Grundschutz++

Das BSI plant eine umfassende Modernisierung des IT-Grundschutzes, die ab Januar 2026 mit einer Übergangsphase umgesetzt werden soll. Die Reform zielt darauf ab, den Standard an aktuelle technologische Entwicklungen und Bedrohungslagen anzupassen und zukünftig fortlaufend zu aktualisieren. Dieser Artikel informiert fortlaufend für den aktuellen Stand der Entwicklung.

Einleitung

Das BSI plant unter dem Projektnamen „Grundschutz++“ eine grundlegende Modernisierung des IT-Grundschutzes, die ab 1. Januar 2026 umgesetzt werden soll. Die Reform zielt auf eine weitgehende Digitalisierung und Prozessorientierung des Standards.

Wesentliche Neuerungen

• OSCAL/JSON-basiertes Regelwerk: Der IT-Grundschutz wird in ein maschinenlesbares JSON-Format überführt, das weitgehend automatisierte Compliance-Prüfungen und Integrationen in bestehende IT-Systeme ermöglicht. Dies ersetzt die bisherigen textbasierten PDFs und Listen.
• Prozessorientierte Struktur: Die neue Version ist modular und objektorientiert aufgebaut, um Redundanzen zu reduzieren und die Dokumentationslast zu verringern.
• Leistungskennzahlen: Kennzahlen sollen die Informationssicherheit messbar und den Sicherheitsgewinn einzelner Anforderungen transparenter machen.
• Harmonisierung mit ISO 27001: Die Anforderungen werden stärker mit internationalen Standards wie ISO 27001:2022 abgestimmt, um Doppelzertifizierungen zu vereinfachen.
• Erweiterung um moderne Technologien: Geplant sind auch spezifische Module für Cloud-Security, KI und IoT, die aktuelle Bedrohungsszenarien abdecken.

Ziele der Reform

• Schlankere Prozesse: Durch Automatisierung soll der administrative Aufwand sinken.
• Dynamische Anpassung: JSON ermöglicht schnellere Updates bei neuen Cyberbedrohungen.
• Praxisorientierte Vereinfachung: Der BSI will die Dokumentationslast reduzieren und den Fokus auf risikobasierte Ansätze legen, insbesondere für KMU.
• Priorisierung und Messbarkeit: Durch eine stufenweise Priorisierung von Anforderungen und Leistungskennzahlen soll ein zielgerichteteres Vorgehen und die bessere Messbarkeit der Sicherheit gefördert werden.

Die Änderungen reagieren auf Kritik an der bisherigen Komplexität und sollen besonders KMU entlasten, während die ganzheitliche Sicherheitsmethodik (technisch, organisatorisch, personell) erhalten bleibt.

Hinweis: Details zur finalen Struktur werden schrittweise im Jahr 2025 veröffentlicht. Unternehmen sollten sich frühzeitig mit den geplanten Schnittstellen (z. B. für Security-Tools) vertraut machen.

Offizieller Starttermin für den Grundschutz++ ist aktuell der 1.1.2026. Danach ist allerdings eine längere Übergangsphase geplant, in der beide Standards parallel genutzt werden können, so wie bei der letzten Modernisierung auch. Da jedoch zu erwarten ist, dass eine automatisierte Migration auch diesmal nicht möglich sein wird, sollte speziell in größeren Verbünden rechtzeitig begonnen werden!

Konkrete Änderungen und Neuerungen

Maschinenlesbares Datenformat

Der Grundschutz++ wird zukünftig nicht mehr in Textform (PDF), sondern in einem maschinenlesbaren Format erstellt und das BSI setzt hierbei auf die Open Security Controls Assessment Language (OSCAL).

OSCAL ist ein Framework bzw. eine Datenmodellierungssprache, die vom NIST speziell für Sicherheitsanforderungen und Compliance-Dokumentation entwickelt wurde.

OSCAL definiert dabei nur ein festes Schema für Sicherheits- und Compliance-Daten und lässt das zugrundeliegende Datenformat (JSON, XML oder YAML) offen.

Das BSI hat sich beim Grundschutz++ für das Datenformat JSON entschieden.

Da sicher nur wenig Anwender mit OSCAL und JSON vertraut sind, soll es das Kompendium auch weiterhin im Excel-Format und als Textdokument geben, die jedoch dann direkt aus den OSCAL Quellen erzeugt werden, um Inkonsistenzen zu vermeiden.

Die Hersteller von ISMS-Tools sowie interessierte Anwender sollen direkten Zugriff auf die OSCAL/JSON Quellen bekommen, um Ihre Tools fortlaufend damit befüllen zu können und nicht mehr wie bisher auf das jährliche erscheinende Kompendium warten zu müssen.

Die eigentlich Arbeit mit Grundschutz++ wird somit wie bisher in Excel, Word oder den einschlägigen ISMS-Tools erfolgen.

Satzschablonen

Anforderungen werden im Grundschutz++ zukünftig mit Satzschablonen erstellt, die wie folgt aussehen:

{Praktik} [für {Zielobjekt}] {MODALVERB} <Ergebnis> {Handlungswort} (TAGs) (Hinweise)

Praktik: Ein Prozess im Rahmen des ISMS, eine konkrete Sicherheitsmaßnahme oder eine allgemeine Vorgehensweise zur Erreichung eines Sicherheitsziels (z.B. IT-Betrieb, Personal, Konfiguration) - Im weitesten Sinne vergleichbar mit den bisherigen Bausteinen.

Zielobjekt: Wie bisher, das Objekt oder die Entität, auf die sich die Sicherheitsanforderungen beziehen. (z.B. Daten, Personen, Endgeräte, Hostsysteme)

Modalverb: Gibt die Verbindlichkeit einer Anforderung an (z.B. MUSS, SOLLTE, KANN).

Ereignis: Der sicherheitsrelevante Zustand oder Auslöser, der zu einer bestimmten Handlung führt - Entspricht in Verbindung mit dem Handlungswort dem wesentliche Inhalt der Anforderung.

Handlungswort: Das Verb, das die konkrete Sicherheitsmaßnahme oder Art der Tätigkeit beschreibt (regeln, zuweisen, konfigurieren). Handlungsworte können auch zur besseren Filterung genutzt werden.

Das ganze kann noch mit TAGs für eine bessere Gruppierung und mit einem Hinweis zu weiterführenden Informationen ergänzt werden.

Die bisherigen Anforderungen des Kompendium werden aktuell in ihre Teilanforderungen zerlegt und jede Teilanforderung wird zukünftig eine eigene Anforderung. D.h. jedes Modalverb (SOLL, MUSS, KANN) der bisherigen Anforderungen stellt zukünftig i.d.R. eine eigene Anforderung dar. Die Gesamtanzahl der Anforderungen soll dabei durch die Vermeidung von Redundanzen dennoch sinken.

Beispiel

Die Anforderung:

ISMS.1.A4 Benennung eines oder einer Informationssicherheitsbeauftragten (B) [Institutionsleitung]

Die Institutionsleitung MUSS einen oder eine ISB benennen. . . .

Die Institutionsleitung MUSS den oder die ISB mit angemessenen Ressourcen ausstatten.

Die Institutionsleitung MUSS dem oder der ISB die Möglichkeit einräumen, bei Bedarf direkt an sie selbst zu berichten. . . .

Wird jetzt zu den Anforderungen:

GOV.4.2: Die Governance MUSS einer Person die Rolle ISB zuweisen.

GOV.2.3: Die Governance MUSS für das ISMS erforderliche personelle, finanzielle und zeitliche Ressourcen zuweisen.

GOV.4.4: Die Governance MUSS dem ISB das direkte und jederzeitige Vorspracherecht bei der Institutionsleitung ermöglichen.

Da dies übergreifende Anforderungen sind, ist hier kein spezifisches Zielobjekt benannt.

Einzelne Teilanforderungen können auch in anderen Praktiken beschrieben sein.

Priorisierung

Alle Anforderungen werden einer Prioritätsstufe zugeordnet, um die Umsetzung effizient zu gestalten:

• Stufe 0: Zwingend (sofort) umzusetzende Anforderungen zur Sicherstellung der ISO-Kompatibilität (MUSS-Anforderungen).

Die Stufen 1-4 geben den Umsetzungsaufwand der Anforderungen wieder:

• Stufe 1: Schnell und mit geringem Aufwand (~1 Tag) realisierbare Maßnahmen (QuickWin) / keine laufenden Aufwände.
• Stufe 2: Mit eigenen Mitteln leicht umsetzbare Anforderung (~1 Woche) / geringe laufende Aufwände.
• Stufe 3: Mit normalem Aufwand (mehrere Wochen) und ggf. externer Unterstützung umsetzbar / normale laufende Aufwände.
• Stufe 4: Höherer Umsetzungsaufwand, häufig in längerfristigen Projekten mit externen Experten.

Die nächste Stufe sind optionale Anforderungen als Vorschläge bei erhöhtem Schutzbedarf.

• Stufe 5: Umfassende/zusätzliche Anforderungen für höheren Schutzbedarf.

Diese Einstufung ermöglicht eine schnelle Einschätzung des Umsetzungsaufwands und hilft bei der effizienten Ressourcenplanung.

Leistungskennzahlen

Leistungskennzahlen dienen der Messung und Bewertung der Umsetzung von Sicherheitsanforderungen im IT-Grundschutz. Sie ermöglichen eine objektive Einschätzung des Sicherheitsniveaus und unterstützen die kontinuierliche Verbesserung.

Bewertungskriterien

Jede Anforderung wird in Bezug auf die drei Schutzziele bewertet:

• Vertraulichkeit (C)
• Integrität (I)
• Verfügbarkeit (A)

Anforderungen erhalten Punktwerte in diesen Kategorien, die zur Bestimmung des Schutzgrades genutzt werden (z.B. C=6, I=2, A=0 ist eine Anforderung die im Wesentlichen die Vetraulichkeit stärkt, in Teilen die Intgrität aber nicht die Verfügbarkeit).

Die einzelen Kennzahlen werden je Schutzziel, Praktik und/oder Zielobjekt aufsummiert und ergeben so den Erfüllungsgrad.

Schwellwerte und Erfüllungsgrad

• Schwellwerte definieren das angestrebte Sicherheitsniveau basierend auf der Summe der Punktwerte aller umgesetzten Anforderungen je Schutzziel, Zielobjekt und Schutzstufe.
• Der Erfüllungsgrad zeigt, welche Anforderungen bereits umgesetzt wurden.

Die Leistungskennzahlen bieten damit eine fundierte Entscheidungsgrundlage für Organisationen, um ihren Sicherheitsstatus gezielt zu verbessern.

Was bleibt erhalten?

Standards und Vorgehen

Trotz eines deutlich anderen Formats und einer anderen Gruppierung der Anforderungen bleibt das grundsätzliche Vorgehen erst einmal unverändert.

D.h. die Standards 200-1 bis 200-4 sollen erst einmal weiter Verwendung finden. Die bisher üblichen Arbeitsschritte:

1. Festlegung des Geltungsbereichs
2. Strukturanalyse
3. Schutzbedarfsfeststellung
4. Modellierung
5. IT-Grundschutzcheck (GSC)
6. Risikoanalyse

bleiben erhalten und ändern sich nur geringfügig in der praktischen Anwendung (insbesondere in der Modellierung und den Grundschutzchecks).

MUSS-Anforderungen sind weiterhin verpflichtend für eine Zertifizierung.

SOLLTE-Anforderungen bleiben auch weiter grundsätzlich verpflichtend, können aber ggf. mit angemessener Begründung oder Ersatzmaßnahmen wegdiskutiert werden.

Lediglich KANN-Anforderungen sind optional.

Tool-Einsatz

Auch der Einsatz von ISMS-Tools wird weiterhin Bestand haben. Alle größeren Tool-Hersteller arbeiten mit Hochdruck an der Integration von Grundschutz++ in ihre Tools. Hier wird es perspektivisch Erleichterungen durch einen leichteren Datenaustausch zwischen den Tools und mehr Automatisierungspotential geben.

Offenen Punkte und Kritiken

Zu viele Beteiligte, unklare Zuständigkeiten

Die Weiterentwicklung des Grundschutzes wird inzwischen nicht mehr ausschließlich vom Grundschutz-Referat des BSI verantwortet. Mit dem Einstieg des Referats „Stand der Technik“ und der verstärkten Einbindung der „Community“ sind die Zuständigkeiten und Verantwortlichkeiten unklarer geworden. In Präsentationen und Veröffentlichungen werden die Rollen und Aufgaben der verschiedenen Beteiligten unterschiedlich dargestellt. Es fehlt eine klare, kommunizierte Schnittstelle, wer für welche Aspekte der Entwicklung, Pflege und Kommunikation des neuen Standards verantwortlich ist. Das erschwert für Anwendende die Orientierung und die Planung der eigenen Umsetzungsstrategie.

Unklare Umsetzung einiger Ziele

Einige der im Grundschutz++ adressierten Ziele und Neuerungen sind bislang nicht ausreichend konkretisiert. Besonders die Einführung von Leistungskennzahlen und die Priorisierung der Anforderungen (Stufen) werfen noch viele Fragen auf. Die konkrete Bedeutung, Messung und praktische Umsetzung dieser Leistungskennzahlen werden von verschiedenen BSI-Vertretern unterschiedlich dargestellt. Auch die Stufenmodelle zur Priorisierung der Anforderungen sind in ihrer praktischen Anwendung noch nicht abschließend geklärt. Das führt zu Unsicherheiten, wie diese neuen Instrumente im einem ISMS umgesetzt und nachgewiesen werden sollen.

Geringer Mehrwert im Vergleich zu ISO 27001

Die Anforderungen im Grundschutz++ werden zunehmend an die Formulierungen und Strukturen der ISO 27001 angeglichen. Während der klassische IT-Grundschutz durch seine konkreten, praxisnahen Maßnahmen einen klaren Mehrwert gegenüber der eher abstrakten ISO 27001 bot, verliert er durch die Harmonisierung mit internationalen Standards zunehmend diesen Vorteil. Die Anforderungen werden stärker modularisiert formuliert, wodurch der spezifische Bezug zu typischen Umsetzungsbeispielen und die Detailtiefe abnehmen. Für viele Organisationen wird sich daher die Frage stellen, warum sie den immer noch aufwändigeren Weg über den Grundschutz wählen sollten, wenn sie mit ähnlichem oder geringeren Aufwand direkt eine ISO 27001-Zertifizierung anstreben können.

Zu ambitionierter Zeitplan

Der Grundschutz++ soll ab dem 1.1.2026 grundsätzlich einsatzbereit sein, wobei eine nicht näher definierte Übergangsphase vorgesehen ist. Angesichts der Vielzahl an noch offenen Fragen, der fehlenden Migrationsstrategie und der Komplexität der Änderungen erscheint der Zeitplan als zu ambitioniert. Insbesondere wenn man die Urlaubs- und Weihnachtszeit abzieht, verbleibt für die Vorbereitung, Ausarbeitung und Dokumentation nur ein knappes halbes Jahr. Eine Pilotierung und Einführung ist hier noch nicht mitgerechnet. Die Gefahr besteht, dass Organisationen unter Zeitdruck unzureichend vorbereitet in die neue Systematik wechseln, was die Akzeptanz und Qualität der Umsetzung gefährdet.

Zunehmende (Sicherheits-)Lücke zwischen Grundschutz und Grundschutz++

Mit der Entscheidung des BSI, den bisherigen IT-Grundschutz (Edition 2023) nicht mehr weiterzuentwickeln und stattdessen auf das neue Grundschutz++-Modell zu setzen, entsteht eine wachsende Lücke in der Informationssicherheit. Diese Übergangsphase ist sicherheitstechnisch kritisch, da sich die Bedrohungslage in der IT nicht an Entwicklungszyklen von Sicherheitsstandards orientiert. Neue Angriffsvektoren, insbesondere durch den zunehmenden Einsatz von KI in der Cyberkriminalität (z.B. KI-gestützte Malware, Deepfakes, automatisierte Phishing-Kampagnen), entstehen kontinuierlich und erfordern zeitnahe, wirksame Gegenmaßnahmen. Der bisherige Grundschutz bildet diese aktuellen Bedrohungen und technologische Entwicklungen jedoch nicht mehr ab, während die spezifischen Module und Maßnahmen im Grundschutz++ noch nicht verfügbar oder praxistauglich sind.

Fehlende Migration vom Grundschutz-Kompendium zu Grundschutz++

Aktuell existiert weder ein konkreter Plan noch ein Konzept für eine (teil-)automatisierte Migration bestehender Sicherheitskonzepte aus dem bisherigen Grundschutz-Kompendium in das neue Grundschutz++-Modell. Die Umstellung auf ein maschinenlesbares JSON/OSCAL-Format und die objektorientierte, prozessorientierte Struktur bedeuten einen fundamentalen Bruch mit bisherigen Strukturen. Die Unterschiede zwischen Grundschutz-Kompendium und Grundschutz++ sind gravierender als beim letzten Wechsel von den Grundschutz-Katalogen zum Kompendium, bei dem bereits alle Ansätze für eine automatisierte Migration weitgehend gescheitert sind. Auch diesmal ist absehbar, dass Organisationen ihre bestehenden Dokumentationen und Umsetzungen weitgehend manuell neu abbilden müssen, was insbesondere für größere Verbünde einen erheblichen Zusatzaufwand bedeutet.

Fazit

Ein abschließendes Bild zum Grundschutz++ lässt sich aktuell noch nicht zeichnen – viele Details sind noch in der Entwicklung.

Die grundlegende Modernisierung des IT-Grundschutzes durch das Grundschutz++-Projekt ist zwar fachlich und technologisch nachvollziehbar und adressiert viele Schwächen des bisherigen Systems. Die Umsetzung ist jedoch nach jetzigem Entwicklungsstand mit erheblichen Risiken und Unsicherheiten verbunden. Ohne klare Migrationspfade, eindeutige Zuständigkeiten und praxistaugliche Konkretisierungen der neuen Instrumente besteht die Gefahr, dass die Akzeptanz des Grundschutzes sinkt und Organisationen sich vermehrt alternativen Standards wie der ISO 27001 zuwenden. Ein realistischer Zeitplan und ein echter Mehrwert des neuen Standards sind daher essenziell für den Erfolg der Reform.

Der Artikel wird fortlaufend aktualisiert, sobald neue Informationen vom BSI veröffentlicht oder freigegeben werden.

Weiterführende Informationen

• BSI IT-Grundschutz
• 30 Jahre IT-Grundschutz: Gestern, heute, morgen (Folien und Aufzeichnung des Vortrags) - itsa 2024
• Aktuelle Entwicklungen und Ausblick zum IT-Grundschutz - 1. Grundschutztag 2025
• Keynote: Fortentwicklung des IT-Grundschutzes zu IT-Grundschutz++ (verinice.XP 2025)