Qbilon_logo_header
GET IN TOUCH
GET FREE TRIAL
Qbilon_logo_header

BSI IT-Grundschutz: Inventarisierung als Fundament jeder Sicherheitsstrategie

  • May 25th, 2026

Wer sich im deutschsprachigen Raum ernsthaft mit Informationssicherheit auseinandersetzt, kommt an einem Standard nicht vorbei: Dem IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Ob als Vorbereitung auf ein ISO 27001-Zertifikat auf Basis von IT-Grundschutz oder als verpflichtender Standard für Bundesbehörden sowie als anerkanntes Referenzwerk für KRITIS-Betreiber, die nach § 8a BSIG angemessene Sicherheitsmaßnahmen nachweisen müssen – das BSI-Kompendium gilt als die Bibel der IT-Sicherheit.

Doch wer das schwere Werk (oder heutzutage das digitale Kompendium) aufschlägt und sich durch die 111 Bausteine aus 10 Themenbereichen kämpft (die jeweils Anforderungen auf Basis-, Standard- und Kern-Absicherungsniveau enthalten), stellt schnell fest: Bevor es um komplexe Verschlüsselungsalgorithmen, Zero-Trust-Architekturen oder KI-gestützte Bedrohungserkennung geht, fordert das BSI immer wieder einen scheinbar profanen, aber entscheidenden Schritt null.

Dieser Schritt lautet: Inventarisierung.

In diesem Beitrag beleuchten wir, warum das BSI der vollständigen Erfassung aller IT-Werte eine derart hohe Bedeutung beimisst, warum die meisten Organisationen genau an diesem Fundament scheitern und wie sich diese Herkulesaufgabe durch Automatisierung elegant lösen lässt.

Die BSI-Methodik: Keine Sicherheit ohne Sichtbarkeit

Der IT-Grundschutz folgt einer klaren, strukturierten Methodik zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS). Einer der allerersten Schritte in diesem Prozess lautet “Strukturanalyse”.

Das BSI fordert unmissverständlich, dass es das Ziel der Strukturanalyse ist, die zu betrachtende Institution und ihre wesentlichen Geschäftsprozesse, Anwendungen, IT-Systeme, Räume und Kommunikationsverbindungen vollständig zu erfassen (BSI-Standard 200-2).

Warum diese Vehemenz? Die Logik dahinter ist bestechend einfach und lässt sich auf die absolute Grundregel der Cybersicherheit reduzieren: Sie können nicht schützen, was Sie nicht kennen.

Stellen Sie sich vor, Sie sollen ein Firmengebäude bewachen. Sie installieren hochmoderne Alarmanlagen an der Vordertür (Ihre Firewall) und Kameras in den Fluren (Ihre Netzwerküberwachung). Was Sie aber nicht wissen: Es gibt eine kleine Kellertür, die niemals auf einem Bauplan verzeichnet wurde, weil sie nachträglich von einem Handwerker eingebaut wurde. Genau dort brechen die Diebe ein.

In der IT-Welt ist diese Kellertür der vergessene Test-Server in der Cloud, die veraltete Marketing-Software oder das ungepatchte IoT-Gerät in der Produktionshalle. Ohne ein lückenloses Inventar (Asset-Inventory) bauen Sie Ihre gesamte Sicherheitsarchitektur auf einem Fundament aus Sand.

Warum die manuelle Strukturanalyse scheitert

In der Theorie klingt die Forderung des BSI logisch. In der Praxis führt sie bei IT-Leitern oft zu Schweißausbrüchen. Der traditionelle Weg, diese Forderung zu erfüllen, bestand darin, Excel-Listen herumzuschicken, Abteilungsleiter zu befragen und monatelang Datenblätter zusammenzutragen.

Dieser manuelle Ansatz ist in der heutigen IT-Landschaft aus drei Gründen fatal:

  1. Die Daten sind sofort veraltet: Die Lebenszyklen von IT-Systemen sind drastisch gesunken. Während die Strukturanalyse für das BSI-Audit noch geschrieben wird, haben Entwickler bereits zehn neue Microservices in der Cloud deployt. Die Liste ist Makulatur, bevor sie gedruckt ist.
  2. Der blinde Fleck der Schatten-IT: Wenn Sie Abteilungen fragen, welche Systeme sie nutzen, erhalten Sie nur die Antworten, von denen die Abteilungen glauben, dass sie der IT gefallen. Die eigenmächtig gebuchte SaaS-Lösung für den Dateiaustausch bleibt oft unerwähnt.
  3. Mangelnder Kontext: Das BSI fordert nicht nur eine Liste von Servern, sondern das Verständnis von Abhängigkeiten. Welcher Server stützt den kritischen Prozess “Rechnungsstellung”? Diese mehrdimensionalen Verknüpfungen lassen sich manuell kaum pflegen.

Der automatisierte Weg zur BSI-Compliance

Wenn der BSI-Grundschutz und moderne IT-Infrastrukturen aufeinandertreffen, ist Technologie die einzige Brücke. Um die Forderungen nach einer lückenlosen Strukturanalyse zu erfüllen, ohne Heerscharen von Administratoren mit Dokumentationsaufgaben zu binden, führt kein Weg an einer automatisierten IT-Asset-Management-Lösung (ITAM) vorbei.

Eine Plattform wie Qbilon übersetzt die BSI-Anforderungen in automatisierte Prozesse:

  • Vollständigkeit durch API-Integration: Anstatt Menschen zu befragen, fragt das System die Wahrheit dort ab, wo sie entsteht. Qbilon verbindet sich direkt mit Cloud-Providern (AWS, Azure), Virtualisierungslösungen (VMware), Netzwerk-Scannern und Active Directory. Jedes System wird erfasst – auch die versteckte Kellertür.
  • Kontinuierliche Aktualisierung: Das Inventory ist keine Momentaufnahme für das jährliche Audit, sondern ein lebender Organismus, der sich in Echtzeit an die Realität anpasst.
  • Kartografierung von Abhängigkeiten: Die Plattform erkennt automatisch, welche Systeme miteinander kommunizieren. So wird aus einer flachen Liste ein echtes Architekturmodell, das aufzeigt, welche Prozesse durch den Ausfall eines bestimmten Servers gefährdet wären.

Vom Audit-Stress zur Dauerhaften Sicherheit

Das Auditorenteam steht vor der Tür und verlangt die Strukturanalyse gemäß BSI IT-Grundschutz. In der Vergangenheit bedeutete dies Stress, Überstunden und die verzweifelte Hoffnung, dass die Excel-Listen halbwegs plausibel aussehen.

Mit einer automatisierten, datengetriebenen CMDB ändert sich das Bild grundlegend. Sie öffnen das Dashboard, exportieren den tagesaktuellen, vollständigen Zustand Ihrer gesamten Infrastruktur inklusive aller Abhängigkeiten und legen ihn vor. Mehr noch: Da das System (wie bereits in vorherigen Beiträgen diskutiert) historische Daten vorhält, können Sie beweisen, dass dieses lückenlose Inventar das gesamte Jahr über gepflegt wurde.

Die Erfüllung der BSI-Standards ist keine administrative Schikane, sondern der Goldstandard für ein widerstandsfähiges Unternehmen. Wer das Fundament – die Inventarisierung – automatisiert, legt den perfekten Grundstein, um darauf eine Sicherheitsarchitektur aufzubauen, die echten Angriffen standhält.

Qbilon_logo_footer
Support
Documentation FAQs Changelog List of connectors Support
Contact us
  • Hermanstraße 5,
    86150 Augsburg, Germany
Newsletter
Sign up for our newsletter
and never miss an update!
Subscribe →
©2026, qbilon GmbH
Terms and Conditions
|
Disclaimer
|
Imprint
|
Privacy