BSI IT-Grundschutz: Praktiker, Berater und die Frage der Akkreditierung
Wer in Deutschland IT-Sicherheit verantwortet, kommt am BSI IT-Grundschutz kaum vorbei. Das Rahmenwerk des Bundesamts für Sicherheit in der Informationstechnik (BSI) gilt als De-facto-Standard für Behörden, KRITIS-Betreiber und zunehmend auch für mittelständische Unternehmen. Doch wer sich persönlich im Grundschutz zertifizieren lassen will, steht vor einer Landschaft, die auf den ersten Blick übersichtlich wirkt — und auf den zweiten einige Überraschungen bereithält.
Was ist BSI IT-Grundschutz?
Der IT-Grundschutz ist eine vom BSI entwickelte Methodik, um Informationssicherheit systematisch umzusetzen. Er basiert auf dem IT-Grundschutz-Kompendium mit seinen Bausteinen und Anforderungen und ist kompatibel mit der internationalen Norm ISO/IEC 27001. Organisationen können sich nach ISO 27001 auf Basis von IT-Grundschutz zertifizieren lassen — ein Weg, den insbesondere Bundesbehörden und Betreiber kritischer Infrastrukturen beschreiten. Für Personen, die in diesem Umfeld beraten oder auditieren wollen, hat das BSI ein eigenes Qualifikationssystem aufgebaut.
Der Qualifikationspfad: Vom Praktiker zum Berater
Das BSI unterscheidet zwei zentrale Personenzertifikate: den IT-Grundschutz-Praktiker als Einstieg und den IT-Grundschutz-Berater als Aufbaustufe.
IT-Grundschutz-Praktiker
Der Praktiker ist die Basisqualifikation. Er richtet sich an Personen, die IT-Grundschutz in ihrer Organisation anwenden wollen — etwa als ISB, als Projektverantwortliche oder als Fachkräfte in der IT-Abteilung.
- Umfang: Dreitägige Schulung bei einem vom BSI lizenzierten Schulungsanbieter
- Prüfung: 50 Multiple-Choice-Fragen, 60 Minuten, Bestehensgrenze 60 % (30 richtige Antworten). Die Prüfung wird vom Schulungsanbieter nach einheitlichen BSI-Vorgaben abgenommen, nicht vom BSI selbst.
- Gültigkeit: Zeitlich unbegrenzt — einmal bestanden, dauerhaft gültig
- Voraussetzungen: Formal keine; Grundkenntnisse in Informationssicherheit sind empfohlen
Der Praktiker ist bewusst niederschwellig angelegt. Er soll möglichst vielen Fachkräften den Einstieg in die Grundschutz-Methodik ermöglichen.
IT-Grundschutz-Berater
Der Berater ist die höhere Qualifikationsstufe und deutlich anspruchsvoller. Er qualifiziert dazu, Organisationen bei der Einführung und Umsetzung von IT-Grundschutz zu beraten und Audits vorzubereiten.
Voraussetzungen (vier Blöcke, alle müssen erfüllt sein):
- Bildungsabschluss: Ausbildung oder Studium mit Bezug zur Informationssicherheit
- Berufserfahrung: Mindestens 5 Jahre IT-Berufserfahrung innerhalb der letzten 8 Jahre, davon mindestens 2 Jahre in der Informationssicherheit
- IT-Grundschutz-Erfahrung: Mindestens 5 Jahre Erfahrung bei der Umsetzung von IT-Grundschutz-Anforderungen
- Projektpraxis: Mindestens 40 Personentage Praxiserfahrung in den letzten 3 Jahren in leitender Position, IT-Grundschutz als wesentlicher Projektbestandteil, bestätigt durch Kunden oder Arbeitgeber
Zusätzlich müssen Kandidaten den Praktiker-Kurs und eine zweitägige Aufbauschulung absolviert haben.
- Prüfung: Schriftlich beim BSI in Bonn, 80 Fragen in 90 Minuten (75 Multiple-Choice + 5 Fallbeispiele), Bestehensgrenze 60 von 100 Punkten
- Gültigkeit: Drei Jahre, danach Rezertifizierung erforderlich
- Gelistete Berater: Aktuell sind nur rund 287 IT-Grundschutz-Berater beim BSI öffentlich gelistet
Die geringe Zahl gelisteter Berater verdeutlicht, wie selektiv dieser Pfad ist. Wer die Prüfung besteht, wird in die öffentliche BSI-Liste aufgenommen — ein Qualitätsmerkmal, das Auftraggeber kennen und nachfragen.
Die Akkreditierungsfrage: BSI, DAkkS und ISO 17024
Das BSI ist nicht bei der Deutschen Akkreditierungsstelle (DAkkS) nach ISO/IEC 17024 akkreditiert. Das BSI zertifiziert kraft Gesetzes — die Rechtsgrundlage bildet das BSI-Gesetz (BSIG §§ 52, 56). Als Bundesoberbehörde agiert das BSI auf einer eigenen gesetzlichen Grundlage, die eine DAkkS-Akkreditierung weder erfordert noch vorsieht.
Für die Praxis bedeutet das: Ein BSI-Zertifikat hat in Deutschland hohes Ansehen und ist für viele regulierte Bereiche faktisch vorgeschrieben. International oder im privatwirtschaftlichen Kontext, wo ISO-17024-Konformität erwartet wird, kann die fehlende Akkreditierung jedoch ein Nachteil sein.
Der TÜV-Weg: Praktiker mit DAkkS-Akkreditierung
Genau diese Lücke adressiert ein alternatives Angebot: Die PersCert TÜV (Personenzertifizierungsstelle des TÜV Rheinland) bietet den IT-Grundschutz-Praktiker als ISO-17024-konformes Zertifikat an (Certipedia ID 0000085851).
Das Curriculum ist identisch mit dem BSI-Curriculum. Die Schulungsinhalte sind dieselben, die Anforderungen decken sich. Der Unterschied liegt ausschließlich in der Zertifizierungsstelle: PersCert TÜV ist bei der DAkkS nach ISO/IEC 17024 akkreditiert — das Zertifikat erfüllt damit die internationalen Anforderungen an eine unabhängige Personenzertifizierung.
Für wen lohnt sich was?
Die Wahl zwischen den drei Wegen hängt von der eigenen Rolle und dem regulatorischen Umfeld ab:
- IT-Grundschutz-Praktiker (BSI): Die pragmatische Wahl für Fachkräfte in Behörden und Unternehmen, die IT-Grundschutz intern anwenden. Kosteneffizient, anerkannt im deutschen Markt, keine Rezertifizierung nötig.
- IT-Grundschutz-Praktiker (PersCert TÜV): Sinnvoll für Personen, die in einem Umfeld arbeiten, in dem ISO-17024-Konformität gefordert oder gewünscht ist — etwa in der Beratung, bei Ausschreibungen mit internationaler Beteiligung oder in Unternehmen mit globalen Compliance-Anforderungen.
- IT-Grundschutz-Berater (BSI): Die richtige Wahl für erfahrene Fachleute, die professionell beraten und in der BSI-Liste geführt werden wollen. Der Aufwand ist erheblich, die Sichtbarkeit im Markt aber entsprechend hoch.
Kostenvergleich
| Merkmal | Praktiker (BSI) | Praktiker (PersCert TÜV) | Berater (BSI) |
|---|---|---|---|
| Schulungsdauer | 3 Tage | 3 Tage | Praktiker + 2 Tage Aufbau |
| Schulungskosten | ca. 1.500–2.200 EUR | ca. 1.500–2.200 EUR | ca. 2.500–3.500 EUR (gesamt) |
| Prüfungsgebühr | in Schulung enthalten | ca. 250–400 EUR zusätzlich | ca. 500 EUR (BSI-Prüfung) |
| Prüfungsort | beim Schulungsanbieter | beim Schulungsanbieter / TÜV | BSI, Bonn |
| Prüfungsformat | 50 MC / 60 Min / 60 % | 50 MC / 60 Min / 60 % | 80 Fragen / 90 Min / 60 Pkt. |
| Gültigkeit | unbegrenzt | 3 Jahre (ISO 17024) | 3 Jahre |
| Rezertifizierung | nicht nötig | Überwachung / Rezertifizierung | 221 EUR + Tätigkeitsnachweis |
| Akkreditierung | keine (Schulungszertifikat) | DAkkS / ISO 17024 | keine (BSI kraft Gesetz) |
| Berufserfahrung | keine formale Anforderung | keine formale Anforderung | 5 J. IT + 2 J. IS + 5 J. Grundschutz + 40 PT Projektpraxis |
| Gesamtkosten (ca.) | 1.500–2.200 EUR | 1.800–2.600 EUR | 3.000–4.000 EUR |
Alle Preise sind Richtwerte und können je nach Anbieter und Region variieren. Stand: April 2026.
Fazit
Der BSI IT-Grundschutz bietet ein durchdachtes, aber in der Akkreditierungsfrage nicht immer intuitives Qualifikationssystem. Der Praktiker ist ein solider Einstieg, der Berater eine anspruchsvolle Spezialisierung mit hoher Einstiegshürde und entsprechendem Marktwert. Wer zusätzlich internationale Akzeptanz oder formale ISO-17024-Konformität braucht, sollte den TÜV-Weg kennen. Die gute Nachricht: Die Schulungsinhalte sind identisch — die Entscheidung liegt also nicht beim Wissen, sondern beim Zertifikat, das am Ende auf dem Papier steht.