Für die meisten Schweizer KMU ist ISO 27001 die bessere Wahl. Das BSI IT-Grundschutz-Kompendium ist ein exzellentes deutsches Sicherheitswerk, aber international weniger anerkannt, deutlich umfangreicher und für kleinere Organisationen schwerer handhabbar. ISO 27001 hingegen ist der weltweit anerkannte Standard, den Schweizer Kunden, FINMA und EU-Regulierung kennen und verlangen.
Nachfolgend: dennoch beide Frameworks im Detail, vergleicht sie in allen wesentlichen Dimensionen und gibt Ihnen eine klare Entscheidungshilfe — damit Sie das Framework wählen, das zu Ihrem KMU passt, und nicht das, das am bekanntesten klingt. Unabhängig davon, welches Framework Sie wählen: Professionelles Red Teaming ist der wichtigste Test dafür, ob Ihre Framework-Umsetzung realen Angriffen standhält.
Was ist BSI IT-Grundschutz?
Das BSI IT-Grundschutz-Kompendium wird vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn entwickelt und gepflegt. Es handelt sich um eine gründliche Sammlung von Sicherheitsanforderungen, die in sogenannten «Bausteinen» organisiert sind. Jeder Baustein deckt einen spezifischen IT-Bereich ab (z. B. «APP.3.2 Webserver», «OPS.1.1.2 Ordnungsgemässe IT-Administration»).
Das Kompendium 2023 umfasst über 100 Bausteine mit tausenden konkreten Anforderungen. Es gibt drei Anwendungsebenen:
- Standard-Absicherung: Der Standardansatz, der methodisch die vollständige Umsetzung aller relevanten Bausteine verlangt
- Basis-Absicherung: Ein vereinfachter Einstieg mit den wichtigsten Grundanforderungen — geeignet für KMU oder als erster Schritt
- Kern-Absicherung: Fokus auf die kritischsten Geschäftsprozesse und Assets
BSI IT-Grundschutz kann mit einem Zertifikat abgeschlossen werden. Es gibt drei Stufen: Testat, Aufbau-Zertifikat und BSI IT-Grundschutz-Zertifikat. Das vollständige Zertifikat ist vergleichsweise selten und wird hauptsächlich von deutschen Behörden und grossen Unternehmen mit Bundesgeschäft angestrebt.
Was ist ISO 27001?
ISO/IEC 27001 ist ein internationaler Standard der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC). Er definiert die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) und ist die Grundlage für eine formelle Zertifizierung durch akkreditierte Zertifizierungsstellen.
Die aktuelle Version ISO 27001:2022 umfasst:
- Hauptteil (Klauseln 4–10): Management-System-Anforderungen (Kontext, Führung, Planung, Unterstützung, Betrieb, Leistungsbewertung, Verbesserung)
- Anhang A: 93 Sicherheitsmassnahmen in 4 Kategorien (Organisatorisch, Personen, Physisch, Technologisch)
Das ISMS nach ISO 27001 folgt dem PDCA-Zyklus (Plan-Do-Check-Act) und verlangt einen risikobasierten Ansatz: Welche spezifischen Risiken hat meine Organisation, und welche Massnahmen reduzieren diese Risiken angemessen?
ISO 27001-Zertifikate werden von akkreditierten Zertifizierungsstellen ausgestellt (in der Schweiz z. B. durch SQS, TÜV SÜD, Bureau Veritas) und sind weltweit anerkannt.
Detaillierter Vergleich: BSI IT-Grundschutz vs. ISO 27001
Framework-Philosophie
| Merkmal | BSI IT-Grundschutz | ISO 27001 |
|---|---|---|
| Ansatz | Katalogbasiert, prescriptive | Risikobasiert, principles-based |
| Herkunft | Deutschland (BSI Bonn) | International (ISO/IEC) |
| Sprache | Primär Deutsch | Englisch (offizielle Übersetzungen verfügbar) |
| Aktualisierungsrhythmus | Regelmässige Bausteinaktualisierungen | Alle 5–7 Jahre (2013, 2022) |
| Philosophie | «Tue dies konkret» | «Identifiziere Risiken und behandle sie» |
Umfang und Komplexität
| Merkmal | BSI IT-Grundschutz | ISO 27001 |
|---|---|---|
| Dokumentenumfang | 1’000+ Seiten Kompendium | ~30 Seiten Standard + Normenreihe |
| Anzahl Anforderungen | Mehrere Tausend (bausteinsabhängig) | 93 Massnahmen in Anhang A |
| Implementierungsaufwand | Sehr hoch (vollständig) / Mittel (Basis) | Mittel, skalierbar nach Risiko |
| Geeignet für KMU | Eingeschränkt (Basis-Absicherung möglich) | Gut geeignet, auch für kleine Org. |
Zertifizierung und Anerkennung
| Merkmal | BSI IT-Grundschutz | ISO 27001 |
|---|---|---|
| Zertifizierung möglich | Ja (3 Stufen) | Ja (weltweit anerkannt) |
| Internationale Anerkennung | Begrenzt (primär D/A/CH) | Weltweit anerkannt |
| Akzeptanz in der Schweiz | Gering (bekannt, aber nicht verlangt) | Hoch (Standard bei Ausschreibungen) |
| EU-Regulierungsakzeptanz | Bedingt | Vollständig (NIS2, DORA, TISAX) |
| FINMA-Kontext | Nicht explizit referenziert | Kompatibel mit FINMA-Anforderungen |
Kosten im Vergleich
| Kostenfaktor | BSI IT-Grundschutz | ISO 27001 |
|---|---|---|
| Beratungskosten Implementierung | CHF 40’000–120’000 | CHF 20’000–60’000 |
| Zertifizierungskosten (extern) | CHF 15’000–40’000 | CHF 8’000–25’000 |
| Jährliche Aufrechterhaltung | CHF 10’000–30’000 | CHF 5’000–15’000 |
| Tool-Unterstützung | Spezialisierte Tools erforderlich | Breites Tool-Ökosystem verfügbar |
| Gesamtkosten 3 Jahre (KMU) | CHF 80’000–200’000 | CHF 40’000–100’000 |
Detaillierte Kostenschätzungen für ISO 27001 finden Sie in unserem Artikel ISO 27001 Kosten Schweiz.
Inhaltliche Abdeckung
| Bereich | BSI IT-Grundschutz | ISO 27001 |
|---|---|---|
| Konkrete technische Massnahmen | Sehr detailliert (Baustein-Level) | Übergeordnet (Massnahmen in Anhang A) |
| Organisatorische Massnahmen | Gut abgedeckt | Stark (ISMS-Kern) |
| Cloud/SaaS-spezifisch | Bausteine vorhanden (CON.9, OPS.2.2) | ISO 27017/27018 als Ergänzung |
| KI/Machine Learning | Begrenzt | ISO 42001 als Ergänzung |
| Supply-Chain-Sicherheit | Bausteine vorhanden | ISO 27036 als Ergänzung |
Gemeinsamkeiten: Was beide Frameworks teilen
Trotz unterschiedlicher Ansätze verfolgen BSI IT-Grundschutz und ISO 27001 dieselben Grundziele:
- Beide verlangen eine systematische Identifikation und Behandlung von Sicherheitsrisiken
- Beide betonen die Bedeutung von organisatorischen und technischen Schutzmassnahmen
- Beide fordern regelmässige Überprüfung und kontinuierliche Verbesserung
- Beide sind als prozessuales Framework angelegt, nicht als einmalige Massnahme
- Beide können kombiniert werden: ISO 27001-ISMS als Basis, BSI-Bausteine als detaillierter Massnahmenkatalog
Die gute Nachricht für Unternehmen, die BSI-Grundschutz bereits kennen: Der Wechsel zu ISO 27001 ist methodisch überschaubar, weil die Grundprinzipien identisch sind. Umgekehrt können ISO 27001-zertifizierte Unternehmen BSI-Bausteine als Implementierungshilfe nutzen.
Wann ist BSI IT-Grundschutz die bessere Wahl?
Es gibt Situationen, in denen BSI IT-Grundschutz sinnvoller ist als ISO 27001:
BSI IT-Grundschutz empfehlen wir, wenn:
- Ihr Unternehmen primär mit deutschen Bundesbehörden oder deutschen Grossunternehmen arbeitet, die BSI-Grundschutz-Nachweise verlangen
- Sie ein sehr technisch orientiertes Team haben, das detaillierte, konkrete Massnahmenbeschreibungen bevorzugt
- Sie bereits ein BSI-Grundschutz-Projekt begonnen haben und die Investition nicht abschreiben wollen
- Sie die Basis-Absicherung als pragmatischen Einstieg nutzen wollen, ohne sofort zu zertifizieren
In diesen Fällen empfehlen wir die Basis-Absicherung nach BSI als pragmatischen ersten Schritt — mit klarem Upgradeplan zu ISO 27001, falls internationale Kunden es verlangen.
Laut einer Erhebung des TÜV Süd aus 2024 fordern nur 4 % der Schweizer Unternehmen explizit BSI-Grundschutz-Nachweise von ihren Lieferanten, während 51 % ISO 27001-Zertifikate verlangen.
Wann ist ISO 27001 die bessere Wahl?
ISO 27001 empfehlen wir, wenn:
- Ihr Unternehmen mit internationalen Kunden oder EU-Firmen arbeitet
- Sie öffentliche Ausschreibungen in der Schweiz oder Europa gewinnen wollen
- Sie FINMA-reguliert sind oder EU-Regulierungen (NIS2, DORA) betreffen
- Sie ein klares, international anerkanntes Zertifikat als Marktvorteil nutzen wollen
- Sie als KMU mit begrenzten Ressourcen eine skalierbare, pragmatische Lösung suchen
- Sie nDSG-Compliance strukturiert nachweisen wollen
ISO 27001 ist für die überwiegende Mehrheit der Schweizer KMU die richtige Wahl. Das Framework ist schlanker, kosteneffizienter und deckt alle wesentlichen regulatorischen Anforderungen in der Schweiz und der EU ab.
BSI Grundschutz und ISO 27001 kombinieren: Der hybride Ansatz
Viele Unternehmen, die bereits mit BSI-Konzepten vertraut sind, können das Beste beider Welten nutzen:
Hybridansatz in der Praxis:
- ISMS nach ISO 27001 aufbauen: Scope definieren, Risikobeurteilung, Management-Commitment, Massnahmenauswahl aus Anhang A
- BSI-Bausteine als Umsetzungsleitfaden nutzen: Für konkrete technische Bereiche (Server, Netzwerke, Anwendungen) die detaillierten BSI-Anforderungen als Checkliste verwenden
- ISO 27001-Zertifizierung anstreben: Die international anerkannte Zertifizierung als Abschluss
- BSI-Grundschutz optional dokumentieren: Als intern-dokumentierter Nachweis für deutsche Kunden oder Partner
Dieser Hybridansatz ist besonders für Unternehmen sinnvoll, die bereits in BSI-Grundschutz investiert haben und das Wissen nicht verlieren wollen.
«Der BSI IT-Grundschutz ist ein exzellenter Massnahmenkatalog für die operative Ebene — er sagt Ihnen genau, was Sie tun müssen. ISO 27001 ist das übergeordnete Managementsystem — es sagt Ihnen, warum und in welchem Kontext. Wer beide intelligent kombiniert, bekommt das Beste aus zwei Welten.» — IT-Sicherheitsexperte, Referat Swiss Cyber Security Days 2025
Wie Red Teaming die Framework-Implementierung validiert
Unabhängig davon, ob Sie BSI IT-Grundschutz, ISO 27001 oder einen hybriden Ansatz wählen: Das Framework allein sagt nichts darüber aus, ob Ihre Sicherheitsmassnahmen im Ernstfall wirklich halten.
Hier kommt Red Teaming ins Spiel. Während Frameworks und Audits prüfen, ob Sie die richtigen Massnahmen implementiert haben, prüft Red Teaming, ob diese Massnahmen gegen echte Angriffe standhalten. Das ist ein grundlegender Unterschied:
Framework-Audit prüft:
- Sind Richtlinien vorhanden?
- Sind Prozesse dokumentiert?
- Sind technische Massnahmen konfiguriert?
Red Teaming prüft:
- Kann ein Angreifer trotzdem eindringen?
- Werden Angriffe erkannt und gestoppt?
- Wie reagiert das Team unter realem Druck?
Die ISO 27001:2022 hat in Anhang A, Massnahme A.8.8 (Management technischer Schwachstellen) und A.5.36 (Einhaltung von Richtlinien, Regeln und Standards) klare Anforderungen, die durch Red Teaming-Ergebnisse nachweisbar erfüllt werden können.
Das BSI IT-Grundschutz-Kompendium enthält im Baustein DER.3 «Sicherheitsüberprüfungen und Revisionen» explizite Anforderungen für Penetrationstests und erweiterte Sicherheitsüberprüfungen, die Red Teaming-Methoden umfassen.
Laut dem Verizon Data Breach Investigations Report 2024 haben 67 % aller analysierten Sicherheitsverletzungen Schwachstellen ausgenutzt, die durch ein bestehendes Sicherheitsframework als «adressiert» galten — aber in der konkreten Implementierung Lücken aufwiesen. Red Teaming findet genau diese Lücken.
Einstieg: Welche nächsten Schritte empfehlen wir?
Für KMU ohne bestehende Framework-Erfahrung:
- Mit einer Gap-Analyse starten: Wo stehen Sie heute?
- ISO 27001 als Zielrahmen wählen
- Basis-Massnahmen aus nDSG-Checkliste als ersten Schritt umsetzen
- ISMS aufbauen und Erstzertifizierung planen
- Red Teaming zur Validierung durchführen, bevor das Zertifizierungsaudit stattfindet
Für KMU, die bereits BSI-Grundschutz nutzen:
- ISO 27001-Lückenanalyse gegen bestehende BSI-Dokumentation
- Mapping: BSI-Bausteine auf ISO 27001-Massnahmen abbilden
- Fehlende ISO 27001-Managementanforderungen ergänzen (Risikobeurteilung, ISMS-Dokumentation)
- ISO 27001-Zertifizierung anstreben
- BSI-Grundschutz-Detailwissen intern behalten und weiter nutzen
Weitere Informationen zu ISO 27001 in der Schweizer Praxis: ISO 27001 für KMU Schweiz
Für eine vollständige Übersicht aller Schweizer Cybersecurity-Regulierungen: Cybersecurity Compliance Schweiz
«Wir empfehlen Schweizer KMU grundsätzlich ISO 27001 — nicht weil BSI-Grundschutz schlechter ist, sondern weil die internationale Anerkennung und die Skalierbarkeit für den typischen Schweizer Mittelständler entscheidende Vorteile bieten. Die BSI-Bausteine nutzen wir weiterhin als wertvolle Implementierungshilfe.» — ISACA Switzerland Chapter, Positionspapier 2024
Fazit
BSI IT-Grundschutz und ISO 27001 sind beide solide Sicherheitsframeworks — aber für Schweizer KMU ist ISO 27001 in der grossen Mehrheit der Fälle die bessere Wahl. Die internationale Anerkennung, die Skalierbarkeit für KMU, die Akzeptanz bei Schweizer Regulatoren und EU-Kunden sowie das breitere Tool- und Berater-Ökosystem sprechen klar für ISO 27001.
BSI IT-Grundschutz hat seinen Platz als detaillierter Massnahmenkatalog — am besten als ergänzendes Werkzeug neben einem ISO 27001-ISMS, nicht als Alternative dazu.
Was kein Framework allein kann: garantieren, dass Ihre Sicherheitsmassnahmen reale Angriffe abwehren. Das ist die Aufgabe von professionellem Red Teaming. Unsere Experten simulieren realistische Angriffe auf Ihre Systeme — unabhängig von Framework und Zertifizierungsstand — und zeigen Ihnen, wo die echten Lücken sind.
Framework-Audit plus Red Teaming: das ist echte Cybersecurity-Compliance. Sprechen Sie uns an — Red Teaming-Engagements ab CHF 11’900.