Einführung und Aufbau von BSI Grundschutz++

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
Under construction icon-blue.png Diese Seite ist derzeit noch ein Entwurf.

Weitere Informationen sowie Diskussionen über Änderungen an diesem Entwurf gibt es evtl. auf der Diskussion-Seite.

Dieser Artikel bietet einen schrittweisen Überblick über BSI Grundschutz++ und navigiert durch relevante Artikel des ISMS-Ratgeber-Wikis sowie BSI-Quellen. Es ersetzt keine Originaldokumente.

Einführung in Grundschutz++

Grundschutz++ ist die 2026 vom BSI eingeführte Weiterentwicklung des IT-Grundschutz-Kompendiums. Es transformiert das bewährte Grundschutz-Konzept in ein vollständig digitales, maschinenlesbares Format mit JSON-basierten Bausteinen und OSCAL-kompatibler Struktur.

Der aktuelle Stand von Grundschutz++ ist bisher nur sehr eingeschränkt praktisch anwendbar, da einige wesentliche Definitionen und Teile der Methodik noch fehlen. Dazu gehören beispielsweise die Nutzung von Kennzahlen, Blaupausen, Stufen, Schutzbedarf vs. Schutzniveau und die Modellierung.

Der Anforderungskatalog liegt zwar im OSCAL- und Excel-Format vor, ist ohne eine abgeschlossene und nachvollziehbare Methodik aber nicht sinnvoll anwendbar.

Wiki-Referenz: Grundschutz++

BSI-Quelle: BSI-Website IT-Grundschutz-Kompendium (aktuelle Version 2026).

Bedeutung von OSCAL im Grundschutz++

Das zugrundeliegende Format für Grundschutz++ ist OSCAL. Es handelt sich um ein vom NIST entwickeltes, standardisiertes, maschinenlesbares Format (XML, JSON oder YAML) zur Dokumentation, Implementierung und Bewertung von Sicherheitsanforderungen. Dies ermöglicht es mit entsprechenden Tools Sicherheitsanforderungen automatisiert auszulesen und zu bearbeiten. D.h.

  • Anforderungen können (teil-)automatisiert von entsprechenden Tools bearbeitet und dokumentiert werden, sofern entsprechende Tools zur Verfügung stehen oder vom Anwender (ggf. Dienstleister) programmiert werden.
  • Kataloge und Sicherheitskonzepte (SSPs) können zwischen ISMS-Tools herstellerunabhängig ausgetauscht werden (sofern Toolhersteller sich an den Standard halten und entsprechende Im- und Exportfonktionen in ihren Tools zur Verfügung stellen).

Das heißt aber nicht:

  • Das Anwender, Sicherheitsmanager oder Sicherheitsbeauftragte OSCAL lernen müssen oder OSCAL Formate lesen können müssen. (Dafür gibt es Tools, die die Inhalte lesbar und bearbeitbar zur Verfügung stellen)
  • Das alle Anforderungen automatisiert erfüllt und dokumentiert werden (viele Anforderungen sind nach wie vor organisatorische Anforderungen die nur von Menschen durch Erstellung und Beachtung entsprechenden Regelungen erfüllt werden können).
  • Das überhaupt irgendwelche Anforderungen automatisiert erfüllt und dokumentiert werden (Hierzu müssten die Systeme an ein ISMS-Tool angebunden sein und diese über entsprechende Schnittstellen mit Informationen bedienen). Sowohl die Tools als auch die Schnittstellen werden absehbar nicht vom Himmel fallen.

Grundlagen und Standards

Schritt-für-Schritt-Methodik

Die Methodik-Grundschutz++ folgt einem 5-stufigem PDCA-basierten Prozess mit Fokus auf Anforderungsmodellierung und maschinenlesbarer Verarbeitung. Hier das praktische Vorgehen:

Schritt 1: Erhebung und Planung (PLAN - Governance/Compliance)

  1. Kontextanalyse (intern/extern) durchführen
  2. Interessierte Parteien identifizieren und Anforderungen erfassen
  3. Geltungsbereich (Scope) durch Institutionsleitung festlegen und freigeben
  4. Geschäftsprozesse priorisieren → Schutzbedarf "normal" oder "hoch" einstufen
  5. Sicherheitsleitlinie erstellen (Ziele, Strategie, Verpflichtung Leitung)
  6. Sicherheitsorganisation etablieren (Rollen: ISB, Asset-Owner, etc.)
  7. Compliance-Management initialisieren (Rechts-/Vertragskatalog)

Ergebnis: Organisatorischer Rahmen, Sicherheitsleitlinie, priorisierte Prozesse​

Schritt 2: Anforderungsanalyse (PLAN - Strukturmodellierung)

  1. Informationsverbund definieren (techn./org. Abgrenzung)
  2. Assets für wichtigsten Geschäftsprozess erfassen
  3. Asset → Zielobjektkategorien mapping (Hierarchie + Vererbung)
  4. Anforderungspaket generieren:
    • ISMS-Praktiken (vollständig)
    • Zielobjekt-Anforderungen (Sicherheitsniveau: normal/erhöht)
    • Zielobjektlose Anforderungen prüfen
  5. Ergänzungen: Externe Verpflichtungen, anforderungslose Assets
  6. Risikobetrachtung bei hohem Schutzbedarf oder Niveauerhöhung
  7. Parameter setzen (Zuständigkeiten, Werte)

Ergebnis: Individuelles Anforderungspaket pro Informationsverbund​

Schritt 3: Realisierung (DO - Umsetzung)

  1. Umsetzungsstatus aller Anforderungen prüfen (ja/nein)
  2. Nicht-umgesetzte MUSS/SOLLTE → Risikobetrachtung
  3. Umsetzungsplan erstellen:
    • Priorisierung (Risiko, Aufwand, Synergien)
    • Zuständigkeiten + Fristen zuweisen
  4. Freigabe durch Institutionsleitung
  5. Fortschritt tracken (Ticketsystem/Projektmanagement)
  6. Ausnahmen dokumentieren (Begründung + Leitungsfreigabe)

Ergebnis: Umsetzungsplan + Status-Dokumentation​

Schritt 4: Überwachung (CHECK - Monitoring/Evaluation)

  1. Leistungsbewertung (KPIs, Umsetzungsfortschritt, Vorfälle)
  2. Compliance-Überwachung (gesetzlich/vertraglich)
  3. Auditprogramm risikobasiert durchführen
  4. Managementbewertung → Managementbericht erstellen
  5. Monitoring-Tools einsetzen (SIEM, Vulnerability Scanner)
  6. Anforderungspaket validieren (Aktualität prüfen)

Ergebnis: Auditberichte, Managementbericht​

Schritt 5: Kontinuierliche Verbesserung (ACT - Verbesserung)

  1. Nicht-Konformitäten analysieren (Root-Cause)
  2. Verbesserungspotenziale identifizieren
  3. Korrektur-/Verbesserungsplan → in Umsetzungsplan integrieren
  4. Wirksamkeit prüfen nach Umsetzung
  5. Sicherheitsniveau bewerten (Trendanalyse)
  6. Compliance-Verstöße behandeln

Ergebnis: Aktualisiertes Anforderungspaket → neuer PDCA-Zyklus​

Praktische Hinweise

  • Tool-gestützt: JSON/OSCAL-Bausteine, verinice.PRO empfohlen
  • Iteration: Wichtigster Geschäftsprozess zuerst, dann schrittweise erweitern
  • Risikobetrachtung: Nur bei "hoch" oder Niveauserhöhung/Nicht-Umsetzung
  • Dokumentation: Maschinenlesbar (GitHub-Link in Methodik)

Zyklusdauer: Jährlich oder ereignisgesteuert (Änderungen, Vorfälle, Audits)

Weiterführende Ressourcen

Fazit

Abgerufen von „https://wiki.isms-ratgeber.info/index.php?title=Einführung_und_Aufbau_von_BSI_Grundschutz%2B%2B&oldid=1955