BSI Grundschutz++ erklärt

von Jörg Apel

Wie Management Informationssicherheit steuern und messbar machen kann

Zusammenfassung

Der neue Standard Grundschutz++ des Bundesamts für Sicherheit in der Informationstechnik markiert einen Wandel in der Informationssicherheit. Die statische Dokumentation wird zu einem datengetriebenen und kontinuierlich steuerbaren Sicherheitsprozess.

Für die Geschäftsleitung bedeutet das konkret:

  • Informationssicherheit wird messbar und steuerbar
  • Compliance entwickelt sich zu einem kontinuierlichen Prozess statt punktueller Prüfung
  • Sicherheitsmaßnahmen lassen sich technisch automatisiert überprüfen
  • Entscheidungen basieren zunehmend auf Kennzahlen statt Erfahrungswerten

Die Informationssicherheit wird zu einem aktiven Führungsinstrument.

1. Vom Kompendium zum digitalen Steuerungsmodell

Grundschutz++ ersetzt das klassische IT-Grundschutz-Kompendium durch ein digitales, maschinenlesbares Regelwerk.

Zentrale Veränderung:

  • Früher: Textbasierte Anforderungen, manuelle Umsetzung
  • Heute: Strukturierte Anforderungen (OSCAL), automatisierte Auswertung

Management-Relevanz:

  • Wegfall reiner Dokumentationspflichten
  • Aufbau eines steuerbaren Sicherheits-Ökosystems
  • Grundlage für „Compliance as Code“

Praxisbeispiel:
Ein mittelständisches Produktionsunternehmen kann Sicherheitsanforderungen künftig direkt mit Systemkonfigurationen verknüpfen und automatisiert prüfen, ob z. B. Verschlüsselung oder Zugriffskontrollen korrekt umgesetzt sind.


2. Strategischer Mehrwert für Unternehmen

Grundschutz++ liefert nicht nur neue Technik, sondern vor allem strategischen Nutzen.

2.1 Reduktion von Komplexität

  • Reduktion von über 6.500 Anforderungen auf knapp 1.000 atomare Einheiten
  • Klare, eindeutig prüfbare Anforderungen

Bewertung:
Das reduziert Interpretationsspielräume und erleichtert Auditprozesse erheblich.


2.2 Beschleunigung durch Blaupausen

  • Blaupausen sind im Grundschutz++ als OSCAL-Profile (Open Security Controls Assessment Language) geplant
  • Konzept für zukünftige branchenspezifische Sicherheitsprofile
  • Nutzung von Best Practices perspektivisch vorgesehen

Praxisperspektive:
Organisationen sollten sich frühzeitig auf diese Entwicklung einstellen. Sobald Blaupausen verfügbar sind, können sie als Beschleuniger für die Einführung und Weiterentwicklung von ISMS dienen.


2.3 Agile Weiterentwicklung

  • Kontinuierliche Updates über Plattformen wie GitHub
  • Schnelle Reaktion auf neue Bedrohungen

Management-Effekt:
Sicherheit wird dynamisch und orientiert sich stärker am realen Risiko.


3. Neue Steuerungslogik für die Geschäftsleitung

Grundschutz++ führt eine neue Qualität der Entscheidungsunterstützung ein. Auf Basis strukturierter Metadaten, die Anforderungen direkt mit Steuerungsgrößen verknüpfen.

Zentrale Steuerungsgrößen

Parameter

Bedeutung für das Management

Aufwandsstufe (0–5)

Priorisierung und Budgetplanung nach Umsetzungsaufwand

Sicherheitsniveau

Definition des Zielschutzes (z. B. Basis oder erhöhter Schutzbedarf)

Wirkmächtigkeit (CIA)

Bewertung der Wirkung auf Vertraulichkeit, Integrität und Verfügbarkeit

Erfüllungsgrad

Transparenz über den aktuellen Compliance-Status

Das Stufenmodell reicht von Stufe 0 („sofort umzusetzende Mindestanforderungen") bis Stufe 5 („erhöhter Schutzbedarf"). Der „Stand der Technik" im Sinne der NIS2-Umsetzungsverordnung 
 entspricht dabei Stufe 4. Organisationen können so ihren Umsetzungsfortschritt stufenweise messen und für Audits nachweisen.

Konsequenz für Führungskräfte

  • Investitionen werden wirkungsorientiert und nach klar definierten Stufen gesteuert
  • Sicherheitsmaßnahmen werden vergleichbar und priorisierbar
  • Entscheidungen basieren auf objektiven Kennzahlen statt auf Erfahrungswerten

Praxisbeispiel: Ein Unternehmen priorisiert die MFA-Einführung vor der Netzwerksegmentierung, weil die Wirkmächtigkeit auf Vertraulichkeit höher bewertet ist und die Aufwandsstufe niedriger liegt, beides direkt aus dem OSCAL-Katalog ablesbar.

Hinweis: Die vollständige Nutzung dieser Steuerungsgrößen, insbesondere Kennzahlen und Blaupausen, befindet sich noch im Aufbau. Das BSI empfiehlt aktuell den Einsatz im Rahmen von Pilotprojekten.


4. Anforderungen an Organisation und Ressourcen

Der Einsatz von Grundschutz++ erfordert klare Anpassungen.

4.1 Technologische Anforderungen

  • Einsatz OSCAL-fähiger Tools zwingend notwendig
  • Integration in bestehende IT- und Governance-Strukturen

Kritischer Punkt:
Ein falsches Tool kann zu langfristigen Abhängigkeiten führen (Vendor Lock-in).


4.2 Neue Kompetenzanforderungen

  • Verständnis für Datenstrukturen (JSON, APIs)
  • Fähigkeit zur technischen Bewertung von Sicherheitsmaßnahmen

4.3 Governance-Shift

  • stärkere Verantwortung bei Asset- und Risk-Ownern
  • ISB entwickelt sich vom Dokumentierer zum Steuerer und Prüfer

5. Wirtschaftliche Betrachtung: Aufwand vs. Nutzen

Kurzfristig:

  • hoher Migrationsaufwand
  • manuelle Überführung bestehender Strukturen notwendig

Langfristig:

  • deutliche Effizienzgewinne
  • reduzierte Auditkosten
  • automatisierte Nachweisführung

Klare Einordnung:
Grundschutz++ ist kein kurzfristiges Optimierungsprojekt, sondern eine strategische Investition.


6. Compliance as Code, die neue Realität

Ein zentraler Bestandteil ist die technische Umsetzung von Compliance.

Kernprinzip:

  • Anforderungen werden maschinenlesbar
  • automatische Prüfung gegen Systeme möglich
  • Echtzeit-Transparenz über Abweichungen

Praxisbeispiel

Ein Cloud-Dienst wird kontinuierlich geprüft:

  • Sind Zugriffskontrollen aktiv?
  • Ist Verschlüsselung korrekt umgesetzt?
  • Werden Richtlinien eingehalten?

Abweichungen werden sofort erkannt, nicht erst im Audit.


7. Risiken bei Nicht-Handeln

Das Verharren im alten Standard ist aus Managementsicht kritisch.

Zentrale Risiken:

  • Sicherheitslücken durch veraltete Anforderungen
  • steigender Migrationsdruck bis 2029
  • Verlust der Anschlussfähigkeit an den Stand der Technik

Klare Bewertung

Nicht zu handeln ist kein neutraler Zustand, sondern ein aktives Risiko.


8. Verbindung zu ISO/IEC 27001:2022

Grundschutz++ ist stark an die ISO/IEC 27001:2022 angelehnt.

Mehrwert:

  • hohe Deckungsgleichheit der Anforderungen
  • vereinfachte Doppelzertifizierung
  • klare Trennung:

ISO 27001

Grundschutz++

Managementrahmen

Technische Umsetzung

Was ist zu tun

Wie ist es umzusetzen

9. Fazit und Handlungsempfehlung

Grundschutz++ markiert zweifellos einen Meilenstein für die Zukunft der Cybersicherheit. Die Vision, Informationssicherheit durch OSCAL und Blaupausen dynamischer und automatisierbarer zu gestalten, ist der richtige Weg, um mit der technologischen Entwicklung Schritt zu halten.

Man sollte den aktuellen Status jedoch realistisch einordnen: Grundschutz++ ist momentan eher als zukunftsweisendes Pilotprojekt denn als finales Standardwerk zu betrachten. Da entscheidende methodische Details und die branchenspezifischen Blaupausen noch in der Ausarbeitung sind, bleibt der klassische IT-Grundschutz für die breite Anwendung vorerst unersetzlich.

Kommentare

Kommentar veröffentlichen

Beliebte Posts aus diesem Blog

BSI C5:2026

von Jörg Apel
Bild
Cloud-Sicherheit verständlich gemacht Was KMU und Entscheider jetzt wissen sollten 1. Executive Summary (Zusammenfassung) Mit der Veröffentlichung des aktualisierten Kriterienkatalogs C5:2026 am 7. April 2026 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den maßgeblichen Rahmen für sicheres Cloud-Computing neu definiert. Diese Fassung löst den bisherigen Standard C5:2020 ab und adressiert die rasanten technologischen Fortschritte sowie die verschärfte Bedrohungslage der letzten Jahre. Der Katalog wurde von 121 auf nunmehr 168 Kriterien in 17 Kontrollbereichen erweitert. Die Neuerungen umfassen zukunftsweisende Technologien wie Post-Quanten-Kryptografie (PQK), Confidential Computing und Container-Management sowie eine signifikante Schärfung der Anforderungen an die Lieferkettensicherheit und die Mandantentrennung.
Weiter lesen »

Datensicherung im KMU

von Jörg Apel
Bild
Warum Backup kein IT-Detail, sondern Geschäftsabsicherung ist Management Summary Datensicherung ist eine der wirksamsten und zugleich am häufigsten unterschätzten Sicherheitsmaßnahmen in kleinen und mittleren Unternehmen. Sie entscheidet im Ernstfall darüber, ob ein Betrieb nach einem Cyberangriff, einem Systemausfall oder einem Bedienfehler innerhalb weniger Stunden wieder handlungsfähig ist oder tagelang stillsteht.
Weiter lesen »

Incident Response in KMU

von Jörg Apel
Bild
Warum Incident Response als Prozess zur modernen Unternehmensführung gehört Management-Zusammenfassung Cyberangriffe gehören für kleine und mittlere Unternehmen längst zu den realen Geschäftsrisiken. Ransomware, Social Engineering, Business Email Compromise und gezielte Angriffe auf Lieferketten können nicht nur IT-Systeme beeinträchtigen, sondern unmittelbar Produktion, Lieferfähigkeit, Liquidität und Reputation gefährden. Damit wird Incident Response von einer rein technischen Reaktion zu einer zentralen Managementaufgabe.
Weiter lesen »