Grundschutz++

Das BSI plant eine umfassende Modernisierung des IT-Grundschutzes, die ab Januar 2026 mit einer Übergangsphase umgesetzt werden soll. Die Reform zielt darauf ab, den Standard an aktuelle technologische Entwicklungen und Bedrohungslagen anzupassen und zukünftig fortlaufend zu aktualisieren. Dieser Artikel informiert fortlaufend für den aktuellen Stand der Entwicklung.

Einleitung

Das BSI plant unter dem Projektnamen „Grundschutz++“ eine grundlegende Modernisierung des IT-Grundschutzes, die ab 1. Januar 2026 umgesetzt werden soll. Die Reform zielt auf eine weitgehende Digitalisierung und Prozessorientierung des Standards.

Wesentliche Neuerungen

• OSCAL/JSON-basiertes Regelwerk: Der IT-Grundschutz wird in ein maschinenlesbares JSON-Format überführt, das weitgehend automatisierte Compliance-Prüfungen und Integrationen in bestehende IT-Systeme ermöglicht. Dies ersetzt die bisherigen textbasierten PDFs und Listen.
• Prozessorientierte Struktur: Die neue Version ist modular und objektorientiert aufgebaut, um Redundanzen zu reduzieren und die Dokumentationslast zu verringern.
• Leistungskennzahlen: Kennzahlen sollen die Informationssicherheit messbar und den Sicherheitsgewinn einzelner Anforderungen transparenter machen.
• Harmonisierung mit ISO 27001: Die Anforderungen werden stärker mit internationalen Standards wie ISO 27001:2022 abgestimmt, um Doppelzertifizierungen zu vereinfachen.
• Erweiterung um moderne Technologien: Geplant sind auch spezifische Module für Cloud-Security, KI und IoT, die aktuelle Bedrohungsszenarien abdecken.

Ziele der Reform

• Schlankere Prozesse: Durch Automatisierung soll der administrative Aufwand sinken.
• Dynamische Anpassung: JSON ermöglicht schnellere Updates bei neuen Cyberbedrohungen.
• Praxisorientierte Vereinfachung: Der BSI will die Dokumentationslast reduzieren und den Fokus auf risikobasierte Ansätze legen, insbesondere für KMU.
• Priorisierung und Messbarkeit: Durch eine stufenweise Priorisierung von Anforderungen und Leistungskennzahlen soll ein zielgerichteteres Vorgehen und die bessere Messbarkeit der Sicherheit gefördert werden.

Die Änderungen reagieren auf Kritik an der bisherigen Komplexität und sollen besonders KMU entlasten, während die ganzheitliche Sicherheitsmethodik (technisch, organisatorisch, personell) erhalten bleibt.

Hinweis: Details zur finalen Struktur werden schrittweise im Jahr 2025 veröffentlicht. Unternehmen sollten sich frühzeitig mit den geplanten Schnittstellen (z. B. für Security-Tools) vertraut machen.

Offizieller Starttermin für den Grundschutz++ ist aktuell der 1.1.2026. Danach ist allerdings eine längere Übergangsphase geplant, in der beide Standards parallel genutzt werden können, so wie bei der letzten Modernisierung auch. Da jedoch zu erwarten ist, dass eine automatisierte Migration auch diesmal nicht möglich sein wird, sollte speziell in größeren Verbünden rechtzeitig begonnen werden!

Konkrete Änderungen und Neuerungen

Maschinenlesbares Datenformat

Der Grundschutz++ wird zukünftig nicht mehr in Textform (PDF), sondern in einem maschinenlesbaren Format erstellt und das BSI setzt hierbei auf die Open Security Controls Assessment Language (OSCAL).

OSCAL ist ein Framework bzw. eine Datenmodellierungssprache, die vom NIST speziell für Sicherheitsanforderungen und Compliance-Dokumentation entwickelt wurde.

OSCAL definiert dabei nur ein festes Schema für Sicherheits- und Compliance-Daten und lässt das zugrundeliegende Datenformat (JSON, XML oder YAML) offen.

Das BSI hat sich beim Grundschutz++ für das Datenformat JSON entschieden.

Da sicher nur wenig Anwender mit OSCAL und JSON vertraut sind, soll es das Kompendium auch weiterhin im Excel-Format und als Textdokument geben, die jedoch dann direkt aus den OSCAL Quellen erzeugt werden, um Inkonsistenzen zu vermeiden.

Die Hersteller von ISMS-Tools sowie interessierte Anwender sollen direkten Zugriff auf die OSCAL/JSON Quellen bekommen, um Ihre Tools fortlaufend damit befüllen zu können und nicht mehr wie bisher auf das jährliche erscheinende Kompendium warten zu müssen.

Satzschablonen

Anforderungen werden im GS++ zukünftig mit Satzschablonen erstellt, die wie folgt aussehen:

{Praktik} [für {Zielobjekt}] {MODALVERB} <Ergebnis> {Handlungswort}

Praktik: Ein Prozess im Rahmen des ISMS, eine konkrete Sicherheitsmaßnahme oder eine allgemeine Vorgehensweise zur Erreichung eines Sicherheitsziels (z.B. IT-Betrieb, Personal, Konfiguration).

Zielobjekt: Wie bisher, das Objekt oder die Entität, auf die sich die Sicherheitsanforderungen beziehen. (z.B. Daten, Personen, Endgeräte, Hostsysteme)

Modalverb: Gibt die Verbindlichkeit einer Anforderung an (z.B. MUSS, SOLLTE, KANN).

Ereignis: Der sicherheitsrelevante Zustand oder Auslöser, der zu einer bestimmten Handlung führt.

Handlungswort: Das Verb, das die konkrete Sicherheitsmaßnahme oder Art der Tätigkeit beschreibt. Handlungsworte können auch zur besseren Filterung genutzt werden.

Das ganze kann noch mit TAGs für eine bessere Gruppierung und mit einem Hinweis zu weiterführenden Informationen ergänzt werden.

Die bisherigen Anforderungen des Kompendium werden aktuell in ihre Teilanforderungen zerlegt und jede Teilanforderung wird zukünftig eine eigene Anforderung. D.h. jedes Modalverb (SOLL, MUSS, KANN) der bisherigen Anforderungen stellt zukünftig i.d.R. eine eigene Anforderung dar. Die Gesamtanzahl der Anforderungen soll dabei durch die Vermeidung von Redundanzen dennoch sinken.

Beispiel:

ISMS.1.A4 Benennung eines oder einer Informationssicherheitsbeauftragten (B) [Institutionsleitung]

Die Institutionsleitung MUSS einen oder eine ISB benennen. . . .

Die Institutionsleitung MUSS den oder die ISB mit angemessenen Ressourcen ausstatten.

Die Institutionsleitung MUSS dem oder der ISB die Möglichkeit einräumen, bei Bedarf direkt an sie selbst zu berichten. . . .

heisst jetzt:

GOV.4.2: Die Governance MUSS einer Person die Rolle ISB zuweisen.

GOV.2.3: Die Governance MUSS für das ISMS erforderliche personelle, finanzielle und zeitliche Ressourcen zuweisen.

GOV.4.4: Die Governance MUSS dem ISB das direkte und jederzeitige Vorspracherecht bei der Institutionsleitung ermöglichen.

Da dies übergreifende Anforderungen sind, ist hier kein spezifisches Zielobjekt benannt.

Einzelne Teilanforderungen können auch in anderen Praktiken beschrieben sein.

Priorisierung

Alle Anforderungen werden einer Prioritätsstufe zugeordnet, um die Umsetzung effizient zu gestalten:

• Stufe 0: Zwingend (sofort) umzusetzende Anforderungen zur Sicherstellung der ISO-Kompatibilität (MUSS-Anforderungen).

Die Stufen 1-4 geben den Umsetzungsaufwand der Anforderungen wieder:

• Stufe 1: Schnell und mit geringem Aufwand (~1 Tag) realisierbare Maßnahmen (QuickWin) / keine laufenden Aufwände.
• Stufe 2: Mit eigenen Mitteln leicht umsetzbare Anforderung (~1 Woche) / geringe laufende Aufwände.
• Stufe 3: Mit normalem Aufwand (mehrere Wochen) und ggf. externer Unterstützung umsetzbar / normale laufende Aufwände.
• Stufe 4: Höherer Umsetzungsaufwand, häufig in längerfristigen Projekten mit externen Experten.

Die nächste Stufe sind optionale Anforderungen als Vorschläge bei erhöhtem Schutzbedarf.

• Stufe 5: Umfassende/zusätzliche Anforderungen für höheren Schutzbedarf.

Diese Einstufung ermöglicht eine schnelle Einschätzung des Umsetzungsaufwands und hilft bei der effizienten Ressourcenplanung.

Leistungskennzahlen

Leistungskennzahlen dienen der Messung und Bewertung der Umsetzung von Sicherheitsanforderungen im IT-Grundschutz. Sie ermöglichen eine objektive Einschätzung des Sicherheitsniveaus und unterstützen die kontinuierliche Verbesserung.

Bewertungskriterien

Jede Anforderung wird in Bezug auf die drei Schutzziele bewertet:

• Vertraulichkeit (C)
• Integrität (I)
• Verfügbarkeit (A)

Anforderungen erhalten Punktwerte in diesen Kategorien, die zur Bestimmung des Schutzgrades genutzt werden.

Schwellwerte und Erfüllungsgrad

• Schwellwerte definieren das angestrebte Sicherheitsniveau basierend auf der Summe der Punktwerte aller umgesetzten Anforderungen je Schutzziel, Zielobjekt und Schutzstufe.
• Der Erfüllungsgrad zeigt, welche Anforderungen bereits umgesetzt wurden.

Die Leistungskennzahlen bieten damit eine fundierte Entscheidungsgrundlage für Organisationen, um ihren Sicherheitsstatus gezielt zu verbessern.

Was bleibt erhalten?

Standards und Vorgehen

Trotz eines deutlich anderen Formats und einer anderen Gruppierung der Anforderungen bleibt das grundsätzliche Vorgehen erst einmal unverändert.

D.h. die Standards 200-1 bis 200-4 sollen erst einmal weiter Verwendung finden. Die bisher üblichen Arbeitsschritte:

1. Festlegung des Geltungsbereichs
2. Strukturanalyse
3. Schutzbedarfsfeststellung
4. Modellierung
5. IT-Grundschutzcheck (GSC)
6. Risikoanalyse

bleiben erhalten und ändern sich nur geringfügig in der praktischen Anwendung (insbesondere in der Modellierung und den Grundschutzchecks).

SOLLTE-Anforderungen bleiben auch weiter grundsätzlich verpflichtend, können aber ggf. mit angemessener Begründung oder Ersatzmaßnahmen wegdiskutiert werden. Lediglich KANN-Anforderungen sind optional.

Tool-Einsatz

Auch der Einsatz von ISMS-Tools wird weiterhin Bestand haben. Alle größeren Tool-Hersteller arbeiten mit Hochdruck an der Integration von Grundschutz++ in ihre Tools. Hier wird es perspektivisch Erleichterungen durch mehr Automatisierungspotential geben.

Fazit

Ein abschließendes Bild zum Grundschutz++ lässt sich aktuell noch nicht zeichnen – viele Details sind noch in der Entwicklung.

Der Artikel wird fortlaufend aktualisiert, sobald neue Informationen vom BSI veröffentlicht oder freigegeben werden.

Weiterführende Informationen

• BSI IT-Grundschutz
• 30 Jahre IT-Grundschutz: Gestern, heute, morgen (Folien und Aufzeichnung des Vortrags) - itsa 2024
• Aktuelle Entwicklungen und Ausblick zum IT-Grundschutz - 1. Grundschutztag 2025
• Keynote: Fortentwicklung des IT-Grundschutzes zu IT-Grundschutz++ (verinice.XP 2025)