Von der Erstberatung zur Zertifizierung: Ihr Weg zum BSI-Grundschutz

Thore Severin 4. Februar 2026 Atlassian, Beratung, Neuigkeiten, Sicherheit
Blog Präsentationsszene im Büro: Ein Mann mit Klemmbrett präsentiert an einem Bildschirm den vierphasigen Weg zum BSI-Grundschutz. Zwei Kollegen sitzen mit einem HONICON-Laptop am Tisch und hören zu. Der Bildschirm zeigt die Phasen von unten nach oben: Phase 1 (Analyse, Scope, Struktur), Phase 2 (Umsetzung im Alltag), Phase 3 (Konsolidierung, Nachweise, Feinschliff) und Phase 4 (Auditvorbereitung und Zertifizierung) – jeweils mit Zeitrahmen und zugehörigen Atlassian-Tools wie Jira, Confluence und Assets. Überschrift: „Ihr Weg zum BSI-Grundschutz".
Der Weg zum BSI-Grundschutz in vier Phasen – strukturiert umgesetzt mit Atlassian-Tools.
ℹ️ tl;dr
  • Bestandsaufnahme nach BSI-Grundschutz: Geltungsbereich, relevante Bausteine und Ziel-Zertifizierungsstufe werden klar definiert.
  • Jira als Steuerungsinstrument: Anforderungen, Risiken und Maßnahmen laufen zusammen – mit transparenten Zuständigkeiten, Fristen und Workflows.
  • Confluence als Nachweisbasis: Richtlinien, Protokolle und Dokumentation werden revisionssicher gebündelt und mit Jira verknüpft.
  • Phasenplan mit Quick Wins: wachsender Reife und strukturierter Nachweisführung bis zur Zertifizierung.

In vielen Bundesbehörden, Landesbehörden und Kommunalverwaltungen steht ein ähnlicher Satz auf der Agenda: IT-Sicherheit nach BSI-Grundschutz, idealerweise mit Zertifikat. Parallel laufen Fachverfahren, Digitalisierungsprojekte, Personalwechsel. Zeit für ein strukturiertes Sicherheitsprojekt bleibt selten. Genau an dieser Stelle setzt Honicon an.

Honicon, eine kleine IT-Beratungsfirma mit Fokus auf den Atlassian-Kosmos, begleitet seit Jahren Verwaltungen und öffentliche Unternehmen. Jira, Confluence und Assets bilden in vielen Projekten das Rückgrat für strukturierte Prozesse, Nachvollziehbarkeit und revisionssichere Dokumentation. Im Team arbeitet ein nach BSI-Grundschutz zertifizierter Spezialist, der auch als externer Informationssicherheitsbeauftragter in Behördenstrukturen tätig ist.

Am Anfang steht ein Ziel.

In einem Jahr könnte die eigene Organisation Bürgerinnen, Bürgern und Vorgesetzten melden, dass die IT-Sicherheit den höchsten Standards entspricht und ein BSI-Zertifikat vorliegt.

Der Weg dorthin wirkt auf den ersten Blick lang. Mit einem klaren Fahrplan sinkt die Komplexität deutlich.

Infografik zum BSI-Grundschutz-Fahrplan mit vier aufeinander aufbauenden Phasen: Phase 1 (Monat 1–3) – Analyse, Scope, Struktur mit Jira und Confluence. Phase 2 (Monat 4–6) – Umsetzung im Alltag mit Jira und Assets. Phase 3 (Monat 7–9) – Konsolidierung, Nachweise, Feinschliff mit Jira und Confluence. Phase 4 (Monat 10–12) – Auditvorbereitung und Zertifizierung mit Jira und Confluence. Jede Phase hat ein passendes Icon und ist als grüner Pfeil-Baustein dargestellt.
In vier Phasen zum BSI-Grundschutz – mit klarem Zeitplan und den passenden Atlassian-Tools.

Monat 1–3 – Analyse, Scope, Struktur

Zu Beginn steht eine Bestandsaufnahme. Welche Geschäftsprozesse besitzen kritische Bedeutung? Welche Informationen fließen durch Fachverfahren, Kollaborationsplattformen und Schnittstellen? Honicon nutzt in dieser Phase die Bausteinstruktur des BSI-Grundschutzes als Raster. Für jede Behörde entsteht so ein konkretes Zielbild:

  • Geltungsbereich
  • relevante Bausteine
  • gewünschte Zertifizierungsstufe

Jira unterstützt in dieser Phase als Steuerungsinstrument. Anforderungen, Risiken, Maßnahmen laufen dort zusammen, Zuständigkeiten liegen transparent vor, Fristen erscheinen sichtbar. Confluence dient parallel als Wissensspeicher für Richtlinien, Protokolle und Arbeitsanweisungen.

Ressourcenseite: In diesen ersten drei Monaten reicht meist ein Kernteam aus Informationssicherheit, IT-Betrieb und Organisation. Pro Woche fließen einige Stunden in Workshops, Dokumentation und Abstimmung. Das Budget bleibt überschaubar und konzentriert sich auf Beratung, Schulung und Grundkonfiguration der Atlassian-Systeme.

Ein erster Quick Win entsteht durch klar definierte Verantwortlichkeiten. Zuständigkeiten für Informationsverbünde, Anwendungen und Schutzbedarfsfeststellungen stehen schwarz auf weiß. Für Führungs- und Fachebene liegt damit ein sichtbares Ergebnis auf dem Tisch.

Monat 4–6 – Umsetzung im Alltag, erste Maßnahmen

Nach der Analyse folgt der Übergang in den Alltag der Verwaltung. Aus formalen Anforderungen wachsen praktikable Abläufe. Typische Beispiele: strukturierte Änderungsprozesse, definierte Meldewege bei Sicherheitsvorfällen, verbindliche Regelungen für Administratorrechte.

Jira bildet diese Abläufe als Workflows ab. Ein Änderungsantrag durchläuft klar festgelegte Schritte, Freigaben erscheinen protokolliert, Rückfragen laufen nicht mehr über verstreute E-Mail-Ketten. Assets liefert die Grundlage für ein geordnetes Verzeichnis von Systemen, Anwendungen, Servern und Schnittstellen – eine zentrale Voraussetzung für BSI-Grundschutz.

Ressourcenseite: In dieser Phase steigt der Aufwand leicht. Die IT arbeitet intensiver an Prozessen, Fachbereiche bringen Praxiswissen ein. Für viele Verwaltungen eignet sich ein Ansatz mit kurzen, regelmäßigen Terminen statt langer Projektsitzungen. Budgetpositionen: Konfiguration, Schulungen, eventuell erste Automatisierungen.

Ein weiterer Quick Win zeigt sich bei der Transparenz: Leitungsebenen sehen auf einen Blick, wie viele Maßnahmen bereits umgesetzt sind, welche Risiken offen bleiben, welche Bausteine des BSI-Grundschutzes bereits solide abgedeckt wirken.

Monat 7–9 – Konsolidierung, Nachweise, Feinschliff

Im dritten Abschnitt nähert sich das Projekt erkennbar dem Zertifizierungsniveau. Technische und organisatorische Maßnahmen liegen vor, nun rückt die Nachweisführung in den Mittelpunkt.

Confluence eignet sich als zentrale Plattform für Richtlinien, Verfahrensanweisungen, Notfallhandbücher und Schulungsunterlagen. Versionierung, Berechtigungen und Verknüpfungen zu Jira-Tickets erleichtern Prüfern später die Zuordnung.

Der BSI-Grundschutzexperte von Honicon strukturiert gemeinsam mit der Behörde die Nachweissammlung. Für jeden relevanten Baustein entsteht ein Paket aus Dokumenten, Tickets, Protokollen und technischen Belegen. Ein externer ISB in dieser Rolle schafft Distanz zum Tagesgeschäft und spricht mit Auditoren auf Augenhöhe.

Ressourcenseite: Der Aufwand verlagert sich stärker in Richtung Dokumentation und Qualitätssicherung. Fachbereiche prüfen Prozesse noch einmal aus realistischer Perspektive, die IT ergänzt technische Details. Das Budget konzentriert sich auf Begleitung durch den ISB, Workshops zur Auditvorbereitung und eventuell Anpassungen in den Atlassian-Workflows.

Quick Wins in dieser Phase: Ein strukturiertes Notfallkonzept, erste Testläufe für Wiederanlaufszenarien, Schulungen für Schlüsselrollen. Schon vor dem eigentlichen Audit erhöht sich so die tatsächliche Resilienz der Organisation.

Monat 10–12 – Auditvorbereitung und Zertifizierung

Zum Ende des Zwölfmonatsplans rückt der formale Teil in den Vordergrund. Interne Vorab-Audits simulieren die spätere Prüfung. Kritische Fragen, fehlende Nachweise, unklare Formulierungen treten noch rechtzeitig ans Licht.

Jira liefert in dieser Phase eine Art Prüfpfad: Welche Maßnahme entstand aus welchem Risiko, wer trug die Verantwortung, welche Frist galt, welches Ergebnis liegt vor? Confluence hält parallel alle offiziellen Dokumente, Richtlinien und Protokolle in konsistenter Struktur bereit.

Praktische Tipps aus der Beratungspraxis fließen in die Vorbereitung ein: klare Rollen in Auditterminen, kurze Wege für Rückfragen, geordnete digitale Ordnerstrukturen, eindeutige Benennungen von Dokumenten, ruhige Moderation gegenüber Prüfern.

Im Idealfall verlässt die Behörde nach dem Audit nicht nur mit einem Zertifikat den Prozess, sondern mit einer Gewissheit: Informationssicherheit steht nicht länger als Projekt im Raum, sondern als fester Bestandteil der eigenen Steuerung.

Honicon als Partner entlang des gesamten Weges

Präsentationsszene in einem Meetingraum: Ein Mann mit Klemmbrett präsentiert Phase 1 des BSI-Grundschutz-Wegs an einem großen Bildschirm. Die Grafik zeigt das BSI-Zertifikat als Ziel, darunter die drei Säulen Geltungsbereich, Bausteine und Zertifizierungsstufe, aufbauend auf dem BSI Grundschutz Kompendium. Zwei Kollegen sitzen am Tisch – auf dem Laptop ist der Kickoff mit den Phase-1-Tools Confluence und Jira zu sehen.
Jetzt Loslegen – Phase 1 des BSI-Grundschutzes

Honicon begleitet diesen Weg von der ersten groben Standortbestimmung bis zur Auswertung des Audits. Die Beratung richtet sich ausdrücklich an öffentliche Auftraggeber in der Planungsphase, die BSI-Grundschutz nicht als abstraktes Regelwerk, sondern als realistische Grundlage für sichere, dokumentierte Verwaltungsprozesse betrachten.

Erfahrung mit Jira, Confluence, Assets und angrenzenden Atlassian-Systemen trifft hier auf Fachkenntnis im BSI-Grundschutz. Aus dieser Kombination entsteht ein Ansatz, der technische Plattformen konsequent zur Unterstützung von Informationssicherheit nutzt – statt zusätzliche Insellösungen einzuführen.

Am Ende des beschriebenen Jahres steht idealerweise jenes Bild, das zu Beginn im Raum stand: eine Behörde, die IT-Sicherheit nicht nur kommuniziert, sondern belegt. Bürger, Bürgerinnen, politische Gremien und Aufsichtsbehörden sehen ein klares Signal. Informationssicherheit rückt vom Randthema ins Zentrum verantwortlicher Verwaltungspraxis.

Autor: Thore Severin

Thore Severin
Thore hat Wirtschaftsrecht studiert und verfügt dadurch über ein fundiertes Wissen im Verwaltungsrecht sowie in weiteren Bereichen wie dem Zivil- und Strafrecht. Durch seine bisherigen beruflichen Stationen konnte er zudem Erfahrung im Immobilienbereich und in steuerrechtlichen Themen sammeln. In seiner Freizeit ist Sport ein fester Bestandteil seines Alltags.
Archiv des Autors aufrufen