--- title: BSI IT-Grundschutz date: 2026-06-01T17:22:00+02:00 canonical_url: "https://www.fast-lta.de//de/glossar/bsi-it-grundschutz" section: Glossar --- Das BSI IT-Grund­schutz-Kom­pen­di­um defi­niert in the­ma­ti­schen Bau­stei­nen ver­bind­li­che Anfor­de­run­gen für den Schutz von IT-Sys­te­men und ‑Pro­zes­sen. Für den Bereich Daten­si­che­rung ist der Bau­stein CON.3 (Daten­si­che­rungs­kon­zept) zentral. CON.3 legt Basis­an­for­de­run­gen (A), Stan­dard-Anfor­de­run­gen (B) und Anfor­de­run­gen bei erhöh­tem Schutz­be­darf © fest. Für Ran­som­wa­re-Schutz beson­ders rele­vant: CON.3.A1 ver­langt, dass Ein­fluss­fak­to­ren erho­ben und RTO/RPO je Sys­tem doku­men­tiert wer­den. CON.3.A10 for­dert die sepa­ra­te Siche­rung beson­ders schüt­zens­wer­ter Daten mit erhöh­ten Maß­nah­men. CON.3.A11 for­dert regel­mä­ßi­ge Wie­der­her­stel­lungs­tests. CON.3.A14 ver­langt bei erhöh­tem Schutz­be­darf die phy­si­sche Tren­nung der Back­up-Medi­en — dies ist die BSI-Anfor­de­rung, die direkt auf einen phy­si­schen Air Gap verweist. Wei­te­re rele­van­te Bau­stei­ne: OPS.1.2.2 (Archi­vie­rung) mit Anfor­de­run­gen an Schutz vor Mani­pu­la­ti­on und unbe­rech­tig­tem Zugriff auf archi­vier­te Daten. SYS.1.1 (All­ge­mei­ne Sys­tem­ab­si­che­rung). Für Gesund­heits­we­sen und KRI­TIS-Betrei­ber gibt es zusätz­li­che sek­tor­spe­zi­fi­sche Anforderungen. Der IT-Grund­schutz ist für Bun­des­be­hör­den ver­pflich­tend und für KRI­TIS-Betrei­ber der zen­tra­le Refe­renz­rah­men für den Nach­weis ange­mes­se­ner Sicher­heits­maß­nah­men gegen­über dem BSI. ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ## Fragen und Antworten #### Ist der BSI IT-Grundschutz für mein Unternehmen verpflichtend? Für Bundesbehörden ist der IT-Grundschutz verpflichtend. Für KRITIS-Betreiber ist er der zentrale Referenzrahmen für den Nachweis angemessener Sicherheitsmaßnahmen (§8a BSIG). Für NIS2-betroffene Unternehmen ist er eine anerkannte Methode zur Umsetzung der NIS2-Anforderungen. Für alle anderen Unternehmen ist er freiwillig, aber als bewährtes Rahmenwerk empfohlen. #### Was fordert BSI CON.3.A14 für Backup? CON.3.A14 ist die Anforderung für erhöhten Schutzbedarf: Sie verlangt eine physische Trennung der Backup-Medien vom Netzwerk. Das bedeutet: Ein netzwerkgebundenes Backup-System erfüllt CON.3.A14 nicht. Ein physischer Air Gap auf Hardware-Ebene — das System ist nach dem Backup-Fenster physisch nicht adressierbar — ist die direkte technische Antwort auf diese Anforderung.