2LRN4 security awareness platform
← Zurück zur Wissensdatenbank

Die Awareness-Anforderung des BSI IT-Grundschutz Schritt für Schritt erfüllen

Der BSI IT-Grundschutz verpflichtet Behörden in Deutschland zu nachweisbarer Security Awareness. So erfüllst du diese Anforderung Schritt für Schritt, mit Schulung, Wiederholung und prüfungssicherem Nachweis.

Kürzlich aktualisiert

Von der Einsicht zur Umsetzung

Sehen Sie, wie Sie dieses Thema in ein praktisches Awareness-Programm mit Training, Phishing-Simulationen und klarem Management-Reporting übersetzen.

Demo buchen Zur primären Lösungs-Seite
Alain Rees
Gründer & Security-Awareness-Spezialist · 2LRN4

Arbeitest du in einer Behörde oder öffentlichen Einrichtung in Deutschland, ist der BSI IT-Grundschutz dein maßgebliches Rahmenwerk. In Österreich erfüllt das Österreichische Informationssicherheitshandbuch eine vergleichbare Rolle. Beide bauen auf der internationalen Norm ISO 27001/27002 auf und stellen eine klare Anforderung an die Sensibilisierung: Mitarbeitende, und wo relevant auch Auftragnehmer, müssen angemessen geschult und regelmäßig über die für ihre Rolle geltenden Regeln informiert werden. Im IT-Grundschutz ist dies vor allem im Baustein ORP.3 "Sensibilisierung und Schulung" verankert. Dieser Artikel zeigt, wie du diese Anforderung Schritt für Schritt nachweisbar erfüllst.

Was verlangt der IT-Grundschutz im Bereich Awareness?

Der Kern ist, dass Sensibilisierung kein einmaliger Akt ist, sondern ein fortlaufender Prozess. Eine Schulung beim Eintritt reicht nicht; Mitarbeitende müssen während des gesamten Beschäftigungsverhältnisses über die für ihre Arbeit geltenden Regeln auf dem Laufenden bleiben.

Wichtig ist die Anforderung an eine angemessene Schulung. Das bedeutet, dass die Inhalte zur Rolle und zu den Risiken passen. Eine Anwendungsadministratorin trägt andere Risiken als eine Person am Empfang, und die Sensibilisierung sollte diesen Unterschied widerspiegeln. Schließlich verlangt der IT-Grundschutz Nachweisbarkeit: Du musst zeigen können, dass der Prozess existiert und wirkt.

Schritt 1: Zielgruppen und ihre Risiken bestimmen

Beginne mit einer kurzen Risikoeinschätzung je Funktionsgruppe. Welche Daten verarbeitet jemand, welche Systeme nutzt er, und was würde bei einem Fehler schiefgehen? Daraus muss kein großes Projekt werden; einige Gespräche je Abteilung liefern bereits ein brauchbares Bild.

Das Ergebnis ist eine Übersicht der Zielgruppen mit den für sie relevanten Risiken. Diese Übersicht steuert den Rest deines Vorgehens und bildet zugleich den Nachweis, dass du Awareness risikoorientiert aufgesetzt hast.

Schritt 2: Schulung und Wiederholung einrichten

Wähle Inhalte, die zu den Zielgruppen aus Schritt 1 passen, und plane sie in einem festen Rhythmus. Kurze Module, die regelmäßig wiederkehren, wirken besser als eine lange jährliche Sitzung. Nimm Awareness auch in das Onboarding auf, damit neue Mitarbeitende vom ersten Tag an einbezogen sind.

Vergiss die Auftragnehmer nicht. Der IT-Grundschutz nennt sie ausdrücklich, soweit sie Zugang zu Informationen oder Systemen haben. Halte fest, wie Externe einbezogen werden, auch wenn sie nicht in deiner eigenen Lernumgebung sind.

Schritt 3: Für Nachweisbarkeit sorgen

Eine prüfende Stelle möchte nicht hören, dass du etwas tust, sondern es sehen. Dokumentiere daher systematisch:

  • Teilnahme: wer welche Schulung wann abgeschlossen hat, einschließlich neuer Mitarbeitender und Externer.
  • Inhalt und Häufigkeit: welche Themen du behandelst und wie oft du wiederholst.
  • Risikobezug: die Begründung, warum eine Zielgruppe bestimmte Themen erhält.
  • Ergebnisse: Kennzahlen wie die Melderate bei Phishing-Simulationen, um Verbesserung zu zeigen.

Schritt 4: Auf Basis der Messung verbessern

Nachweisbarkeit ist kein Selbstzweck. Die gesammelten Zahlen nutzt du zum Nachsteuern. Bleibt das Meldeverhalten in einer Abteilung zurück, weißt du, wo zusätzliche Aufmerksamkeit nötig ist.

So wird die Anforderung kein Abhaken einer Liste, sondern ein Motor für echte Verbesserung. Du erfüllst nicht nur die Norm, du senkst nachweisbar das Risiko, und genau darum geht es der Norm letztlich.

Verwandte Artikel

FAQ

Für wen gilt der BSI IT-Grundschutz?

Der IT-Grundschutz ist für Bundesbehörden maßgeblich und wird von vielen Ländern und Kommunen sowie öffentlichen Einrichtungen angewendet. In Österreich erfüllt das Österreichische Informationssicherheitshandbuch eine vergleichbare Rolle. Auch Auftragnehmer mit Zugang zu Informationen oder Systemen sind einbezogen.

Welcher Baustein behandelt Awareness?

Der Baustein ORP.3 "Sensibilisierung und Schulung" deckt die Awareness-Anforderungen ab. Der Kern: Mitarbeitende erhalten eine angemessene, auf ihre Rolle abgestimmte Schulung und werden regelmäßig über Regeln und Verfahren informiert. Sensibilisierung muss ein fortlaufender Prozess sein.

Wie oft muss geschult werden?

Es gibt keine feste Frequenz, gefordert ist ein fortlaufender Prozess. In der Praxis wirken kurze, regelmäßig wiederkehrende Module besser als eine jährliche Sitzung. Nimm Awareness auch in das Onboarding neuer Mitarbeitender auf.

Was möchte eine prüfende Stelle sehen?

Nachweise, dass der Prozess existiert und wirkt: Teilnahmenachweise, behandelte Themen und deren Häufigkeit, die Verbindung zwischen Zielgruppe und Risiko sowie Ergebnisse wie die Melderate bei Phishing-Simulationen. Die Kombination ist der stärkste Nachweis.

Wie verhält sich der IT-Grundschutz zu NIS2?

Der IT-Grundschutz ist das nationale Rahmenwerk auf Basis von ISO 27001/27002; NIS2 ist EU-Gesetzgebung, die in Deutschland über das NIS2-Umsetzungsgesetz greift und häufig zusätzlich gilt. Die Awareness-Erwartungen überlappen stark: risikoorientiert, fortlaufend und nachweisbar. Ein gut aufgesetztes Programm bedient beide.

Nächster Schritt

Nutzen Sie diesen Artikel als Grundlage und sehen Sie anschließend, wie 2LRN4 das Thema praktisch in Zielgruppensegmentierung, Training und Reporting übersetzt.

Demo buchen Leitfaden herunterladen Weitere Artikel