ISO oder BSI? – Was besser zu deinem Unternehmen passt

ISO oder BSI? – Was besser zu deinem Unternehmen passt

Wer in Deutschland ein strukturiertes Informationssicherheits-Managementsystem (ISMS) aufbauen will, steht früher oder später vor einer strategischen Weichenstellung: ISO/IEC 27001 oder BSI IT-Grundschutz? Beide Ansätze sind anerkannt, beide gelten als robust, beide können zu einer Zertifizierung führen. Und doch unterscheiden sie sich in Philosophie, Detailtiefe, Flexibilität, Nachweisführung und internationaler Reichweite. Die Entscheidung ist nicht trivial; sie hängt von Unternehmensgröße, Branche, Kundenanforderungen, regulatorischen Vorgaben, Lieferketteneinbindung und – nicht zu unterschätzen – von der Unternehmenskultur ab. Wer das für sich passende Modell wählen will, sollte verstehen, was beide Ansätze ausmacht, wie sie geprüft werden und wo ihre jeweiligen Stärken liegen. Genauso wichtig: Es ist keine dogmatische Entweder-oder-Frage. Hybride Wege sind nicht nur möglich, sondern oft sinnvoll.

ISO/IEC 27001: Risikobasiert, flexibel, weltweit anschlussfähig

ISO/IEC 27001 ist der international verbreitetste Standard für ISMS. Sein Kern ist Risikomanagement: Organisationen definieren ihren Kontext, identifizieren Informationswerte, analysieren Risiken und wählen angemessene Maßnahmen. Die Norm gibt die Management-Mechanik vor (Kontext, Führung, Planung, Unterstützung, Betrieb, Bewertung, Verbesserung), lässt aber bewusst Freiraum in der Ausgestaltung. Diese Flexibilität ist eine große Stärke:

• Maßschneiderung: Controls werden dort eingesetzt, wo sie Risiken tatsächlich reduzieren; überflüssiger Overhead wird vermieden.
• Internationale Akzeptanz: Zertifikate sind global verständlich – relevant für Export, Konzernverbünde und weltweite Ausschreibungen.
• Integration: ISO-Struktur harmoniert mit anderen Managementsystemen (9001, 22301, 27701), was Synergien erzeugt.

Praktisch wird die Controls-Seite über ISO/IEC 27002 (Leitfaden) und den Annex A der 27001 abgedeckt. Annex A listet kontrollziele und -maßnahmen, ist aber keine Pflichtliste: Mit der Statement of Applicability (SoA) begründet man, welche Controls gelten und warum. Das ist elegant – aber auch anspruchsvoll: Wer die SoA sauber herleiten will, braucht ein tragfähiges Risiko- und Asset-Modell und klare Schutzbedarfe.

BSI IT-Grundschutz: Bausteine, Schutzbedarf, belastbare Detailtiefe

Der modernisierte IT-Grundschutz des BSI verfolgt eine andere Philosophie: Nicht nur „was“ tun, sondern sehr konkret „wie“ tun. Herzstück sind Bausteine mit klar abgegrenzten Geltungsbereichen (z. B. Server, Netz, Rechenzentrum, Cloud-Nutzung, Patch-Management, Incident-Management, Lieferantensteuerung, OT-Zellen). Jeder Baustein liefert:

• typische Gefährdungen,
• konkrete Anforderungen in Stufen (Basis, Standard, erhöhte Anforderungen),
• Umsetzungshinweise und Verweise.

Ergänzt wird das durch eine Methodik: Strukturanalyse, Schutzbedarfsfeststellung (CIA), Modellierung (Zuordnung der Bausteine), Umsetzung, ergänzende Risikoanalyse für hohe Schutzbedarfe und Sonderfälle, ISMS-Einbettung. Die jährliche Aktualisierung hält die Inhalte am Stand der Technik. Für viele Behörden und Teile der kritischen Infrastruktur ist Grundschutz de-facto Referenz – gerade in Deutschland schafft das Vertrauen.

Vorteil: Man beginnt nicht bei null, sondern arbeitet mit prüfbaren, konkreten Anforderungen. Nachteil – je nach Blickwinkel: Die Detailtiefe erzeugt Kontinuitätsaufwand (Pflege, Nachweise, regelmäßige Updates), besonders in großen Scopes oder bei hohem Schutzbedarf.

Gemeinsame Basis: ISMS ist Management, nicht nur Technik

Beide Ansätze verlangen dasselbe Grundgerüst:

• Führung & Verantwortlichkeiten (Rollen, Ressourcen, Ziele, Richtlinien).
• Risiko-/Schutzbedarfslogik (wenn auch mit unterschiedlicher Granularität).
• Dokumentierte Prozesse (z. B. Incident-Handling, Change/Patch, Access/IAM, Backup/Restore, Lieferkette).
• Kompetenz & Awareness (schulbare, gelebte Sicherheit).
• Wirksamkeitsprüfung (interne Audits, KPIs, Management-Review, kontinuierliche Verbesserung).

Der Unterschied liegt nicht im „ob“, sondern im „wie konkret“ – ISO als Rahmen mit Risikodialektik, Grundschutz als Baukasten mit Maßnahmen-Tiefe.

Unterschiede im Detail: Philosophie, Nachweis, Aufwand

Risikoverständnis:
ISO arbeitet „risk first“ – Controls sind Mittel zum Zweck. Grundschutz startet „control first“ – Standard-Maßnahmen gelten breit; wo Schutzbedarfe hoch oder Sonderlagen existieren, kommt zusätzliche Risikoanalyse dazu. Das hat Folgen: ISO braucht früh ein gutes Schutzbedarfs-/Asset-Bild, Grundschutz liefert schneller ein Mindestniveau in der Breite.

Schutzbedarf vs. Risiko:
Im Grundschutz ist die Schutzbedarfsfeststellung Plicht-Drehpunkt (CIA je Prozess/Asset, Vererbung, Kaskaden). ISO fordert Schutzbedarf implizit (als Teil der Risikobeurteilung); die Tiefe liegt in Ihrer Hand. Wer Schutzbedarfe unterbewertet, riskiert bei ISO Lücken in der SoA – bei Grundschutz droht Over-Engineering, wenn „alles“ als hoch gilt.

Kontrollkatalog & Prüfbarkeit:
Annex A ist prinzipienbasiert. Prüfbarkeit entsteht über SoA und evidenzbasierte Prozesse. Grundschutz-Bausteine bringen prüffähige Anforderungen mit – inkl. Formulierungshilfen, die sich eins-zu-eins in interne Audits übersetzen lassen.

Dokumentation:
ISO belohnt Schlankheit mit Substanz (Policies kurz, Verfahren klar, Evidenz robust). Grundschutz erzeugt eher mehr Artefakte (Baustein-Coverage, Umsetzungsstände, ergänzende Analysen) – dafür ist die „rote Linie“ für Teams spürbar.

Internationalität:
ISO ist globaler Türöffner. Grundschutz punktet besonders in Deutschland/DACH (Behörden, KRITIS, öffentliche Vergaben). Im Ausland muss Grundschutz häufig erklärt werden; ISO nicht.

Pflegeaufwand:
ISO: höherer Initialaufwand (Risiko/SoA-Design), später schlankere Pflege – sofern Scope/Technologie stabil bleiben. Grundschutz: schnell sichtbare Basis, aber regelmäßiger Pflege-/Update-Takt (jährliche Kompendiumsstände, Baustein-Nachweise).

Zertifizierungswege: ISO „klassisch“ oder ISO „auf Basis von IT-Grundschutz“

Drei gängige Pfade:

• ISO/IEC 27001 (klassisch): Rein risikobasierte SoA, Annex-A als Referenz; Prüfungen durch akkreditierte Zertifizierer weltweit akzeptiert.
• ISO/IEC 27001 auf Basis von IT-Grundschutz: ISMS nach ISO, Controls-Nachweis durch Grundschutz-Bausteine. Beliebt, wenn internationale Anerkennung und deutsche Detailtiefe zugleich gefragt sind (z. B. bei Energie, öffentlichem Sektor, großen Vergaben).
• IT-Grundschutz-Zertifizierung (BSI-Schema): Spezifisch deutsch, besonders in Behörden/hochsensiblen Bereichen wertvoll; international jedoch erklärungsbedürftig.

Die Entscheidung ist oft Stakeholder-getrieben: Wo müssen Sie nachweisen? Wer liest das Zertifikat?

Anschlussfähigkeit zu NIS2, DORA, KRITIS

Regulatorik adressiert Governance, Risiko, Meldepflichten, Lieferkette, Resilienz. Beide Wege lassen sich anschließen:

• ISO liefert das ISMS-Rückgrat, Annex A deckt zentrale Kontrollfelder ab; NIS2-Spezifika (24/72 h Meldung, Lieferkettensicherheit) ergänzt man mit Richtlinien/Prozessen und vertraglichen Klauseln.
• Grundschutz bringt die umsetzungsnahen Bausteine: Incident-Meldung/Reporting, Lieferantenmanagement (Auswahl, Verträge, Nachweis), BCM/DR-Bausteine; damit ist die Brücke zu NIS2/KRITIS besonders kurz.
• DORA (Finanz): ISO-ISMS plus TPRM-Tiefe; Grundschutz unterstützt mit Bausteinen zu Lieferkette, Logging/Monitoring, Tests. Threat-led-Pen-Tests (TLPT) sind extra zu designen – in beiden Welten.

Kultur- und Reifegradfrage

In prozessorientierten Unternehmen mit Checklisten-Affinität und klaren Linien fügt sich Grundschutz oft natürlicher ein. In agilen, innovationsgetriebenen, internationalen Tech-Umfeldern passt der ISO-Freiraum besser. Reifegrad zählt: Wer „grün“ startet, profitiert von Grundschutz-Leitplanken; wer schon gelebte Sicherheitsprozesse hat, nutzt ISO zur Optimierung statt Orchestrierung.

Größenklassen und Branchen

• KMU: Start mit Grundschutz-Kern-/Standardabsicherung (fokussierte Scopes, Basis-Anforderungen in der Fläche). Alternativ: ISO-Einstieg mit schlankem Scope und klarer SoA.
• Mittelstand/Export: ISO wegen internationaler Anerkennung, flankiert durch ausgewählte Grundschutz-Bausteine für deutsche Erwartungen.
• Behörden/KRITIS/ÖPNV/Healthcare/Energie: Grundschutz (oder ISO auf Basis Grundschutz) ist oft der natürliche Pfad.
• Tech-Skalierer/Cloud-Native: ISO + DevSecOps/Cloud-Controls (27017/27018/ISO 27701), Grundschutz-Bausteine als „Tiefen-Check“ bei Bedarf.

Kosten, Aufwand, Time-to-Value

• ISO: Konzeptionslastig am Anfang (Risiko/SoA), dafür gezielter Roll-out, geringerer Pflege-Drag, wenn Scopes stabil bleiben.
• Grundschutz: Schnelle Sichtbarkeit durch Basis-Anforderungen, aber regelmäßige Pflegezyklen (Kompendium, Evidenzen) – Budget einplanen.

Am teuersten ist der Fehlstart: „Alles ist kritisch“, 200-Seiten-Policies, keine Ownership – egal in welchem Modell.

Tooling und Automatisierung

Gute GRC/ISMS-Tools unterstützen beide Wege: Asset/Prozess-Inventar, Risiko-/Schutzbedarf, SoA/Anforderungs-Coverage, Maßnahmen-Tracking, Evidenz-Ablage, Audit-Workflows, KPI-Reporting. Für Grundschutz lohnt eine Baustein-Bibliothek und Prüffragen-Kataloge; für ISO SoA-Versionierung und Risiko-Matrix. Technische Integrationen (Vuln-Scanner, IAM-Rezertifizierung, SIEM, Backup-Nachweise) sparen Zeit – aber nur, wenn Ownership und Datenqualität stimmen.

Cloud, DevOps, Zero Trust

• ISO-Anschluss: 27017/27018, Annex-A-Controls für Cloud/IAM/Logging/Krypto, Privacy-Erweiterungen (27701), DevSecOps-Policies, Secure-SDLC-Kennzahlen.
• Grundschutz-Anschluss: Bausteine „Cloud-Nutzung“, „Kryptokonzept“, „Identitäts- & Berechtigungsmanagement“, „Protokollierung und Monitoring“, „Softwareentwicklung“.
• Zero Trust passt in beide Welten: Prinzipien in Policies/Architektur überführen (starke Identitäten, Mikrosegmentierung, kontinuierliche Verifikation, Least Privilege).

Lieferkette und Third-Party-Risiken

ISO fordert Third-Party-Controls (Auswahl, Verträge, Monitoring, Exit), die SoA belegt dies. Grundschutz liefert konkrete Klauseln und Nachweislogik. Wichtig in beiden Welten: Tiering (kritische vs. nicht kritische Lieferanten), evidente Nachweise (z. B. Zertifikate, Pen-Test-Summaries, SOC2-Berichte), Rezertifizierungszyklen und realistische Eskalationspfade.

Häufige Irrtümer und Stolpersteine

• „ISO ist frei von Listen“ – falsch verstanden. Annex A ist Referenz; SoA bedarf konkreter Begründungen.
• „Grundschutz ist nur Bürokratie“ – wenn man Bausteine als Checklisten ohne Kontext nutzt. Mit sauberem Scope/Schutzbedarf sind sie sehr praxistauglich.
• „Alles hoch“ – führt zu Over-Engineering. Differenzierte Schutzbedarfe sind Pflicht.
• „Tool löst Kultur“ – Tools unterstützen; Menschen, Ownership, Training erzeugen Wirksamkeit.
• „Dokumentations-Überwältigung“ – lieber kurz, präzise, audit-tauglich als lang und leblos.

Entscheidungsleitfaden (verbale Matrix)

• Global aktiv, Kunden im Ausland, Konzernverbund? → ISO (klassisch), optional Bausteine als Tiefen-Check.
• Behörde/KRITIS/öffentliche Ausschreibungen in DE? → Grundschutz oder ISO auf Basis Grundschutz.
• Reifegrad gering, schnelle Basis nötig? → Grundschutz (Kern/Standard), später vertiefen oder ISO-Brücke.
• Agile Tech-Organisation, DevOps, Multi-Cloud? → ISO mit Cloud/DevSecOps-Leitplanken, punktuell Grundschutz-Bausteine.
• Kunden fordern beides? → ISO auf Basis Grundschutz – ein Zertifikat, zwei Welten bedient.

Migrationspfade: Von ISO zu Grundschutz und umgekehrt

• ISO → Grundschutz: Strukturanalyse aus Asset-Modell ableiten, Schutzbedarfe schärfen, Baustein-Coverage modellieren, Lückenplan; interne Audits auf Baustein-Prüffragen umstellen.
• Grundschutz → ISO: Risiko-Methodik generalisieren, SoA aus Baustein-Coverage ableiten (Begründungen destillieren), Dokumente verschlanken, KPIs stärker outcome-orientiert gestalten.

Beide Richtungen funktionieren – entscheidend ist, Doppelarbeit zu vermeiden und Evidenzen wiederzuverwenden.

100-Tage-Pläne (pragmatisch)

ISO-Pfad (klassisch):
Tage 1–15: Scope, Ziele, Rollen; Asset-/Prozess-Inventar starten; Risiko-Kriterien festlegen.
Tage 16–45: Risiko-Workshops, Schutzbedarf, erste SoA-Skizze; Quick-Wins (MFA-Gaps, Restore-Test, Incident-Hotline).
Tage 46–75: Policies/Prozesse (IAM, Patch/Vuln, Backup/DR, Incident, Logging); Controls priorisiert umsetzen.
Tage 76–100: Interne Mini-Audits, KPI-Baseline, Management-Review, Zertifizierer anbahnen.

Grundschutz-Pfad (Standard/Kern):
Tage 1–15: Kickoff, Scope, Strukturanalyse-Rahmen, Kompendiumsstand fixieren.
Tage 16–45: Schutzbedarf (CIA), Modellierung (relevante Bausteine), Grundschutz-Check; Quick-Wins aus Basis-Anforderungen.
Tage 46–75: Umsetzung Basis-Anforderungen in der Breite; Standard für Hot-Spots (Internet-Exponierung, privilegierte Zugriffe, kritische Daten).
Tage 76–100: Ergänzende Risikoanalyse für hohe Schutzbedarfe; interne Prüfungen je Baustein; Maßnahmen-Backlog Welle 2, Management-Review.

Nach 100 Tagen sollten messbare Verbesserungen sichtbar sein und der Zertifizierungspfad klar.

KPIs und Wirksamkeitsnachweis

Wenige, aussagekräftige Kennzahlen genügen:

• Hygiene: Patch-SLO-Einhaltung, offene kritische Schwachstellen, MFA-Abdeckung.
• Erkennung/Reaktion: MTTD/MTTR, Playbook-Durchlaufzeiten, Fehlalarmquoten.
• Resilienz: Backup-Erfolgsquote, Restore-Zeit vs. RTO, Übungsfrequenz/Ergebnisse.
• Menschen: Phishing-Klickrate, Meldequote, Schulungsquote, Policy-Acknowledgements.
• Lieferkette: Anteil kritischer Lieferanten mit validen Nachweisen, Audit-Findings behoben.

Diese KPIs funktionieren in ISO- wie Grundschutz-Auditgesprächen – wichtig ist Konsistenz zwischen Zahlen, Prozessen und Evidenzen.

Praxisbeispiele (synthetisch verdichtet)

Energieversorger (KRITIS, DACH, EU-Beschaffung): Wählt ISO auf Basis Grundschutz. Vorteile: internationale Lesbarkeit, deutsche Detailtiefe, NIS2-Brücke. In 12 Monaten: Basis/Standard breit, zusätzliche Anforderungen in Leitwarte/OT; TLPT-Plan für DORA-ähnliche Tests; Lieferkettentierierung etabliert.

Industrie-Mittelstand (Export, OEM-Lieferkette): Start mit ISO (klassisch), SoA fokussiert auf Cloud-ERP, CAD-Plattform, OT-Schnittstellen; punktuelle Grundschutz-Bausteine (Patch, Incident, Lieferanten) als Tiefen-Check. Ergebnis: schnelle internationale Anerkennung, zugleich robuste Prozesse.

Behörde/Kommunale IT: Grundschutz Standardabsicherung für Rechenzentrum, Fachverfahren, Bürgerdienste; jährliche Kompendiums-Adaption, Audits gegen Baustein-Prüffragen; später ISO-Zertifikat auf Basis Grundschutz, um Ausschreibungen zu vereinfachen.

Praktische Tipps für beide Welten

• Scope intelligent schneiden: Zu groß lähmt, zu klein fragmentiert. Wertstrom-orientiert, kritisch beginnen, iterativ erweitern.
• Ownership verankern: Jede Maßnahme, jeder Baustein, jedes Control braucht einen Owner mit Ziel/SLO.
• Dokumente schlank halten: Kurz, eindeutig, rollenfest. Auditoren honorieren Klarheit, nicht Papiergewicht.
• Evidenz laufend sammeln: Tickets, Reports, Protokolle, Rezertifizierungen – nicht erst kurz vor dem Audit.
• Üben statt hoffen: Incident- und Wiederanlauf-Übungen mindestens jährlich, Lessons Learned verpflichtend.
• Lieferanten realistisch managen: Tiering, Nachweismix, Eskalationslogik – und Exit-Pläne, die wirklich funktionieren.

Fazit: Strategie vor Standard

Ob man den klar strukturierten, praxisnahen Weg des BSI IT-Grundschutz wählt oder die flexible, international anerkannte Schiene der ISO/IEC 27001 – beide führen zum Ziel: wirksame, prüfbare Informationssicherheit. Die bessere Wahl ist die, die zu Ihrem Geschäftsmodell, Ihren Stakeholdern, Ihrem Reifegrad und Ihrer Kultur passt. Wer global verkauft, wird ISO brauchen; wer in deutschen Behörden- und KRITIS-Kontexten agiert, profitiert von Grundschutz. Viele Organisationen fahren am besten hybrid: ISO als Visitenkarte und Management-Rückgrat, Grundschutz-Bausteine als handfeste Tiefenanforderungen – oder ISO „auf Basis von IT-Grundschutz“ als integrierter Nachweis.

Entscheidend ist weniger das Label als die Glaubwürdigkeit im Betrieb: sinnvolle Schutzbedarfe, nachvollziehbare Risiken, angemessene Controls, geübte Teams, belastbare Evidenzen und ein Management, das Sicherheit als Daueraufgabe versteht. Dann ist das Zertifikat nicht die Kür, sondern die logische Folge – und Ihr ISMS schützt das Unternehmen im Alltag, nicht nur auf dem Papier.