Fuentis

FAQ

Approved
Last updated: Sep 07, 2025
fuentis Suite 4, fuentis Trust Platform

Was bedeutet IT-Grundschutz?

Vorgehensweise des BSI zur Identifikation und Umsetzung technischer, organisatorischer, personeller und infrastruktureller Sicherheitsmaßnahmen, um ein angemessenes Schutzniveau zu erreichen.

Der Nachweis eines systematischen Vorgehens kann über ein ISO/IEC 27001-Zertifikat auf Basis IT-Grundschutz erfolgen.

Was ist eine Information?

Daten, die in Prozessen zur Wertschöpfung genutzt werden – digital und analog (z. B. mündlich, Papier).

Ein ISMS schützt beide Formen.

Warum eine eigene Behörde (BSI)?

Digitalisierung erzeugt neue Gefährdungen. Das BSI stellt Standards (u. a. IT-Grundschutz), Lageinformationen und praxisnahe Orientierung bereit.

Was sind die Schutzziele?

- Vertraulichkeit (nur Befugte)

- Verfügbarkeit (abrufbar, funktionsfähig)

- Integrität (unverändert/korrekt)

Was ist die Schutzbedarfsfeststellung?

Zuweisung von Schutzbedarf (V, I, Vf, ggf. Authentizität) zu Prozessen/Informationen/Objekten anhand von Schadensszenarien (normal/hoch/sehr hoch).

→ Vererbung auf abhängige Objekte (Maximumprinzip, Kumulation, Verteilungseffekt).

Was ist ein Grundschutz-Check?

Soll-/Ist-Vergleich der BSI-Anforderungen je modelliertem Baustein.

→ Momentaufnahme im Prozess der ISMS-Einführung; Abschluss, wenn alle Teilanforderungen umgesetzt oder begründet „entbehrlich“ sind.

Wie oft prüfen?

Sicherheitskonzepte mindestens alle 2 Jahre evaluieren; spätestens nach 3 Jahren aktualisierte ISMS-Version bereitstellen.

Zertifizierung nach ISO 27001 auf Basis IT-Grundschutz?

Externer Auditor prüft das ISMS (inkl. Vor-Ort-Audit) und empfiehlt die Zertifizierung. Die Zertifizierungsstelle entscheidet.

Rolle des Auditors?

Prüft Vollständigkeit/Wirksamkeit; gibt Empfehlung (zertifiziert nicht selbst). Kommentare zum Umsetzungsstatus stets fachlich begründen.

Was geschieht bei Strukturanalyse/Modellierung?

- Strukturanalyse: Erfassung von Infrastrukturen, Räumen, Netzen, Servern, Systemen, Applikationen, Prozessen gem. Geltungsbereich (Gruppierungen zulässig → Stichprobenprüfung).

- Modellierung: Zuordnung der elementaren Gefährdungen und Bausteine, Bildung Basis für den Grundschutz-Check.

Elementare Gefährdungen?

Das BSI-Kompendium (aktuell 47) ordnet Gefährdungen den Bausteinen zu (z. B. Feuer, Ausspähen, Schadprogramme).

Was passiert bei der Risikoeinschätzung?

Bewertung nach Schaden × Eintrittshäufigkeit → erwartetes Risiko je Baustein/Objekt.

Was ist ein ISMS?

Regel- und Methodenset zur Gewährleistung der Informationssicherheit; kontinuierlich (PDCA).

ISO 27001 liefert Anforderungen; IT-Grundschutz konkretisiert und erweitert.

Was ist die „Statement of Applicability“ (SoA) genau?

Dokumentiert, welche Annex-A-Kontrollen (inkl. begründeter Ein-/Ausschluss) für das ISMS gelten.

Sie muss auch zusätzliche, nicht in Annex A enthaltene Kontrollen enthalten, sofern diese zur Risikobehandlung verwendet werden (ISO 27001, 6.1.3 d).

Wie hat sich Annex A mit ISO/IEC 27001:2022 verändert?

Annex A verweist auf 93 Kontrollen nach ISO/IEC 27002:2022, gruppiert in:

- 37 organisatorische

- 8 personenbezogene

- 14 physische

- 34 technologische Kontrollen

ISO 27001 vs. ISO 27002 – was ist der Unterschied?

- ISO 27001: Anforderungen (zertifizierbar).

- ISO 27002: Leitfäden/Umsetzungshinweise zu Kontrollen (nicht zertifizierbar).

Annex A von 27001 referenziert 27002.

Wie läuft der Zertifizierungszyklus (Überwachung/Rezertifizierung)?

Das Zertifikat ist 3 Jahre gültig.

→ Jährliche Überwachungsaudits sind Pflicht, Rezertifizierung nach 3 Jahren.

(Gilt ebenso für ISO 27001 auf Basis IT-Grundschutz.)

Wie ist die aktuelle Transition auf ISO/IEC 27001:2022 geregelt?

Die IAF MD 26:2023 legt die Umstellung fest.

→ Frist für den vollständigen Übergang: 31. Oktober 2025.

(Praxis: Transition-Audits bis Juli 2025 abschließen, damit CB-Entscheide rechtzeitig erfolgen.)

Multi-Site-ISMS: Gibt es Besonderheiten?

Ja. Für Multi-Site-Zertifizierungen gelten IAF-Regeln, u. a. Stichprobenquoten bei Überwachungsaudits (typ. 30 % der Sites, aufgerundet; Details im MD 1).

Welche Pflichtdokumente erwartet ein Auditor?

ISO 27001 fordert „dokumentierte Informationen“ u. a. zu:

- Scope

- ISMS-Politik/Zielen

- Risikomethodik

- SoA

- Risikobehandlung/-plan

- Leistungskennzahlen

- internem Audit

- Management-Review

(Klauseln 4–10; SoA explizit 6.1.3 d).

Interne Audits vs. Management-Review – was ist der Zweck?

- Interne Audits (9.2): prüfen Wirksamkeit/Konformität.

- Management-Review (9.3): bewertet ISMS strategisch (Leistung, Risiken/Chancen, Ressourcen, Verbesserungen).

Wie passt Business Continuity (BCMS) zu ISO 27001?

Ein ISMS adressiert Informationssicherheit; ISO 22301 ergänzt dies für Business Continuity (RTO/RPO etc.).

Beide Systeme sollten verzahnt sein. ISO 22301 wurde 2019 aktualisiert, 2024 durch Amd 1: Climate action ergänzt.

Cloud-Sicherheit & -Privatsphäre: Relevante Standards?

- ISO/IEC 27017: Cloud-spezifische Sicherheitskontrollen (aktuell Ed. 1 bestätigt; Nachfolger DIS 27017 in Arbeit).

- ISO/IEC 27018:2025: Schutz personenbezogener Daten (PII) in Public Cloud als Auftragsverarbeiter.

Verhältnis ISMS ↔ NIS2?

NIS2 verlangt Risikomanagement-Maßnahmen (u. a. Policies, Incident-Handling, BCM, Supply-Chain-Security).

Ein reifes ISO 27001-ISMS deckt viele Anforderungen ab, ersetzt aber keine gesetzliche Umsetzung.

→ Siehe ENISA-Guidance und EU-Durchführungsverordnung (EU) 2024/2690.

Lieferanten & Cloud-Provider: Muss das ins ISMS-Scope?

Ja. Risikobasierte Steuerung der Lieferketten ist Bestandteil (Annex-A-Kontrollen: Supplier Relationships, Cloud-Guidance per 27017/27018).

Vertrags-/Datenschutzpflichten (z. B. Art. 28 DSGVO Auftragsverarbeitung) sind separat einzuhalten.

Was prüft ein IT-Grundschutz-Audit zusätzlich?

Beim ISO 27001 auf Basis IT-Grundschutz werden u. a. Strukturanalyse, Modellierung, Baustein-Anforderungen, elementare Gefährdungen und die Umsetzungsgrade (Standard/Kern/Basis-Absicherung) in einem formalen Schema auditiert.

Wie wird Auditzeit geplant?

IAF-Dokumente (z. B. ID 14, MD 5) definieren die Bestimmung/Anpassung von Auditzeiten für Überwachung und Rezertifizierung – abhängig u. a. von Größe, Komplexität und Risiko.

Müssen zusätzliche Kontrollen (außer Annex A) dokumentiert werden?

Ja – wenn sie Teil der Risikobehandlung sind, müssen sie in der SoA erscheinen (ISO 27001 6.1.3d).