Aktuelle Entwicklungen und Ausblick zum IT-Grundschutz++

Die deutsche IT-Sicherheitslandschaft steht vor einem historischen Wandel. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt mit IT-Grundschutz++ einen völlig neuen Ansatz für Cybersicherheit – weg von starren Handbüchern, hin zu einem lebendigen, messbaren und automatisierbaren Sicherheitsframework.

Key findings:

  • Messbare Revolution: IT-Grundschutz++ macht Cybersicherheit erstmals quantifizierbar durch CIA-Kennzahlen (Vertraulichkeit, Integrität, Verfügbarkeit) und ermöglicht objektive Bewertung statt subjektiver Checklisten

  • Skalierbare Implementierung: Das 5-Stufen-System (Basis bis erhöhter Schutzbedarf) ermöglicht organisationsgrößen-spezifische Umsetzung – von Kleinunternehmen bis zu kritischen Infrastrukturen

  • Agile Community-Entwicklung: Paradigmenwechsel von jährlichen Editionen zu kontinuierlicher GitHub-basierter Weiterentwicklung mit transparenter Community-Partizipation und Continuous Compliance

Der Paradigmenwechsel: Von statisch zu dynamisch

Jahrzehntelang prägten jährliche IT-Grundschutz-Editionen die deutsche Sicherheitslandschaft. Doch die rasante Entwicklung von Cyberbedrohungen und neuen Technologien macht diesen traditionellen Ansatz obsolet. IT-Grundschutz++ bricht mit diesem Muster und führt erstmals kontinuierliche Weiterentwicklung ein.

Die Vision ist revolutionär: Cybersicherheit wird mess- und automatisierbar. Statt statischer Checklisten entstehen priorisierte, maschinenlesbare Regeln in kontinuierlichen PDCA-Zyklen. Dies ermöglicht es Organisationen, ihre Sicherheitsstrategie datengesteuert zu optimieren.

Die drei Kernneuerungen von IT-Grundschutz++

Das innovative 5-Stufen-System

IT-Grundschutz++ führt ein durchdachtes Stufensystem ein, das Sicherheitsanforderungen nach Organisationsgröße und Schutzbedarf strukturiert:

  • Stufe 1: Basis-Schutz für alle Organisationen gegen häufige Bedrohungen
  • Stufe 2: Erweiterte Anforderungen für Kleinunternehmen gegen typische Sicherheitsvorfälle
  • Stufe 3: KMU-taugliche Sicherheitsmaßnahmen, praxisnah umsetzbar
  • Stufe 4: Umfassende Anforderungen für Bundesbehörden und große Unternehmen
  • Stufe 5: Kann-Anforderungen für erhöhten Schutzbedarf

Dieses System ermöglicht eine skalierbare Herangehensweise: Organisationen implementieren zunächst die für sie relevante Grundstufe und erweitern schrittweise ihren Schutz.

Messbare Cybersicherheit durch Kennzahlen

Ein Kernmerkmal von IT-Grundschutz++ ist die Quantifizierung von Sicherheit. Jede Anforderung erhält Punktwerte für die CIA-Triade:

  • Vertraulichkeit (Confidentiality)
  • Integrität (Integrity)
  • Verfügbarkeit (Availability)

Diese Kennzahlen zeigen objektiv, wie effektiv eine Maßnahme bei der Behandlung spezifischer Gefährdungen ist. Schwellwerte für jede Stufe definieren erreichbare Zielwerte, während der Erfüllungsgrad den tatsächlichen Sicherheitsstatus widerspiegelt.

Erstmals können Organisationen ihren Cyber-Reifegrad wissenschaftlich messen, Fortschritte dokumentieren und Investitionen gezielt dort tätigen, wo sie den größten Sicherheitsgewinn erzielen.

Mehr zum IT-Grundschutz++

Statt jährlicher, starrer Editionen ermöglicht das neue System eine kontinuierliche, datengesteuerte Sicherheitsstrategie. Organisationen können ihren Schutzgrad objektiv bewerten, Fortschritte quantifizieren und Ressourcen gezielt dort einsetzen, wo sie den größten Sicherheitsgewinn erzielen. Das 5-Stufen-System sorgt dabei für eine skalierbare Umsetzung – vom Kleinunternehmen bis zur kritischen Infrastruktur.

Community-getriebene Entwicklung auf GitHub

IT-Grundschutz++ verabschiedet sich von isolierter Standardentwicklung. Stattdessen setzt das BSI auf transparente, community-basierte Weiterentwicklung über GitHub:

  • Offene Datenformate: Downloads in JSON und XLSX für flexible Integration
  • Agile Updates: Kontinuierliche Verbesserungen statt jährlicher Großreleases
  • Partizipation: Issues, Pull Requests und Discussions ermöglichen aktive Mitgestaltung
  • Versionierung: Branches gewährleisten Stabilität bei gleichzeitiger Dynamik

Diese Transparenz macht IT-Grundschutz++ zum ersten truly agilen Sicherheitsstandard Deutschlands.

Automatisierung in der Praxis: Das Ende manueller Compliance

IT-Grundschutz++ denkt ISMS-Automatisierung in drei aufeinander aufbauenden Phasen:

  1. Erfassung: Automatische Inventarisierung von Systemen, Daten und Lieferanten
  2. Integration: Einbettung in CI/CD-Pipelines durch Smart Standards und Smart Contracts
  3. Aufrechterhaltung: Kontinuierliches Compliance-Monitoring mit automatischer Sperrung und Alarmierung

Intelligente Metadaten ermöglichen präzise Filterung nach Praktiken, Zielobjekten und Handlungsworten. Organisationen sehen genau die Anforderungen, die für ihre aktuelle Situation relevant sind – personalisierte Cybersicherheit wird Realität.

Der Paradigmenwechsel von punktuellen Audits zu Continuous Compliance revolutioniert das ISMS-Management grundlegend.

Aktueller Entwicklungsstand: Wo steht IT-Grundschutz++ heute?

Die Transformation von der statischen Edition 2023 zum dynamischen IT-Grundschutz++ macht beeindruckende Fortschritte. Während die letzte Edition etwa 1.800 Objekte umfasste, wächst das neue Kompendium bereits auf über 7.500 strukturierte Elemente an.

Am 25. Februar 2025 lud das BSI zum digitalen Beteiligungsworkshop „Digitales Kompendium“. In diesem zweistündigen Online-Event können Fachexperten aus allen Bereichen:

  • The IT-Grundschutz++ Konzept kennenlernen
  • Formate zur Unterstützung und Pilotierung entwickeln
  • Commitment zur aktiven Kooperation in der Pilotphase eingehen

Weitere solcher Sessions sind geplant. Falls Sie nun offene Fragen zu dem Thema BSI IT-Grundschutz oder IT-Grundschutz++ haben, stehen wir Ihnen gerne zur Seite. Schreiben Sie uns einfach eine E-Mail.

Jetzt weiter über Grundschutz++ lesen
Scroll to Top

Discover more from fuentis

Subscribe now to keep reading and get access to the full archive.

Continue reading