IT-Grundschutz Basis-Absicherung: der pragmatische Einstieg für KMU
Die Basis-Absicherung ist die Einstiegsstufe der IT-Grundschutz-Methodik nach BSI-Standard 200-2: Ein Unternehmen setzt nur die Basis-Anforderungen (MUSS-Anforderungen) der zutreffenden Bausteine um — ohne vollständige Schutzbedarfsfeststellung. Kleine Unternehmen erreichen damit in typischerweise 2 bis 4 Monaten ein belastbares Grundniveau an Informationssicherheit. Als Nachweis dient optional ein zwei Jahre gültiges IT-Grundschutz-Testat eines BSI-zertifizierten Auditors — ein ISO-27001-Zertifikat ist die Basis-Absicherung ausdrücklich nicht.
Von Rudolf Schwartz — Inhaber & Entwickler von QubeLogix · Zuletzt aktualisiert 15. Juli 2026
Was die Basis-Absicherung ist
Der BSI-Standard 200-2 beschreibt drei Vorgehensweisen für den Aufbau von Informationssicherheit: Basis-, Kern- und Standard-Absicherung. Die Basis-Absicherung ist der bewusst vereinfachte Einstieg. Statt den gesamten Informationsverbund zu modellieren und für jedes System den Schutzbedarf festzustellen, setzen Sie die Basis-Anforderungen der zutreffenden Bausteine aus dem IT-Grundschutz-Kompendium um — das sind die MUSS-Anforderungen, die das BSI so priorisiert hat, dass sie den größten Sicherheitsgewinn bei geringstem Aufwand liefern.
Das Kompendium umfasst über 100 Bausteine in zehn Schichten — von organisatorischen Themen (ORP, ISMS) über Betrieb (OPS) bis zu konkreten Systemen (SYS), Netzen (NET) und Anwendungen (APP). Für ein kleines Unternehmen ist nur ein Teil davon relevant: Welche Bausteine zutreffen, ergibt sich aus Ihrer tatsächlichen IT — vorhandene Server, Clients, Cloud-Dienste, Netzwerk, Homeoffice. Das BSI stellt den Leitfaden zur Basis-Absicherung kostenlos zum Download bereit; die Methodik selbst kostet nichts, nur die Umsetzung.
Warum nicht gleich ISO 27001?
ISO 27001 ist risikobasiert und top-down: Sie müssen Ihre Risiken selbst analysieren, bewerten und daraus Maßnahmen ableiten — das erfordert Methodenwissen, das in einem 10-Personen-Betrieb selten vorhanden ist. IT-Grundschutz arbeitet umgekehrt, bottom-up mit einem konkreten deutschen Maßnahmenkatalog: Das BSI hat die Risikoanalyse für typische Komponenten bereits gemacht und sagt Ihnen, was zu tun ist. Für KMU ohne eigene Security-Abteilung ist das der praktikablere Weg.
Auch finanziell ist der Unterschied deutlich: Eine native ISO-27001-Einführung kostet für ein KMU im ersten Jahr nach marktüblichen Beraterspannen etwa 25.000 bis 40.000 €. Eine extern begleitete Basis-Absicherung wird je nach Quelle mit rund 10.000 bis 30.000 € angesetzt — die Spannen divergieren, sind aber durchgehend niedriger. Wichtig: Beide Welten schließen sich nicht aus. IT-Grundschutz ist eine anerkannte Methodik zur Umsetzung von ISO 27001; wer später zertifizieren will, baut auf der geleisteten Arbeit auf, statt neu anzufangen.
Ablauf in der Praxis: Reihenfolge und Arbeitspakete
Ein sauberer Stufenpfad für KMU sieht so aus: erst ein CyberRisikoCheck nach DIN SPEC 27076 (rund ein bis zwei Stunden Interview plus Auswertung, üblicherweise ein Beratungstag) als Standortbestimmung. Dann WiBA — der „Weg in die Basis-Absicherung", ein BSI-Angebot mit kostenlosen Checklisten und Prüffragen, die ausdrücklich ohne Methodik-Kenntnisse nutzbar sind. Danach die eigentliche Basis-Absicherung, optional mit Testat. Wer später mehr braucht, geht weiter zur Standard-Absicherung.
Die Basis-Absicherung selbst gliedert sich in überschaubare Arbeitspakete: Geltungsbereich festlegen (welcher Teil des Unternehmens abgesichert wird), IT-Bestand erfassen, zutreffende Bausteine auswählen, die Basis-Anforderungen gegen den Ist-Zustand prüfen, Lücken priorisieren und abarbeiten, das Erreichte knapp dokumentieren. Die aufwendige Schutzbedarfsfeststellung entfällt in dieser Stufe weitgehend — genau das macht den Einstieg für kleine Organisationen realistisch.
QubeLogix begleitet diesen Weg als Umsetzungspartner: Rudolf Schwartz ist BSI IT-Grundschutz-Praktiker und IT-Security-Auditor (TÜV) und strukturiert die Methodik, moderiert die Bausteinauswahl und setzt technische Maßnahmen mit um. Die Rollenverteilung ist dabei klar: QubeLogix befähigt und begleitet — Testate und Zertifikate stellt immer ein externer, beim BSI zertifizierter Auditor beziehungsweise das BSI aus.
Der Nachweis: IT-Grundschutz-Testat — und seine Grenzen
Wenn Kunden oder Auftraggeber einen Nachweis verlangen, gibt es für die Basis-Absicherung das IT-Grundschutz-Testat (eingeführt 2019). Es wird ausschließlich von einem beim BSI zertifizierten IT-Grundschutz-Auditor ausgestellt und ist zwei Jahre gültig — nicht verlängerbar, ein neues Testat kann aber jederzeit beantragt werden. Das Verfahren ist kompakt: Dokumentenprüfung und Prüfplan (etwa 1–2 Personentage), Vor-Ort-Prüfung mit Abschlussbesprechung (etwa 1–2 Personentage), Prüfbericht und Testat (etwa 0,5–1 Personentag). Nach Beraterschätzungen liegen die externen Auditkosten insgesamt bei rund 2.700 bis 7.500 € — ein Richtwert, kein amtlicher Preis.
Die ehrliche Einordnung: Das Testat ist kein Zertifikat und wird oft überschätzt. Ein ISO-27001-Zertifikat auf Basis von IT-Grundschutz setzt die Standard-Absicherung (oder Kern-Absicherung) voraus — die Basis-Absicherung allein reicht dafür nicht. Wer im Ausschreibungsgeschäft ein ISO-27001-Zertifikat vorlegen muss, sollte das von Anfang an wissen und den Weg entsprechend planen, statt nach zwei Jahren umzusteuern.
Kosten, Dauer und Förderung
Zeitlich sollten Sie für die Basis-Absicherung in einem kleinen Unternehmen mit etwa 2 bis 4 Monaten rechnen — eine marktübliche Größenordnung, die stark von Unternehmensgröße, IT-Landschaft und interner Mitarbeit abhängt. Marktüblich kostet die extern begleitete Umsetzung für KMU je nach Quelle rund 10.000 bis 30.000 €; eine Standard-Absicherung inklusive Zertifizierung liegt mit etwa 40.000 bis 120.000 € in einer anderen Liga.
QubeLogix liegt bewusst unter diesen Marktspannen, weil als Einzelunternehmen ohne Overhead kalkuliert wird: Der Informationssicherheits-Quick-Check kostet ab 1.900 € (Festpreis), die begleitete Umsetzung der ISMS-Grundlagen inklusive NIS2-Orientierung 6.000 bis 14.000 €, laufende Betreuung ab 900 €/Monat, der Beratungstagessatz 1.000 bis 1.200 € (alle Preise netto, keine USt. gemäß § 19 UStG). Das externe Testat kommt gegebenenfalls obendrauf.
Zur Förderung: Je nach Bundesland existieren Zuschussprogramme für IT-Sicherheitsberatung in KMU — in Nordrhein-Westfalen etwa das Programm MID – Digitale Sicherheit. Konditionen und Programmstatus ändern sich jedoch laufend; prüfen Sie den aktuellen Stand vor einer Beauftragung oder sprechen Sie das Thema im Erstgespräch an.
Was die Basis-Absicherung für NIS2 bedeutet
Seit dem 6. Dezember 2025 ist das deutsche NIS2-Umsetzungsgesetz ohne Übergangsfrist in Kraft; die dreimonatige Registrierungsfrist über das BSI-Portal MUK ist am 6. März 2026 abgelaufen. Rund 29.500 Unternehmen stehen damit unter BSI-Aufsicht — vorher waren es etwa 4.500. Bei Verstößen drohen Bußgelder bis 10 Mio. € oder 2 % des weltweiten Umsatzes. Viele KMU sind nicht selbst betroffen, bekommen die Anforderungen aber als Zulieferer über Sicherheitsfragebögen ihrer Kunden auf den Tisch.
Klar gesagt: Die Basis-Absicherung macht Sie nicht NIS2-konform. NIS2 verlangt unter anderem ein eigenes Risikomanagement, Meldewege und nachweisbare Geschäftsleitungsverantwortung — das geht über die Basis-Anforderungen hinaus. Aber sie ist das richtige Fundament: Wer die Basis-Anforderungen umgesetzt und dokumentiert hat, kann Kundenfragebögen substanziell beantworten und baut NIS2-nahe Strukturen auf geordnetem Grund auf, statt bei null zu starten.
Wann Sie die Basis-Absicherung nicht brauchen
Ehrlich: Nicht jedes Unternehmen braucht diesen Schritt jetzt. Wenn Sie ein bis fünf Personen sind, ausschließlich mit Standard-Cloud-Diensten arbeiten und kein Kunde einen Nachweis verlangt, ist ein CyberRisikoCheck nach DIN SPEC 27076 plus die Umsetzung seiner Empfehlungen oft der bessere erste Schritt — schneller, günstiger, ohne Dokumentationsapparat. Auch die kostenlosen WiBA-Checklisten des BSI können Sie vollständig in Eigenregie durcharbeiten; dafür braucht niemand einen Dienstleister.
Umgekehrt gilt: Wenn ein Großkunde explizit ein ISO-27001-Zertifikat fordert, ist die Basis-Absicherung ein Umweg — planen Sie dann direkt den Pfad über die Standard-Absicherung oder eine native ISO-Einführung. Die Basis-Absicherung ist die richtige Wahl für die Mitte dazwischen: Unternehmen, die strukturiert und nachweisbar ein Grundniveau erreichen wollen, ohne den Aufwand einer Zertifizierung. Sie ist ein Startpunkt, kein Abschluss — und genau so sollten Sie sie einplanen.