BSI IT-Grundschutz-Kompendium Compliance
Das BSI-IT-Grundschutz-Kompendium ist der deutsche Basisstandard für Informationssicherheit. Erfahren Sie, wie ImmuniWeb Ihrem Unternehmen hilft, die Sicherheitsanforderungen für Web- und mobile Anwendungen zu erfüllen.
BSI IT-Grundschutz-Kompendium Compliance
Das IT-Grundschutz-Kompendium ist der zentrale Methoden- und Kontrollkatalog, der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht wird. Es definiert einen strukturierten, grundlegenden Ansatz für die Informationssicherheit und dient als Grundlage für die Zertifizierung nach ISO/IEC 27001 auf Basis des IT-Grundschutzes. Der vollständige offizielle Katalog ist auf der BSI-Website (bsi.bund.de) verfügbar.
Was ist das BSI IT-Grundschutz-Kompendium?
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) ist die deutsche nationale Cybersecurity-Behörde. Sein IT-Grundschutz-Kompendium organisiert Sicherheitsanforderungen in modulare Bausteine, die in prozess- und systemorientierten Ebenen gruppiert sind und Organisation und Personal, Anwendungen, IT-Systeme, Netzwerke sowie industrielle Steuerungssysteme abdecken.
Jedes Modul enthält spezifische Anforderungen, die den Schutzstufen Basis, Standard und Hoch zugeordnet sind. Zusammen mit den BSI-Standards 200-1, 200-2 und 200-3 bietet das Kompendium Organisationen einen wiederholbaren und überprüfbaren Weg, um ein angemessenes Sicherheitsniveau zu etablieren und die ISO 27001-Zertifizierung auf der Grundlage des IT-Grundschutzes anzustreben. Diese Seite referenziert die aktuelle Ausgabe 2025 des Kompendiums.
Wer muss den IT-Grundschutz einhalten?
Der IT-Grundschutz ist für deutsche Bundesbehörden verpflichtend und wird im öffentlichen Sektor, bei Betreibern kritischer Infrastrukturen (KRITIS) sowie deren Lieferanten und Auftragnehmern weithin genutzt. Auch Privatunternehmen nutzen ihn als praktischen Fahrplan für ISO 27001, um eine robuste Sicherheitslage nachzuweisen, wenn sie in Deutschland und der gesamten DACH-Region operieren.
Wichtige IT-Grundschutz-Anforderungen an die Anwendungssicherheit
Während das Kompendium die gesamte Bandbreite der Informationssicherheit abdeckt, sind die für die Anwendungssicherheit – und für ImmuniWeb – relevantesten Module:
- CON.8 — Softwareentwicklung: Sichere Entwicklung und Security-Testing von Software über den gesamten Lebenszyklus hinweg.
- CON.10 — Entwicklung von Webanwendungen: Sicheres Design und sichere Programmierung von Webanwendungen, einschließlich Eingabevalidierung, Ausgabekodierung, Authentifizierung und Sitzungsschutz.
- APP.3.1 — Webanwendungen und Webservices: Schutz bereitgestellter Webanwendungen und -dienste vor häufigen Angriffen (OWASP), mit korrekter Zugriffskontrolle und Protokollierung.
- APP.1.4 – Mobile Anwendungen (Mobile Applications / Apps): Absicherung mobiler Apps, einschließlich der Minimierung von Berechtigungen, der sicheren lokalen Datenspeicherung und des Schutzes von Daten während der Übertragung.
Hinweis. Die Anwendbarkeit unterscheidet sich je nach Anwendungstyp. CON.8, CON.10 und APP.3.1 gelten für Webanwendungen, während CON.8 und APP.1.4 für mobile Anwendungen gelten.
Wie ImmuniWeb Ihnen hilft, die IT-Grundschutz-Konformität zu erreichen
ImmuniWeb's Web- und Mobile Application Security Testing unterstützt direkt die Anforderungen an sichere Entwicklung und Anwendungsschutz der relevanten IT-Grundschutz-Module. Die untenstehende Abbildung ist nach Anwendungstyp unterteilt.
Für Webanwendungen — CON.8.A5, CON.10.A, APP.3.1.A
| Anforderung | Was erforderlich ist | ImmuniWeb-Produkte |
|---|---|---|
| CON.8.A5 | Sicherheitstests von Software während des gesamten Entwicklungslebenszyklus. | ImmuniWeb On-Demand, Neuron, Continuous |
| CON.10.A | Sichere Entwicklung von Webanwendungen: Input-Validierung, Output-Encoding, Authentifizierung und Sitzungsschutz. | ImmuniWeb On-Demand, Neuron, Continuous |
| APP.3.1.A | Schutz betriebener Webanwendungen und Dienste vor gängigen Angriffen (OWASP) mit Zugriffskontrolle und Protokollierung. | ImmuniWeb On-Demand, Neuron, Continuous, Discovery |
Für mobile Anwendungen — CON.8.A5, APP.1.4.A
| Anforderung | Was erforderlich ist | ImmuniWeb-Produkte |
|---|---|---|
| CON.8.A5 | Security Testing von Software während des gesamten SDLC (gilt für mobile Apps). | ImmuniWeb MobileSuite, Neuron Mobile |
| APP.1.4.A | Sicherheit mobiler Anwendungen: Minimierung von Berechtigungen, sichere On-Device-Speicherung und Schutz von Daten während der Übertragung. | ImmuniWeb MobileSuite, Neuron Mobile, Continuous |
ImmuniWeb On-Demand bietet manuelle Penetrationstests für Webanwendungen mit einem SLA ohne False Positives; ImmuniWeb Neuron und Neuron Mobile bieten automatisiertes Scannen der Web- und Mobile-Sicherheit; ImmuniWeb MobileSuite umfasst vollständige Penetrationstests für Mobile; und ImmuniWeb Continuous integriert Tests in Ihre CI/CD-Pipeline für einen sicheren SDLC. ImmuniWeb Discovery kartiert und überwacht Ihre externe Angriffsfläche.
Warum ist die Einhaltung des IT-Grundschutzes wichtig?
Der IT-Grundschutz ist die de-facto-Grundlage für die Informationssicherheit in Deutschland und der anerkannte Weg zur ISO 27001-Zertifizierung auf Basis des IT-Grundschutzes. Für öffentliche Stellen und KRITIS-Betreiber ist die Konformität häufig eine vertragliche oder regulatorische Anforderung.
Über die reine Compliance hinaus senkt die Erfüllung der Anwendungssicherheitsmodule das Risiko von Datenschutzverletzungen, die von verwundbaren Web- und Mobile-Anwendungen ausgehen – einem der häufigsten Angriffsvektoren – und belegt Aufsichtsbehörden, Partnern und Kunden gegenüber die gebotene Sorgfalt.