Das IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist so etwas wie die „Enzyklopädie“ der deutschen Informationssicherheit – und trotzdem kennen viele Unternehmen es nur vom Hörensagen oder sehen es als schwerfälligen Behördenwälzer, den man allenfalls für Audits hervorholt. In Wahrheit ist dieses Werk eine der wertvollsten und praxisnahsten Ressourcen, die es im Bereich Cyber- und Informationssicherheit gibt. Wer es versteht und richtig einsetzt, hat nicht nur ein umfassendes Nachschlagewerk, sondern auch einen methodischen Baukasten, mit dem sich fast jede Sicherheitsanforderung strukturiert und nachvollziehbar umsetzen lässt. Gerade in Zeiten von NIS2, DORA, KRITIS-Regelungen oder branchenspezifischen Sicherheitskatalogen liefert der IT-Grundschutz einen roten Faden: Was muss ich organisieren? Welche Maßnahmen sind Stand der Technik? Wie belege ich wirksam, dass wir es tun?

Bausteinlogik statt Bleiwüste: Wie das Kompendium aufgebaut ist

Das Besondere am IT-Grundschutz-Kompendium ist seine Bausteinlogik. Es ist nicht als reines Lehrbuch geschrieben, sondern als Sammlung modularer Sicherheitsbausteine, die je nach Bedarf zusammengesetzt werden können. Jeder Baustein steht für einen klar umrissenen Bereich – das kann ein technisches Thema sein wie „Server“, „Datenbanken“, „Netzkomponenten“ oder „Virtualisierung“, ein organisatorischer Prozess wie „Patch- und Änderungsmanagement“, „Lieferantenmanagement“ und „Incident-Management“, eine physische Komponente wie „Serverraum“ oder „Rechenzentrum“ oder Querschnittthemen wie „Cloud-Nutzung“, „Mobile Arbeit“ und „Kryptokonzept“.

Resilienz ist kein Zufallsprodukt. Sie entsteht nicht allein durch technische Schutzmaßnahmen oder durch das Verfassen von Notfallplänen. Wirkliche Widerstandsfähigkeit zeigt sich erst im Ernstfall – und dafür müssen Unternehmen vorbereitet sein. DORA macht deshalb unmissverständlich klar: Digitale Resilienz ist nicht nur zu planen, sondern regelmäßig und systematisch zu testen. Der Grundgedanke ist einfach: Ein Unternehmen kann nur dann sicherstellen, dass es auf IKT-Störungen, Cyberangriffe oder sonstige digitale Notlagen wirksam reagiert, wenn es diese Szenarien vorher geübt hat. Dabei geht es nicht um symbolische Trockenübungen, sondern um realistische, teilweise sehr anspruchsvolle Tests, die technische Systeme, organisatorische Abläufe und menschliches Handeln gleichermaßen prüfen.

Kritische Funktionen kennen: Ohne Zielbild keine sinnvollen Übungen

Die Grundlage solcher Resilienztests ist eine klare Definition der kritischen Funktionen und Prozesse. Nur wenn bekannt ist, welche Systeme, Daten, Anwendungen und Kommunikationswege für den Geschäftsbetrieb unverzichtbar sind, lassen sich sinnvolle Übungsszenarien entwickeln. DORA verlangt, dass Unternehmen ihre kritischen Assets genau kennen und für diese gezielt Testpläne entwickeln. Das muss nicht immer die gesamte Organisation betreffen – oft sind fokussierte Tests auf einzelne, hochkritische Prozesse effektiver. Entscheidend ist, dass die Auswahl der Tests risikobasiert erfolgt: Je kritischer eine Funktion, desto intensiver und häufiger wird getestet. Dazu gehört auch eine Business-Impact-Analyse (BIA) mit RTO/RPO-Zielen sowie Schutzbedarfen entlang von Vertraulichkeit, Integrität und Verfügbarkeit – ergänzt um Resilienz, Nachvollziehbarkeit und Portabilität.

Wer in Deutschland ein strukturiertes Informationssicherheits-Managementsystem (ISMS) aufbauen will, steht früher oder später vor einer strategischen Weichenstellung: ISO/IEC 27001 oder BSI IT-Grundschutz? Beide Ansätze sind anerkannt, beide gelten als robust, beide können zu einer Zertifizierung führen. Und doch unterscheiden sie sich in Philosophie, Detailtiefe, Flexibilität, Nachweisführung und internationaler Reichweite. Die Entscheidung ist nicht trivial; sie hängt von Unternehmensgröße, Branche, Kundenanforderungen, regulatorischen Vorgaben, Lieferketteneinbindung und – nicht zu unterschätzen – von der Unternehmenskultur ab. Wer das für sich passende Modell wählen will, sollte verstehen, was beide Ansätze ausmacht, wie sie geprüft werden und wo ihre jeweiligen Stärken liegen. Genauso wichtig: Es ist keine dogmatische Entweder-oder-Frage. Hybride Wege sind nicht nur möglich, sondern oft sinnvoll.

ISO/IEC 27001: Risikobasiert, flexibel, weltweit anschlussfähig

ISO/IEC 27001 ist der international verbreitetste Standard für ISMS. Sein Kern ist Risikomanagement: Organisationen definieren ihren Kontext, identifizieren Informationswerte, analysieren Risiken und wählen angemessene Maßnahmen. Die Norm gibt die Management-Mechanik vor (Kontext, Führung, Planung, Unterstützung, Betrieb, Bewertung, Verbesserung), lässt aber bewusst Freiraum in der Ausgestaltung. Diese Flexibilität ist eine große Stärke:

Die NIS2-Richtlinie ist beschlossen, die Frist zur nationalen Umsetzung läuft – und für viele Unternehmen stellt sich jetzt die Frage: Wie fange ich an? Die Umsetzung ist mehr als ein paar technische Anpassungen. Sie verlangt ein strukturiertes Vorgehen, das rechtliche Anforderungen, organisatorische Prozesse und technische Maßnahmen sauber miteinander verbindet. Wer unvorbereitet startet, verzettelt sich leicht in Detailfragen, investiert zu früh in falsche Tools oder lässt kritische Lücken beim Incident-Handling, in der Lieferkette oder im Reporting. Gleichzeitig wächst der Druck: Sobald die Vorgaben im nationalen Recht scharf geschaltet sind, drohen Bußgelder, aufsichtsrechtliche Prüfungen und – wichtiger als alles andere – echte Sicherheitsrisiken bei unzureichender Resilienz.

Der rote Faden dieses Beitrags ist ein praktikabler 5-Schritte-Plan. Er beantwortet die drei Kernfragen „Bin ich betroffen?“, „Wo stehe ich?“ und „Wie komme ich planvoll in den Soll-Zustand?“ – und zwar mit der nötigen Tiefe, ohne in Bürokratismus abzurutschen. Ergänzend finden Sie konkrete Artefakte, Verantwortlichkeiten, Zeitpläne, Kennzahlen und Stolpersteine aus der Praxis, damit NIS2 nicht zum Großprojekt ohne Ende, sondern zum belastbaren Betriebszustand wird.

Die Digitalisierung der Finanzwelt hat in den letzten Jahren einen klaren Trend hervorgebracht: Immer mehr Leistungen werden an externe Partner ausgelagert. Cloud-Computing, spezialisierte IT-Dienstleister, externe Rechenzentren, Software-as-a-Service-Lösungen oder Managed Security Services – kaum ein Finanzunternehmen betreibt heute noch seine gesamte IT selbst. Diese Entwicklung hat enorme Vorteile: schnellere Innovation, flexiblere Skalierung, Zugang zu Spezialwissen und oft auch Kostenvorteile. Doch sie hat eine Schattenseite, die spätestens mit dem Inkrafttreten von DORA in den Mittelpunkt rückt: Die Abhängigkeit von Drittanbietern kann zur Achillesferse werden, wenn Risiken nicht konsequent gemanagt werden. DORA macht deshalb das Management von IKT-Drittparteien zu einer eigenen Säule der digitalen Resilienz – mit klaren Vorgaben, die deutlich über das hinausgehen, was bisher viele Unternehmen praktiziert haben.

Der Grundsatz: Auslagerung hebt Verantwortung nicht auf

Der Kern der DORA-Vorgaben ist einfach: Unternehmen bleiben auch dann vollständig verantwortlich, wenn sie kritische Funktionen an externe Partner auslagern. Es gibt kein „Das macht unser Dienstleister, darum kümmern wir uns nicht“ mehr. Vielmehr muss jedes Unternehmen sicherstellen, dass auch ausgelagerte Services den gleichen Resilienz- und Sicherheitsstandards entsprechen wie interne Leistungen. Das bedeutet, dass die Auswahl, Überwachung und vertragliche Absicherung von Drittanbietern einen zentralen Platz im Risikomanagement bekommt. Schon vor Vertragsabschluss muss geprüft werden, ob ein Anbieter die technischen, organisatorischen und finanziellen Voraussetzungen erfüllt, um die ausgelagerten Leistungen sicher und stabil zu erbringen. Diese Prüfung ist keine reine Formalität, sondern muss dokumentiert, nachvollziehbar und auf die kritischen Funktionen des Unternehmens zugeschnitten sein.