Grundschutz++ - Digitale Transformation des IT-Grundschutzes

Grundschutz++ ist die umfassende Modernisierung des etablierten IT-Grundschutzes des Bundesamts für Sicherheit in der Informationstechnik (BSI). Ab dem 1. Januar 2026 wird das bisherige PDF- und Excel-basierte Kompendium durch eine weitgehend digitalisierte, prozessorientierte und maschinenlesbare Version abgelöst.

Warum ist Grundschutz++ relevant? Die digitale Transformation bringt neue Technologien wie Cloud-Services, Künstliche Intelligenz (KI) und Internet of Things (IoT) mit sich, die neue Sicherheitsanforderungen und Bedrohungsszenarien schaffen. Gleichzeitig steigt der Bedarf nach automatisierten Compliance-Prozessen und besserer Integration in bestehende ISMS-Tools. Grundschutz++ antwortet auf diese Herausforderungen mit einem fundamental modernisierten Ansatz, der die bewährten Grundschutz-Prinzipien beibehält, aber deren Anwendung erheblich vereinfacht und flexibilisiert.

Die Revolution: Von PDF zu OSCAL/JSON

Maschinenlesbares Format als Paradigmenwechsel

Der größte Umbruch in Grundschutz++ ist der Wechsel von statischen PDF- und Excel-Dokumenten zu einem maschinenlesbaren Format basierend auf der Open Security Controls Assessment Language (OSCAL). Diese Transformation ermöglicht:

- Automatisierte Compliance-Prüfungen durch direkte Tool-Integration

- Konsistente Datenqualität durch Single-Source-of-Truth-Prinzip

- Dynamische Updates ohne manuelle Übertragungsfehler

- API-basierte Integration in bestehende ISMS-Landschaften

- Echtzeit-Synchronisation zwischen BSI-Vorgaben und Organisations-Tools

Praxis-Tipp: Das BSI wird weiterhin Excel-Exports anbieten, die direkt aus den OSCAL-Daten generiert werden. Organisationen sollten jedoch frühzeitig auf OSCAL/JSON-kompatible Tools setzen, um den vollen Nutzen der Digitalisierung zu realisieren.

Technische Grundlagen von OSCAL

OSCAL (Open Security Controls Assessment Language) ist ein vom NIST entwickelter Standard zur strukturierten Modellierung von:

- Sicherheitsanforderungen und -kontrollen

- Compliance-Informationen und Assessment-Ergebnisse

- Risikobewertungen und Remediation-Pläne

- System-Security-Pläne und Autorisierungsdokumente

Die JSON-Strukturierung ermöglicht es Tool-Herstellern und Anwendern, direkten Zugriff auf die BSI-Quelldaten zu erhalten und diese nahtlos in ihre Sicherheitsarchitekturen zu integrieren.

Konzeptuelle Neuerungen und Strukturwandel

Modulare, prozessorientierte Architektur

Weg von starren Bausteinen, hin zu flexiblen Praktiken:

Grundschutz++ ersetzt die bisherigen "Bausteine" durch Praktiken - wiederverwendbare Prozesse oder Sicherheitsmaßnahmen, die flexibel kombiniert und an spezifische Organisationsstrukturen angepasst werden können.

Neue Anforderungsstruktur

Standardisierte Satzschablonen sorgen für Klarheit und Konsistenz:

{Praktik} [für {Zielobjekt}] {MODALVERB} <Ergebnis> {Handlungswort}

Beispiel:

- Praktik: "Backup-Verfahren"

- Zielobjekt: "kritische Geschäftsdaten"

- Modalverb: "MUSS"

- Ergebnis: "wiederherstellbare Kopien"

- Handlungswort: "erstellen"

→ "Backup-Verfahren für kritische Geschäftsdaten MUSS wiederherstellbare Kopien erstellen."

Hierarchische Priorisierung der Umsetzung

Grundschutz++ führt ein 6-stufiges Priorisierungsmodell (Stufe 0-5) ein:

Stufe 0: Zwingende Grundlagen

- Muss-Anforderungen für ISO 27001-Kompatibilität

- Fundamentale Governance-Praktiken

- Rechtliche Mindestanforderungen

Stufe 1: Quick-Wins (≈ 1 Tag Aufwand)

- Sofort umsetzbare Maßnahmen

- Geringe Kosten, hoher Sicherheitsgewinn

- Bewusstseinsbildung und Sensibilisierung

Stufe 2: Kurze Projekte (≈ 1 Woche Aufwand)

- Richtlinien und Verfahrensdokumentation

- Grundlegende technische Schutzmaßnahmen

- Erste Monitoring-Implementierungen

Stufe 3: Mittelfristige Projekte (≈ 1 Monat Aufwand)

- Umfassende technische Implementierungen

- Prozessoptimierungen und Automatisierung

- Erweiterte Monitoring- und Detection-Systeme

Stufe 4: Langfristige Transformationen (≈ 1 Quartal Aufwand)

- Strukturelle Organisationsveränderungen

- Komplexe technische Infrastrukturprojekte

- Umfassende Integration und Harmonisierung

Stufe 5: Erhöhter Schutzbedarf

- Zusätzliche Anforderungen für kritische Infrastrukturen

- Spezialisierte Sicherheitsmaßnahmen

- Erweiterte Monitoring- und Response-Kapazitäten

Praxis-Tipp: Beginnen Sie immer mit Stufe 0 und arbeiten Sie sich systematisch durch die Stufen. Diese Priorisierung ermöglicht es, auch mit begrenzten Ressourcen schnell ein solides Sicherheitsniveau zu erreichen.

Leistungskennzahlen (KPIs) für messbare Sicherheit

Quantifizierung des Sicherheitsgewinns:

Jede Anforderung in Grundschutz++ erhält drei Kennzahlen entsprechend den klassischen Schutzzielen:

- C (Confidentiality/Vertraulichkeit): Schutz vor unbefugter Offenlegung

- I (Integrity/Integrität): Schutz vor unbefugter Veränderung

- A (Availability/Verfügbarkeit): Schutz vor Ausfall oder Beeinträchtigung

Funktionsweise der Kennzahlen

- Punktwerte zeigen, wie stark eine Maßnahme das jeweilige Risiko reduziert

- Summierung aller implementierten Maßnahmen ergibt den Gesamtscore

- Schwellwerte definieren das gewünschte Sicherheitsniveau

- Objective Messbarkeit des ISMS-Erfüllungsgrads

Vorteile für die Praxis

- Ressourcenoptimierung: Fokus auf Maßnahmen mit dem besten Kosten-Nutzen-Verhältnis

- Kontinuierliche Verbesserung: Systematische Identifikation von Sicherheitslücken

- Stakeholder-Kommunikation: Objektive Darstellung des Sicherheitsniveaus

- Benchmark-Vergleiche: Positionierung gegenüber Branchenstandards

Praxis-Tipp: Nutzen Sie die Kennzahlen für eine datengetriebene Sicherheitsstrategie. Definieren Sie organisationsspezifische Schwellwerte und verfolgen Sie deren Entwicklung über Zeit.

Integration und Harmonisierung

Stärkere ISO 27001-Kompatibilität

Grundschutz++ wurde konzipiert, um eine nahtlose Harmonisierung mit ISO 27001 zu ermöglichen:

Strukturelle Angleichung

- Control-Mapping: Direkte Zuordnung von Grundschutz++-Praktiken zu ISO 27001-Controls

- Annex A-Kompatibilität: Vollständige Abdeckung der ISO 27001 Annex A-Anforderungen

- ISMS-Prozess-Integration: Harmonisierung der Governance-Zyklen

- Audit-Synergie: Gemeinsame Assessment-Zyklen für beide Standards

Praktische Vorteile

- Reduzierter Aufwand für Dual-Zertifizierungen

- Konsistente Dokumentation für beide Standards

- Einheitliche Risk-Assessment-Methodik

- Gemeinsame KPI-Dashboards

Modulare Erweiterbarkeit

Die neue Architektur ermöglicht flexible Integration zusätzlicher Compliance-Kataloge:

Verfügbare und geplante Module

- KRITIS-Erweiterungen: Zusätzliche Anforderungen für kritische Infrastrukturen

- NIS2-Compliance: EU-weite Cybersecurity-Anforderungen

- C5-Attestierung: Cloud-Security-Standards

- Cloud-Security-Module: Spezifische Cloud-Governance und -Security

- KI-Sicherheit: Anforderungen für AI/ML-Systeme

- IoT-Security: Schutzmaßnahmen für vernetzte Geräte

Praxis-Tipp: Planen Sie Ihre ISMS-Architektur modular, um zukünftige Compliance-Anforderungen flexibel integrieren zu können, ohne die Grundstruktur zu verändern.

Bewährte Methodik bleibt bestehen

Kontinuität trotz Revolution:

Trotz aller technischen und strukturellen Neuerungen bleibt die bewährte IT-Grundschutz-Methodik grundsätzlich unverändert:

Die 6 Phasen des IT-Grundschutzes

1. Geltungsbereich festlegen (Scope Definition)

- Definition der zu schützenden Geschäftsprozesse

- Abgrenzung der IT-Systeme und Anwendungen

- Berücksichtigung von Cloud- und Hybrid-Infrastrukturen

1. Strukturanalyse durchführen

- Erfassung aller Zielobjekte und deren Abhängigkeiten

- Mapping von Datenflüssen und Systeminteraktionen

- Dokumentation der IT-Architektur

1. Schutzbedarfsfeststellung

- Bewertung der Kritikalität von Informationen und Systemen

- Klassifizierung nach Vertraulichkeit, Integrität und Verfügbarkeit

- Berücksichtigung regulatorischer Anforderungen

1. Modellierung mit Grundschutz++

- Auswahl und Konfiguration relevanter Praktiken

- Anpassung an organisationsspezifische Gegebenheiten

- Integration zusätzlicher Compliance-Module

1. Grundschutz-Check

- Systematische Überprüfung der Umsetzung

- Bewertung anhand der KPIs

- Identifikation von Implementierungslücken

1. Risikoanalyse

- Bewertung verbleibender Risiken

- Definition zusätzlicher Maßnahmen

- Dokumentation von Risikoakzeptanz-Entscheidungen

Praxis-Tipp: Nutzen Sie die Kontinuität der Methodik als Basis für Ihre Transformation. Bestehende Prozesse können weitgehend beibehalten und lediglich um die neuen digitalen Werkzeuge ergänzt werden.

Vorbereitung und Umsetzungsstrategien

Strategische Vorbereitung

Organisatorische Readiness

1. Projektteam und Governance etablieren

- ISB-Rolle stärken: Klare Zuordnung der Informationssicherheitsbeauftragten-Verantwortlichkeiten

- Cross-funktionale Teams: Integration von IT, Compliance, Risk Management und Business

- Change Management: Vorbereitung der Organisation auf den Paradigmenwechsel

- Budget-Planung: Ressourcenallokation für Tools, Schulungen und externe Unterstützung

2. Technische Voraussetzungen schaffen

- OSCAL/JSON-Kompetenz: Schulung der Teams in den neuen Datenformaten

- Tool-Evaluation: Bewertung OSCAL-kompatibler ISMS-Lösungen

- API-Integration: Vorbereitung der IT-Infrastruktur für automatisierte Datenflows

- Backup-Strategien: Sicherstellung der Kontinuität während der Migration

3. Scope und Architektur überdenken

- Cloud-First-Ansatz: Anpassung der Strukturanalyse an moderne IT-Architekturen

- Prozess-Orientierung: Umstellung von objekt- auf prozesszentrierte Betrachtung

- Modulare Planung: Vorbereitung für zukünftige Compliance-Erweiterungen

Implementierungsansatz

Phasenweise Migration

Phase 1: Fundament (Q4 2025)

- Tool-Auswahl und -Implementierung

- Team-Schulung und -Zertifizierung

- Bestehende Dokumentation analysieren und aufbereiten

- Pilot-Bereiche für erste Tests identifizieren

Phase 2: Kernmigration (Q1-Q2 2026)

- Stufe 0-Anforderungen vollständig implementieren

- Quick-Wins (Stufe 1) systematisch umsetzen

- KPI-Baselines etablieren und messen

- Erste Compliance-Checks durchführen

Phase 3: Optimierung (Q3-Q4 2026)

- Stufen 2-4 nach Priorität und Ressourcen umsetzen

- Kontinuierliche Verbesserungsprozesse etablieren

- Erweiterte Module (KRITIS, NIS2) integrieren

- Audit-Readiness und Zertifizierungsvorbereitung

Phase 4: Continuous Improvement (ab 2027)

- Regelmäßige KPI-Reviews und Optimierungen

- Integration neuer BSI-Module und -Updates

- Benchmark-Vergleiche und Best-Practice-Sharing

- Strategische Weiterentwicklung des ISMS

Risikobasierter Umsetzungsansatz

Prozessorientierte Risikoanalyse

Methodischer Wandel:

- Von objekt- zu prozessorientierter Betrachtung: Fokus auf End-to-End-Geschäftsprozesse

- Dynamische Risikobewertung: Kontinuierliche Anpassung an sich ändernde Bedrohungslagen

- Integrierte Compliance: Harmonisierung verschiedener Regulatory-Anforderungen

- Quantitative Metriken: Nutzung der KPIs für objektive Risikoquantifizierung

KPI-basierte Steuerung

Datengetriebene Entscheidungen:

- Baseline-Establishment: Definition organisationsspezifischer Sicherheitsziele

- Continuous Monitoring: Echtzeit-Überwachung der Sicherheitskennzahlen

- Trend-Analyse: Identifikation von Verbesserungs- und Verschlechterungsmustern

- ROI-Optimierung: Priorisierung von Maßnahmen mit dem besten Sicherheits-ROI

Praxis-Tipp: Nutzen Sie die KPIs nicht nur für Compliance, sondern als strategisches Instrument für die kontinuierliche Optimierung Ihrer Sicherheitsarchitektur. Definieren Sie organizationsspezifische Schwellwerte und etablieren Sie regelmäßige Review-Zyklen.

Unterstützung durch die fuentis Suite

Die fuentis Suite ist optimal auf die Anforderungen von Grundschutz++ vorbereitet und bietet umfassende Unterstützung:

OSCAL/JSON-Integration

- Nativer OSCAL-Support: Direkte Verarbeitung der BSI-JSON-Datenstrukturen

- Automatische Updates: Synchronisation mit BSI-Releases ohne manuelle Intervention

- API-basierte Integration: Nahtlose Anbindung an bestehende IT-Service-Management-Tools

- Versionskontrolle: Nachverfolgung aller Änderungen und Updates

Prozessorientiertes Risikomanagement

- End-to-End-Prozess-Mapping: Visualisierung kompletter Geschäftsprozesse

- KPI-Dashboard: Echtzeit-Monitoring der C/I/A-Kennzahlen

- Dynamische Risikobewertung: Kontinuierliche Anpassung an neue Bedrohungen

- Schwellwert-Management: Konfigurierbare Alarme und Eskalationen

Asset- und Zielobjekt-Management

- Zentrale CMDB: Umfassende Inventarisierung aller Zielobjekte

- Dependency-Mapping: Visualisierung von Systemabhängigkeiten und Datenflüssen

- Cloud-Integration: Spezielle Unterstützung für hybride und Multi-Cloud-Umgebungen

- IoT-Device-Management: Erfassung und Verwaltung vernetzter Geräte

Modulares Compliance-Management

- Multi-Standard-Support: Parallele Verwaltung von Grundschutz++, ISO 27001, NIS2, KRITIS

- SoA-Generator: Automatische Erstellung von Statement of Applicability-Dokumenten

- Gap-Analysis: Kontinuierliche Identifikation von Compliance-Lücken

- Audit-Trail: Vollständige Nachverfolgung aller Änderungen und Entscheidungen

Automatisierte Assessment-Workflows

- Grundschutz-Check-Automation: Systematische Überprüfung der Praktiken-Umsetzung

- KPI-Berechnung: Automatische Summierung und Bewertung der Sicherheitskennzahlen

- Report-Generation: Standardisierte und individuelle Compliance-Reports

- Stakeholder-Dashboards: Rollenbasierte Sichten für verschiedene Zielgruppen

Integration und Interoperabilität

- SIEM-Integration: Anbindung an Security Information and Event Management-Systeme

- Ticketing-System-Konnektoren: Integration in bestehende Service-Management-Workflows

- Business-Intelligence-Export: Datenexport für strategische Analysen

- Mobile-First-Design: Vollständige Funktionalität auf allen Endgeräten

Brücke zu anderen Standards und Frameworks

ISO 27001-Harmonisierung

- Dual-Compliance: Simultane Erfüllung beider Standards mit minimalem Zusatzaufwand

- Control-Mapping: Direkte Zuordnung zwischen Grundschutz++-Praktiken und ISO-Controls

- Gemeinsame Governance: Integrierte Management-Reviews und Audit-Zyklen

- Risk-Treatment-Alignment: Harmonisierte Risikobehandlungsstrategien

NIST-Framework-Integration

- CSF-Kompatibilität: Mapping zu NIST Cybersecurity Framework-Funktionen

- OSCAL-Synergy: Nutzung gemeinsamer Datenstrukturen und -formate

- Maturity-Model-Alignment: Abgleich mit NIST-Reifegradmodellen

EU-Compliance-Standards

- NIS2-Readiness: Vorbereitung auf EU-Cybersecurity-Anforderungen

- GDPR-Integration: Berücksichtigung datenschutzrechtlicher Aspekte

- Digital-Operational-Resilience: Alignment mit DORA-Anforderungen für Finanzsektor

Kernaussagen auf einen Blick

1. Digitale Revolution ab 2026: Grundschutz++ ersetzt das PDF-basierte Kompendium durch ein maschinenlesbares OSCAL/JSON-Format, das automatisierte Compliance-Prozesse und nahtlose Tool-Integration ermöglicht.

1. Prozessorientierte Modernisierung: Die neue modulare Struktur mit Praktiken statt Bausteinen, standardisierten Satzschablonen und 6-stufiger Priorisierung (0-5) macht die Umsetzung flexibler und effizienter.

1. Quantifizierbare Sicherheit durch KPIs: Jede Anforderung erhält Kennzahlen für Vertraulichkeit, Integrität und Verfügbarkeit (C, I, A), die objektive Messbarkeit des Sicherheitsniveaus und datengetriebene Optimierung ermöglichen.

1. Nahtlose ISO 27001-Integration: Grundschutz++ wurde für maximale Harmonisierung mit ISO 27001 konzipiert und ermöglicht Dual-Compliance mit minimalem Zusatzaufwand bei gemeinsamen Audit-Zyklen.

1. Frühzeitige Vorbereitung essentiell: Organisationen sollten bereits 2025 mit der strategischen Vorbereitung beginnen, da eine automatisierte Migration nicht möglich ist und umfassende Schulungen sowie Tool-Anpassungen erforderlich sind.