Zum Inhalt springen
QubeLogix

IT-Grundschutz Basis-Absicherung: der pragmatische Einstieg für KMU

Die Basis-Absicherung ist die Einstiegsstufe der IT-Grundschutz-Methodik nach BSI-Standard 200-2: Ein Unternehmen setzt nur die Basis-Anforderungen (MUSS-Anforderungen) der zutreffenden Bausteine um — ohne vollständige Schutzbedarfsfeststellung. Kleine Unternehmen erreichen damit in typischerweise 2 bis 4 Monaten ein belastbares Grundniveau an Informationssicherheit. Als Nachweis dient optional ein zwei Jahre gültiges IT-Grundschutz-Testat eines BSI-zertifizierten Auditors — ein ISO-27001-Zertifikat ist die Basis-Absicherung ausdrücklich nicht.

Von Rudolf Schwartz — Inhaber & Entwickler von QubeLogix · Zuletzt aktualisiert 15. Juli 2026

Was die Basis-Absicherung ist

Der BSI-Standard 200-2 beschreibt drei Vorgehensweisen für den Aufbau von Informationssicherheit: Basis-, Kern- und Standard-Absicherung. Die Basis-Absicherung ist der bewusst vereinfachte Einstieg. Statt den gesamten Informationsverbund zu modellieren und für jedes System den Schutzbedarf festzustellen, setzen Sie die Basis-Anforderungen der zutreffenden Bausteine aus dem IT-Grundschutz-Kompendium um — das sind die MUSS-Anforderungen, die das BSI so priorisiert hat, dass sie den größten Sicherheitsgewinn bei geringstem Aufwand liefern.

Das Kompendium umfasst über 100 Bausteine in zehn Schichten — von organisatorischen Themen (ORP, ISMS) über Betrieb (OPS) bis zu konkreten Systemen (SYS), Netzen (NET) und Anwendungen (APP). Für ein kleines Unternehmen ist nur ein Teil davon relevant: Welche Bausteine zutreffen, ergibt sich aus Ihrer tatsächlichen IT — vorhandene Server, Clients, Cloud-Dienste, Netzwerk, Homeoffice. Das BSI stellt den Leitfaden zur Basis-Absicherung kostenlos zum Download bereit; die Methodik selbst kostet nichts, nur die Umsetzung.

Warum nicht gleich ISO 27001?

ISO 27001 ist risikobasiert und top-down: Sie müssen Ihre Risiken selbst analysieren, bewerten und daraus Maßnahmen ableiten — das erfordert Methodenwissen, das in einem 10-Personen-Betrieb selten vorhanden ist. IT-Grundschutz arbeitet umgekehrt, bottom-up mit einem konkreten deutschen Maßnahmenkatalog: Das BSI hat die Risikoanalyse für typische Komponenten bereits gemacht und sagt Ihnen, was zu tun ist. Für KMU ohne eigene Security-Abteilung ist das der praktikablere Weg.

Auch finanziell ist der Unterschied deutlich: Eine native ISO-27001-Einführung kostet für ein KMU im ersten Jahr nach marktüblichen Beraterspannen etwa 25.000 bis 40.000 €. Eine extern begleitete Basis-Absicherung wird je nach Quelle mit rund 10.000 bis 30.000 € angesetzt — die Spannen divergieren, sind aber durchgehend niedriger. Wichtig: Beide Welten schließen sich nicht aus. IT-Grundschutz ist eine anerkannte Methodik zur Umsetzung von ISO 27001; wer später zertifizieren will, baut auf der geleisteten Arbeit auf, statt neu anzufangen.

Ablauf in der Praxis: Reihenfolge und Arbeitspakete

Ein sauberer Stufenpfad für KMU sieht so aus: erst ein CyberRisikoCheck nach DIN SPEC 27076 (rund ein bis zwei Stunden Interview plus Auswertung, üblicherweise ein Beratungstag) als Standortbestimmung. Dann WiBA — der „Weg in die Basis-Absicherung", ein BSI-Angebot mit kostenlosen Checklisten und Prüffragen, die ausdrücklich ohne Methodik-Kenntnisse nutzbar sind. Danach die eigentliche Basis-Absicherung, optional mit Testat. Wer später mehr braucht, geht weiter zur Standard-Absicherung.

Die Basis-Absicherung selbst gliedert sich in überschaubare Arbeitspakete: Geltungsbereich festlegen (welcher Teil des Unternehmens abgesichert wird), IT-Bestand erfassen, zutreffende Bausteine auswählen, die Basis-Anforderungen gegen den Ist-Zustand prüfen, Lücken priorisieren und abarbeiten, das Erreichte knapp dokumentieren. Die aufwendige Schutzbedarfsfeststellung entfällt in dieser Stufe weitgehend — genau das macht den Einstieg für kleine Organisationen realistisch.

QubeLogix begleitet diesen Weg als Umsetzungspartner: Rudolf Schwartz ist BSI IT-Grundschutz-Praktiker und IT-Security-Auditor (TÜV) und strukturiert die Methodik, moderiert die Bausteinauswahl und setzt technische Maßnahmen mit um. Die Rollenverteilung ist dabei klar: QubeLogix befähigt und begleitet — Testate und Zertifikate stellt immer ein externer, beim BSI zertifizierter Auditor beziehungsweise das BSI aus.

Der Nachweis: IT-Grundschutz-Testat — und seine Grenzen

Wenn Kunden oder Auftraggeber einen Nachweis verlangen, gibt es für die Basis-Absicherung das IT-Grundschutz-Testat (eingeführt 2019). Es wird ausschließlich von einem beim BSI zertifizierten IT-Grundschutz-Auditor ausgestellt und ist zwei Jahre gültig — nicht verlängerbar, ein neues Testat kann aber jederzeit beantragt werden. Das Verfahren ist kompakt: Dokumentenprüfung und Prüfplan (etwa 1–2 Personentage), Vor-Ort-Prüfung mit Abschlussbesprechung (etwa 1–2 Personentage), Prüfbericht und Testat (etwa 0,5–1 Personentag). Nach Beraterschätzungen liegen die externen Auditkosten insgesamt bei rund 2.700 bis 7.500 € — ein Richtwert, kein amtlicher Preis.

Die ehrliche Einordnung: Das Testat ist kein Zertifikat und wird oft überschätzt. Ein ISO-27001-Zertifikat auf Basis von IT-Grundschutz setzt die Standard-Absicherung (oder Kern-Absicherung) voraus — die Basis-Absicherung allein reicht dafür nicht. Wer im Ausschreibungsgeschäft ein ISO-27001-Zertifikat vorlegen muss, sollte das von Anfang an wissen und den Weg entsprechend planen, statt nach zwei Jahren umzusteuern.

Kosten, Dauer und Förderung

Zeitlich sollten Sie für die Basis-Absicherung in einem kleinen Unternehmen mit etwa 2 bis 4 Monaten rechnen — eine marktübliche Größenordnung, die stark von Unternehmensgröße, IT-Landschaft und interner Mitarbeit abhängt. Marktüblich kostet die extern begleitete Umsetzung für KMU je nach Quelle rund 10.000 bis 30.000 €; eine Standard-Absicherung inklusive Zertifizierung liegt mit etwa 40.000 bis 120.000 € in einer anderen Liga.

QubeLogix liegt bewusst unter diesen Marktspannen, weil als Einzelunternehmen ohne Overhead kalkuliert wird: Der Informationssicherheits-Quick-Check kostet ab 1.900 € (Festpreis), die begleitete Umsetzung der ISMS-Grundlagen inklusive NIS2-Orientierung 6.000 bis 14.000 €, laufende Betreuung ab 900 €/Monat, der Beratungstagessatz 1.000 bis 1.200 € (alle Preise netto, keine USt. gemäß § 19 UStG). Das externe Testat kommt gegebenenfalls obendrauf.

Zur Förderung: Je nach Bundesland existieren Zuschussprogramme für IT-Sicherheitsberatung in KMU — in Nordrhein-Westfalen etwa das Programm MID – Digitale Sicherheit. Konditionen und Programmstatus ändern sich jedoch laufend; prüfen Sie den aktuellen Stand vor einer Beauftragung oder sprechen Sie das Thema im Erstgespräch an.

Was die Basis-Absicherung für NIS2 bedeutet

Seit dem 6. Dezember 2025 ist das deutsche NIS2-Umsetzungsgesetz ohne Übergangsfrist in Kraft; die dreimonatige Registrierungsfrist über das BSI-Portal MUK ist am 6. März 2026 abgelaufen. Rund 29.500 Unternehmen stehen damit unter BSI-Aufsicht — vorher waren es etwa 4.500. Bei Verstößen drohen Bußgelder bis 10 Mio. € oder 2 % des weltweiten Umsatzes. Viele KMU sind nicht selbst betroffen, bekommen die Anforderungen aber als Zulieferer über Sicherheitsfragebögen ihrer Kunden auf den Tisch.

Klar gesagt: Die Basis-Absicherung macht Sie nicht NIS2-konform. NIS2 verlangt unter anderem ein eigenes Risikomanagement, Meldewege und nachweisbare Geschäftsleitungsverantwortung — das geht über die Basis-Anforderungen hinaus. Aber sie ist das richtige Fundament: Wer die Basis-Anforderungen umgesetzt und dokumentiert hat, kann Kundenfragebögen substanziell beantworten und baut NIS2-nahe Strukturen auf geordnetem Grund auf, statt bei null zu starten.

Wann Sie die Basis-Absicherung nicht brauchen

Ehrlich: Nicht jedes Unternehmen braucht diesen Schritt jetzt. Wenn Sie ein bis fünf Personen sind, ausschließlich mit Standard-Cloud-Diensten arbeiten und kein Kunde einen Nachweis verlangt, ist ein CyberRisikoCheck nach DIN SPEC 27076 plus die Umsetzung seiner Empfehlungen oft der bessere erste Schritt — schneller, günstiger, ohne Dokumentationsapparat. Auch die kostenlosen WiBA-Checklisten des BSI können Sie vollständig in Eigenregie durcharbeiten; dafür braucht niemand einen Dienstleister.

Umgekehrt gilt: Wenn ein Großkunde explizit ein ISO-27001-Zertifikat fordert, ist die Basis-Absicherung ein Umweg — planen Sie dann direkt den Pfad über die Standard-Absicherung oder eine native ISO-Einführung. Die Basis-Absicherung ist die richtige Wahl für die Mitte dazwischen: Unternehmen, die strukturiert und nachweisbar ein Grundniveau erreichen wollen, ohne den Aufwand einer Zertifizierung. Sie ist ein Startpunkt, kein Abschluss — und genau so sollten Sie sie einplanen.

Häufige Fragen

Häufige Fragen
Gibt es für die Basis-Absicherung ein Zertifikat?

Nein, kein Zertifikat — aber ein Testat. Nach umgesetzter Basis-Absicherung kann ein beim BSI zertifizierter IT-Grundschutz-Auditor ein IT-Grundschutz-Testat ausstellen. Es ist zwei Jahre gültig und nicht verlängerbar; danach ist ein neues Testatverfahren nötig. Ein ISO-27001-Zertifikat auf Basis von IT-Grundschutz erfordert dagegen die Standard-Absicherung, nicht die Basis-Absicherung.

Reicht die Basis-Absicherung für NIS2 aus?

Nein. Das deutsche NIS2-Umsetzungsgesetz (in Kraft seit 06.12.2025) verlangt unter anderem ein eigenes Risikomanagement, Meldeprozesse und Geschäftsleitungsverantwortung — das leistet die Basis-Absicherung allein nicht. Sie ist aber ein solides technisch-organisatorisches Fundament, auf dem sich die NIS2-Anforderungen deutlich schneller aufbauen lassen als auf einer ungeordneten IT.

Was kostet die Basis-Absicherung für ein KMU?

Marktüblich liegt eine extern begleitete Basis-Absicherung für kleine Unternehmen nach Beraterquellen bei etwa 10.000 bis 30.000 €. QubeLogix bietet einen Quick-Check ab 1.900 € (Festpreis) und die begleitete Umsetzung der ISMS-Grundlagen für 6.000 bis 14.000 € an; der Beratungstagessatz liegt bei 1.000 bis 1.200 € (netto, § 19 UStG). Ein optionales externes Testat kostet nach Beraterschätzungen zusätzlich etwa 2.700 bis 7.500 €.

Können wir die Basis-Absicherung selbst umsetzen, ohne Berater?

Für den Einstieg ja: Das BSI stellt mit WiBA („Weg in die Basis-Absicherung") kostenlose Checklisten mit Prüffragen bereit, die ausdrücklich ohne Methodik-Kenntnisse nutzbar sind. Der kostenlose BSI-Leitfaden zur Basis-Absicherung beschreibt das weitere Vorgehen. Externe Begleitung lohnt sich vor allem, wenn intern niemand Zeit für die Strukturierung hat oder ein Testat als Nachweis angestrebt wird.

Wie lange dauert die Umsetzung der Basis-Absicherung?

Für ein kleines Unternehmen typischerweise 2 bis 4 Monate — das ist eine marktübliche Größenordnung aus Beraterquellen, keine Zusage, und hängt stark von der Zahl der IT-Systeme, der vorhandenen Dokumentation und der internen Verfügbarkeit ab. Der vorgelagerte CyberRisikoCheck nach DIN SPEC 27076 ist deutlich schneller: rund ein bis zwei Stunden Interview plus Auswertung, in der Regel als ein Beratungstag abgerechnet.

Was unterscheidet Basis-, Kern- und Standard-Absicherung?

BSI-Standard 200-2 definiert drei Vorgehensweisen: Die Basis-Absicherung setzt nur die Basis-Anforderungen (MUSS) der zutreffenden Bausteine um — schneller Einstieg ohne vollständige Schutzbedarfsfeststellung. Die Kern-Absicherung schützt gezielt die kritischsten Prozesse („Kronjuwelen") vollständig. Die Standard-Absicherung modelliert den gesamten Informationsverbund und ist Voraussetzung für die ISO-27001-Zertifizierung auf Basis von IT-Grundschutz.

Welche Aufgabe soll bei Ihnen zuerst verschwinden?

Kontakt

Schildern Sie uns Ihr Vorhaben, vom ersten KI-Assistenten bis zur Übernahme eines bestehenden Systems. Sie bekommen innerhalb von zwei Werktagen eine ehrliche Einschätzung.