Grundschutz++Migration

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
Under construction icon-blue.png Diese Seite ist derzeit noch ein Entwurf.

Weitere Informationen sowie Diskussionen über Änderungen an diesem Entwurf gibt es evtl. auf der Diskussion-Seite.

Die Einführung von Grundschutz++ im Januar 2026 markiert einen grundlegenden Wandel für Unternehmen und Institutionen, die bislang auf klassischen IT-Grundschutz nach BSI gesetzt haben. Diese Seite beschreibt die wichtigsten Herausforderungen bei der Migration auf das neue, OSCAL/JSON-basierte und prozessorientierte Regelwerk. Im Vordergrund stehen der Abgleich alter und neuer Methodik, die Bewertung des zu erwartenden Umsetzungsaufwands, hilfreiche Strategien zur Vorbereitung und Durchführung sowie konkrete Handlungsempfehlungen für alle relevanten Phasen der Migration – von der Bestandsaufnahme bis zur vollständigen Auditierung. Alle Informationen basieren auf dem aktuellen Entwicklungsstand sowie anerkannten Fachquellen.

Ausgangslage: Aktuelle vs. neue Methodik

  • Der klassische IT-Grundschutz basiert auf statischen Bausteinen, festen Katalogen (PDF/Excel), drei Schutzstufen und klaren Zuordnungslisten. Basis sind die BSI-Standards 200-1 bis 200-3, die Methoden und Vorgehen für Geltungsbereich, Strukturanalyse, Schutzbedarfsfeststellung, Modellierung, Grundschutz-Check und Risikoanalyse vorschreiben.
  • Grundschutz++ stellt ab 2026 radikal auf ein modulares, prozessorientiertes System mit OSCAL/JSON-Struktur um. Die Anforderungshierarchie wird granularer (Praktiken, Zielobjekte, Teilanforderungen), Redundanzen werden eliminiert, die Pflege dynamisch, Leistungskennzahlen und Prioritäten werden eingeführt. Die Methodik bleibt grundsätzlich erhalten, die Umsetzung jedoch wird teils automatisierbar, verlangt aber tiefgreifend neue Toollandschaften und Umdenkprozesse.

Herausforderungen der Migration

  • Strukturbruch: Mengenmäßig und konzeptionell unterscheiden sich Anforderungen und Modellierung deutlich (von Bausteinen/Schichten zu Praktiken und objektbasierten Modulen). Alte Zuordnungen sind meist nur bedingt übertragbar (keine 1:1-Mappings, häufige Umstrukturierungen).
  • Fehlende Automatisierung: Eine automatische, verlustfreie Migration existiert nicht – jede Fachanforderung/Kontrolle muss individuell, meist manuell, neu bewertet und dokumentiert werden (möglicherweise mit Unterstützung durch KI).
  • Datenformate/Tools: Wechsel auf JSON/OSCAL verlangt Anpassungen und Updates sämtlicher genutzter ISMS- und ggf. Risikomanagement-Tools. Übergangsweise fehlen Schnittstellen und Exporte. Alte Tools können meist keine semantischen Übersetzungen liefern.
  • Aufwand Abschätzung: Der initiale Migrationsaufwand hängt stark von der Zahl der Zielobjekte, dem Komplexitätsgrad und davon ab, wie „nah am Standard“ das bisherige ISMS geführt wurde. Individuell abweichende Modellierungen, Customizing und Altsysteme verursachen signifikant Mehraufwand.
  • Doppelpflege in der Übergangsphase: Während der Transition müssen ggf. zwei Stände synchron gepflegt werden, um sowohl laufende Zertifizierungspflichten als auch neue Grundschutz++-Anforderungen zu erfüllen (Auditierbarkeit, Kontinuität).
  • Fehlende Migrationsstrategien/Begleitinformationen: Die neue Struktur und Zergliederung der (Teil-)Anforderungen, inhaltliche Neuerungen und Kontextwechsel (z.B. aus Redundanzen) können bislang nur manuell umgesetzt werden.

Migrationsstrategie: Phasen und empfohlene Maßnahmen

1. Frühzeitige Bestandsaufnahme & Konsolidierung

  • Analyse des aktuellen Umsetzungsstands je Zielobjekt/Asset, möglichst auf Ebene einzelner Teilanforderungen (mit Dokumentation aller MUSS/SOLL/KANN-Nachweise getrennt für jede Instanz).
  • Auflösung redundanter und historisch gewachsener Strukturen, klare Gruppierung der Assets/Zielobjekte nach aktuellem Betriebsmodell.
  • Konsolidierte Zuordnung und Mapping zu bestehenden Grundschutz-Praktiken.

2. Mapping und Bewertung der Anforderungen

  • Nutzung und kritische Analyse ggf. zukünftig angebotenen Migrationshilfen und Tabellen zur Zuordnung bestehender Maßnahmen/Anforderungen zu Grundschutz++ Praktiken (bisher nicht verfügbar).
  • Identifikation fehlender, neuer oder anders formulierter Anforderungen: Welche Maßnahmenpunkte sind entfallen, welche sind neu, welche wurden nur sprachlich restrukturiert?
  • Bewertung und Priorisierung der Differenzen: Welche müssen zwingend zu Beginn (Stufe 0 und 1), welche mittelfristig umgesetzt werden?

3. Tool- und Prozess-Umstellung

  • Kontaktaufnahme und Abgleich mit Herstellern der eingesetzten ISMS-Tools betreffend Grundschutz++-Kompatibilität, geplante Schnittstellen (JSON/OSCAL) und Erprobung der neuen Prozesse.
  • Export/Backup alter Datenstrukturen; Aufbau einer Prototyp-Instanz/Entwicklungsumgebung zum Test neuer Modellierungen.
  • Parallelpflege der Alt- und Neuansichten während der Übergangszeit und Aufbau von Reports (Synchronisierung der Nachweise für Audits).

4. Pilotierung und schrittweise Migration

  • Durchführung einzelner Pilotmigrationen (z.B. für ausgewählte Verbünde oder Bereiche), um Prozesse, Workflows und Tool-Funktionen zu validieren und Lessons Learned zu sammeln.
  • Iterative Anpassung der eigenen Umsetzungsstrategie nach ersten Erfahrungswerten, insbesondere hinsichtlich der Auswirkungen auf den Dokumentationsumfang, den Pflegeaufwand und die Auditierbarkeit.
  • Schulung und begleitende Kommunikation für das gesamte ISMS-Team/alle Rollen, um Change-Akzeptanz und Know-how sicherzustellen.

5. Ganzheitliche Umstellung und Abschluss

  • Vollständige Überführung aller Zielobjekte und ISMS-Elemente, Migration der Nachweise und historischer Schutzbedarfe sowie Abschluss aller offenen Adaptionspunkte aus den vorherigen Phasen.
  • Durchführung eines abschließenden internen Audits nach Grundschutz++, um die vollständige Umsetzung und Auditierbarkeit für Zertifizierungen zu gewährleisten.

Weitere Empfehlungen

  • Laufende Information über den Reifegrad und die Verfügbarkeit von Umsetzungsleitfäden, offiziellen Hilfsmitteln und Schnittstellen.
  • Engmaschige Projekt-Dokumentation der Umstellung zur Nachvollziehbarkeit für spätere Re-Audits und externe Anfragen.
  • Frühzeitig externe Ressourcen mit Migrationserfahrung einbinden, um typische Migrationsfehler und höhere Reibungsverluste zu vermeiden.

Fazit

Die Migration von IT-Grundschutz (Kompendium/Kataloge) zu Grundschutz++ ist ein komplexes Change-Projekt, das ein detailliertes Mapping, intensive Tool-Anpassung sowie hohe Prozessdisziplin voraussetzt. Ein direktes und fehlerfreies Übersetzen der bestehenden Umsetzung ist nicht möglich; viele Nachweispflichten müssen neu bewertet und gepflegt werden. Eine strukturierte, schrittweise und ressourcengestützte Umstellung ist essenziell, um Compliance und Sicherheitsniveau während und nach der Übergangsphase sicherzustellen.

Abgerufen von „https://wiki.isms-ratgeber.info/index.php?title=Grundschutz%2B%2BMigration&oldid=1871