IT-Grundschutz-Check
mit den CycleSEC
ISMS-Frameworks
IT-Grundschutz-Check im ISMS
„Der IT-Grundschutz-Check ist für viele unserer Kunden Pflicht. In der Beratungspraxis haben wir jedoch gesehen, dass vorhandene Tools oft schlecht integrierbar sind und im ISMS mehr Aufwand erzeugen, als sie einsparen. Mit den ISMS-Frameworks in XWiki haben wir deshalb eine Lösung entwickelt, die genau die Funktionen bietet, die wir uns in unseren Projekten immer gewünscht haben.“
– Sebastian Klipper, Geschäftsführer CycleSEC
Informationssicherheit ist heute ein zentraler Erfolgsfaktor. Die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) ist der gängige Ansatz für mittlere und große Organisationen. Viele Firmen und Behörden sind verpflichtet, die Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) anzuwenden und müssen daher auch einen IT-Grundschutz-Check durchführen.
Mit den CycleSEC ISMS-Frameworks in XWiki lässt sich der BSI-IT-Grundschutz besonders strukturiert und effizient umsetzen. Dieser Beitrag zeigt, wie Sie in wenigen Schritten mit dem IT-Grundschutz-Check starten können – praxisnah und nachvollziehbar.
Was ist der IT-Grundschutz-Check?
Der IT-Grundschutz-Check ist eine Methode des BSI, mit dem Organisationen den Stand ihrer Informationssicherheit einschätzen und verbessern können. Er basiert auf den Anforderungen des IT-Grundschutz-Kompendiums und liefert eine nachvollziehbare Bewertung des Umsetzungsgrads. Zentrale Merkmale sind:
Systematische Bestandsaufnahme relevanter Sicherheitsmaßnahmen
Strukturierte Bewertung anhand klarer Kriterien
Ableitung von Handlungsfeldern für Verbesserungen
Der IT-Grundschutz-Check bietet eine solide Grundlage für den Aufbau eines ISMS. Die Maßnahmen des IT-Grundschutz-Kompendiums müssen dabei auf alle (gegebenenfalls gruppierten) Zielobjekte des Informationsverbunds angewendet werden. Basis dafür sind die Strukturanalyse und die Modellierung.
BSI IT-Grundschutz mit unseren ISMS-Frameworks
CycleSEC setzt bei der ISMS-Implementierung nach BSI-IT-Grundschutz auf eine eigenentwickelte Struktur aus ISMS-Frameworks und Compliance-Mappings. Die Steuerung aller Anforderungen erfolgt in einem speziell dafür entwickelten Framework, das die Vorgaben aus dem BSI-Standard 200-2 sowie sämtliche Bausteine des IT-Grundschutz-Kompendiums abbildet.
Bereits während der Strukturanalyse und der Modellierung arbeiten viele Organisationen mit einer Vielzahl von Werkzeugen: Netzpläne werden in Visio erstellt, Zusammenhänge in Mindmaps dokumentiert, Meetings mit PowerPoint und Excel vorbereitet und Dateien an unterschiedlichsten Orten abgelegt – von E-Mail und File-Server bis zu SharePoint oder Messenger-Diensten. Die eigentliche Arbeit im ISMS-Tool war meist nur einem kleinen Kreis vorbehalten. Schon zu Beginn von Projekten führte das häufig dazu, dass verschiedene Personen mit unterschiedlichen Dokumentversionen arbeiteten oder vorhandene Inhalte gar nicht kannten. Schon in mittelgroßen Projekten entsteht ein erheblicher Aufwand, wenn für alle Zielobjekte schnell Tausende von Maßnahmenprüfungen durchgeführt werden müssen.
Grenzen der klassischen Arbeitsweise im ISMS
Viele Organisationen arbeiten mit Tabellenkalkulationen, Powerpoint und gängigen ISMS-Tools. Diese Ansätze stoßen jedoch schnell an Grenzen:
Eingeschränkte Zusammenarbeit im Team
Medienbrüche zur eigentlichen Dokumentation von Prozessen und Systemen
Fehlende Integrierbarkeit weiterer Managementsysteme und Compliance-Anforderungen
Fehlende automatische Versionierung und Nachvollziehbarkeit
Hoher Aufwand bei Änderungen und Auswertungen
IT-Grundschutz-Check in Wiki-Plattformen
Seit 2019 setzt CycleSEC bei ISMS-Implementierungen auf Wissensmanagement mit Wikis. Zunächst auf Basis von Confluence wurden zahlreiche Frameworks für spezielle Aufgaben entwickelt. 2024 ist CycleSEC schließlich mit dem ersten Kunden mit den ISMS-Frameworks auf Basis von XWiki in eine erfolgreiche BSI-Zertifizierung gestartet.
Die CycleSEC ISMS-Frameworks stellen neben vielen weiteren Funktionen eine praxisnahe Arbeitsumgebung für den IT-Grundschutz-Check bereit. Sie kombinieren die Inhalte des IT-Grundschutz-Kompendiums mit einer kollaborativen und anpassbaren Plattform. Vorteile im Überblick:
Direkte Zuordnung der BSI-Bausteine an die Zielobjekte aus dem Asset-Management
Einfache Anpassung an Organisation und Scope
Strukturierte Dokumentation an den Assets und den IT-Grundschutz-Checks ohne Medienbrüche
Verlinkung von Fundstellen im XWiki ohne Medienbrüche
API-Anbindung und Auswertung von Ticket-Systemen wie Jira oder Zammad
Automatische Auswertungen und Berichte für das Management-Review
So entsteht eine Arbeitsgrundlage, die den IT-Grundschutz-Check nicht nur erleichtert, sondern auch nachhaltig in der Organisation verankert.
Mit den ISMS-Frameworks verfolgen wir das Ziel, die Aufgaben in einem ISMS deutlich schneller abzuschließen, als es im Branchen-Benchmark für ISMS-Tools üblich ist. Ganz oben auf unserer Prioritätenliste standen dabei die IT-Grundschutz-Checks nach BSI, die im Projektalltag erfahrungsgemäß enorm viel Zeit beanspruchen.
Sebastian Klipper
Geschäftsführer CycleSEC
Praxisbeispiel in XWiki
Im Folgenden zeigen wir typische Schritte des IT-Grundschutz-Checks in der XWiki-Umgebung.
1. Neuen IT-Grundschutz-Check anlegen
Ein neuer IT-Grundschutz-Check für einen Baustein und ein Zielobjekt lässt sich mit wenigen Klicks anlegen (Video 1). Dazu werden das gewünschte Zielobjekt und die passende Bausteinvorlage ausgewählt. Anschließend erstellt die Anwendung automatisch die erforderlichen Seiten für jede einzelne Maßnahme. Statusmeldungen zeigen an, ob der Vorgang erfolgreich war und wo der neue IT-Grundschutz-Check für das Zielobjekt gespeichert wurde.
Video 1
2. Anforderungen bewerten
Die einzelnen Anforderungen des IT-Grundschutz-Kompendiums können nun einzeln oder für mehrere Anforderungen gleichzeitig bearbeitet werden (Video 2). Für die gleichzeitige Bearbeitung mehrerer Anforderungen stehen zahlreiche Filtermöglichkeiten zur Verfügung.
Video 2
Das Tool lässt sich nicht nur für einzelne Bausteine einsetzen, sondern auch auf den gesamten Informationsverbund anwenden. So können etwa alle IT-Grundschutz-Checks für Standard- und Kern-Maßnahmen in einem Schritt bearbeitet werden, wenn die Organisation nach Basis-Absicherung vorgeht. Darüber hinaus können Umsetzungstermine angepasst oder der Status beliebiger Checks geändert werden – ohne dass dafür jede Seite einzeln geöffnet werden muss. Das gilt auch für übliche Informationsverbünde mit mehreren tausend Maßnahmen.
3. Ergebnisse auswerten
Die tabellarische Auswertung ermöglicht es, IT-Grundschutz-Checks für einzelne Bausteine, ganze Schichten oder den kompletten Informationsverbund zu analysieren (Video 3). Über den Tabellen-Editor lassen sich Ergebnisse zudem gezielt anpassen.
Video 3
4. Automatische Aktualisierung des Reportings
Dashboards, Übersichten und Berichte aktualisieren sich automatisch an allen relevanten Stellen der ISMS-Dokumentation. Das Management-Review ist damit immer auf dem aktuellen Stand, und auch die BSI-Referenzdokumente für eine Zertifizierung bleiben stets aktuell und können bei Bedarf jederzeit exportiert werden.
Grenzenlos erweiterbar: Vorteile der ISMS-Frameworks
Die CycleSEC ISMS-Frameworks in XWiki lösen diese Probleme, indem sie den IT-Grundschutz-Check auf Basis einer Plattform zum Wissensmanagement abbilden. Dabei lassen sich alle Arbeitsschritte vollständig in einer Plattform erarbeiten und bereitstellen. Im Zentrum steht das Second Generation Wiki XWiki. Die CycleSEC ISMS-Frameworks setzen mit zahlreichen Apps, Makros und Tools auf und optimieren das Basis-System für die Arbeit im ISMS und die Integration anderer Managementsysteme nach ISO 22301, ISO 9001, ISO 14001 oder ISO 45001.
Ein wesentlicher Vorteil der CycleSEC ISMS-Frameworks liegt in der offenen Architektur von XWiki. Alle Funktionen und Erweiterungen der Plattform stehen auch für die ISMS-Arbeit zur Verfügung. So können beispielsweise Workflows angepasst, zusätzliche Datenbanken eingebunden oder Schnittstellen zu Tools wie Jira oder GitLab realisiert werden. Auch individuelle Dashboards, Automatisierungen oder die Integration von Formularen und Wissenssammlungen lassen sich unkompliziert umsetzen.
Diese Flexibilität ist ein klarer Unterschied zu vielen anderen ISMS-Tools, die auf geschlossenen Software-Architekturen basieren. Dort sind Erweiterungen oft nur eingeschränkt möglich oder mit hohem Aufwand verbunden. Mit XWiki bleibt das ISMS hingegen nahtlos erweiterbar – genau so, wie es die Organisation benötigt.
Interesse geweckt? Jetzt Termin zur Software-Demo vereinbaren!
Sie möchten wissen, wie sich die ISMS-Frameworks in Ihrem Projekt einsetzen lassen? Buchen Sie einen Termin mit uns – wir zeigen Ihnen in einer kurzen Online-Vorführung die wichtigsten Funktionen, beantworten Ihre Fragen und besprechen gemeinsam Ihre Anforderungen. So erleben Sie live, wie die CycleSEC ISMS-Frameworks den IT-Grundschutz-Check effizient unterstützen.
