausteine nur für High-Impact-TOGs (AD/Entra ID, Server, Netz, Backup, Remote).
  3. Ein Register: Risiken & Controls in einem Katalog; Tags ISO:A.x / BSI:<Baustein-ID>.
  4. SoA + GS-Check: gleiche Datenbasis, zwei Sichten.
  5. Zertifizierungspfad: zuerst ISO (Tempo), dann Grundschutz, wenn gefordert.

Wann nutze ich was — nach Szenario

- ÖV/KRITIS: Grundschutz oder Hybrid (BSI-Sprache, Baustein-Evidenzen).

- Internationaler Konzern/Lieferkette: ISO (Auditoren weltweit, Anerkennung).

- MSP/MSSP: ISO-Baseline; BSI-Tiefe für AD, Backup, Remote-Admin.

- Startups/Scaleups: ISO (lean); BSI-Checklisten für schnelle Härtung.

- OT/IoT: ISO als Risiko-Motor + BSI-Bausteine für OT-Kontrollen.

Kontrollen pragmatisch auswählen

ISO-first?

- SoA mit Annex A aufbauen; N/A sauber risikobasiert begründen.

- Wo dünn, BSI-Maßnahmen importieren (Härtung/Checklisten).

Grundschutz-first?

- Baustein-Anforderungen als Default-Controls.

- Wo BSI still oder zu allgemein (z. B. spezielle SaaS-Tenants), ISO-Risiko-Kontrollen ergänzen.

Dokumentation, die Sie wirklich brauchen (ohne Ballast)

BereichISO-ArtefaktBSI-ArtefaktHybrid-Abkürzung
Scope & KontextScope, Stakeholder/IssuesGeltungsbereich im StrukturmodellEin Scope-Doc, zwei Kurz-Summarys
RisikoMethode, Kriterien, Register, PlanErgänzende Risikoanalyse (bei „hoch“)Ein Prozess, BSI-Zusatzabschnitt
ControlsSoA (Annex A)Baustein-Umsetzung & GS-CheckEin Katalog mit Cross-Refs
EvidenzKPIs, Audits, Mgmt-ReviewMaßnahmennachweise, GS-Check-ProtokollGemeinsame Evidenz-Ablage

Häufige Stolpersteine (und Abhilfe)

- Papier-ISMS (ISO) ohne echte ControlsJedes Top-Risiko an getestete Maßnahme + Evidenz koppeln; KPIs früh.

- Dokuschwemme (Grundschutz) → TOGs grob bündeln; GS-Lücken risikobasiert priorisieren; iterieren.

- Zwei Welten (ISO vs. BSI) → Eine Taxonomie (Assets, Risiken, Controls) mit Tags.

- SoA/GS-Check veralten → Update bei jedem Change-Fenster; Control-Owner mit Termin.

KPIs, die Wirkung belegen (beide Welten)

Patch-SLA (%), Backup-Erfolg (%), Incident-MTTR, Abschlusszeit Zugriffsreviews, Phishing-Fail-Rate, Log-Abdeckung (% kritischer Systeme), Recovery-Test-Erfolg.