What is IT-Grundschutz++?

The Grundschutz++ ist ein erweitertes und neues Konzept des IT-Grundschutzes des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Es dient dazu, Unternehmen bei der Implementierung von IT-Sicherheitsmaßnahmen zu unterstützen, indem es eine strukturierte und pragmatische Vorgehensweise bietet. Der Fokus liegt auf der Identifikation von Bedrohungen, der Risikobewertung und der Entwicklung effektiver Sicherheitsstrategien. Ziel ist es, die IT-Sicherheit nachhaltig zu verbessern und an die spezifischen Bedürfnisse der Organisationen anzupassen.

Key findings:

  • Digitale Transformation ab 2026: Der IT-Grundschutz++ wird am 1. Januar 2026 eingeführt und löst das bisherige PDF-basierte Kompendium durch ein maschinenlesbares JSON-Format ab.
  • Drastische Effizienzsteigerung: Die neue objektorientierte Struktur mit Punktesystem für Vertraulichkeit, Integrität und Verfügbarkeit ersetzt die starren Schutzbedarfskategorien.
  • Praktische Umsetzung mit Übergangsfrist: Es gibt eine mehrjährige Übergangsfrist für parallelen Betrieb beider Versionen.
Was ist der Grundschutz++ und wann wird der Grundschutz++ vom BSI veröffentlicht?

Kernziele des Grundschutz++

  • Höherer Automatisierungsgrad: Die Bausteine des Grundschutzkompendiums (GSK) sollen zukünftig in maschinenlesbarer Form bereitgestellt werden. Im Gegensatz zum aktuellen Stand eröffnet dies neue Möglichkeiten für Automatisierungen. Eine Integration des IT-Grundschutzes in bestehende IT-Systeme soll künftig über digitale Schnittstellen und Automatisierungstools möglich sein. Diesen Fortschritt können bestehende ISMS-Tools wie die fuentis Suite 4 für sich nutzen.
  • Steigerung der Effizienz: Die effizientere und redundanzfreie Herangehensweise soll zu erheblichen Kosten- und Ressourceneinsparungen führen, wodurch sich Unternehmen und Behörden besser auf ihr Kerngeschäft konzentrieren können.
  • Deutlichere Praxisorientierung: Das Ziel ist, den IT-Grundschutz praxisnaher und benutzerfreundlicher zu gestalten. Unternehmen und Behörden sollen auf verständliche und leicht anwendbare Module zugreifen können, wobei nur die Module ausgewählt werden müssen, die für den jeweiligen Anwendungsfall relevant sind.

Role model: The path to basic security (WiBA)

Das BSI arbeitet stets an Erweiterungen des Grundschutzkompendiums, z.B. KI- und Cloudanwendungen. In der Übergangsphase können Behörden und Unternehmen den bisherigen Grundschutz parallel zur neuen Version nutzen. Ein Beispiel für die vereinfachte Umsetzung ist das Projekt Weg in die Basissicherung (WiBA), das seit 2023 Kommunen unterstützt. Es reduziert die 111 Bausteine auf 67 und bietet praxisnahe Checklisten sowie Werkzeuge für eine effiziente Dokumentation. Das Projekt läuft parallel zu den Grundschutz-Profilen, welche den Umgang für bestimmte Anwendergruppen erleichtern.

What is WiBA?

Das Projekt „Weg in die Basis-Absicherung“ (WiBA) wurde ins Leben gerufen, um den Einstieg in den IT-Grundschutz für Kommunen zu erleichtern. Es zielt darauf ab, die Ressourcenanforderungen zu reduzieren, die oft als zu hoch wahrgenommen werden. Durch themenspezifische Checklisten und Prüffragen können Kommunen den aktuellen Stand ihrer Informationssicherheit erfassen und die erforderlichen Maßnahmen identifizieren, ohne umfassende Kenntnisse der Methodik haben zu müssen. Dies macht den Prozess praxisnäher und zugänglicher.

Dokumentenpyramide IT-Grundschutz von fuentis

The new documentation strategy for Grundschutz++

The introduction of Grundschutz++ wird die Dokumentation von IT-Sicherheitsmaßnahmen erheblich vereinfacht. Anstelle von Prosa-Text sollen jetzt Tabellen verwendet und somit die Benutzerfreundlichkeit verbessert werden. Generell steht eine maschinenlesbare Form im Fokus, um in späteren Iterationen eine Automatisierung besser zu ermöglichen.

With the Information Security Management System (ISMS) from fuentis könnten Unternehmen bei der Umsetzung des Grundschutz++ vollständig auf Software wie Word oder Excel verzichten. Durch diese praxisnahe Anpassung würde die Umsetzung der Sicherheitsrichtlinien für Unternehmen zugänglicher und flexibler, was zu einer besseren Integration der IT-Sicherheit in den Unternehmensalltag führen würde.

Mehr zum IT-Grundschutz++

Statt jährlicher, starrer Editionen ermöglicht das neue System eine kontinuierliche, datengesteuerte Sicherheitsstrategie. Organisationen können ihren Schutzgrad objektiv bewerten, Fortschritte quantifizieren und Ressourcen gezielt dort einsetzen, wo sie den größten Sicherheitsgewinn erzielen. Das 5-Stufen-System sorgt dabei für eine skalierbare Umsetzung – vom Kleinunternehmen bis zur kritischen Infrastruktur.

Automatisierung und vereinfachte Dokumentation mit Grundschutz++

Der IT-Grundschutz++ ist aktuell, ähnlich wie die Mappingtabelle und das Excel-Tool zum WiBA strukturiert. Statt in einem Fließtext werden die Praktiken nun in prägnanten, handlungsorientierten Sätzen dargestellt, die sich als JSON-Objekte zusammenfügen lassen.

  • JSON-Objekte bieten als leichtgewichtige Syntax den Vorteil, in den meisten Programmiersprachen und Systemen einfach verarbeitet werden zu können. Diese Maschinenlesbarkeit erleichtert nicht nur die Integration und Aktualisierung, sondern auch die Versionskontrolle.

Diese Struktur ermöglicht nicht nur eine einfache Abbildung in Excel, sondern auch die Nutzung von Git für die Zusammenarbeit. Darüber hinaus plant das BSI, ein Git-Repository anzubieten, um Toolherstellern wie fuentis bei der Entwicklung von Anwendungen zur Unterstützung des IT-Grundschutzes++ zu helfen. Allerdings sind die bestehenden Kreuzreferenztabellen nicht mit dieser neuen Version kompatibel. Es gibt aktuell einen geplanten Austausch mit dem BSI.

The record template {practice} [for {target object}] {MODALVERB} {action word} maps the practices of IT-Grundschutz++ in such a way that automated processing in ISMS tools is possible.

Die bisherige Dokumentation des IT-Grundschutzes sind oft komplex und redundant. Deshalb werden die notwendigen Dokumentationsinformationen direkt in den Praktiken integriert. Die Dokumentationsaufwände werden mithilfe einer bereitgestellten Dokumentenpyramide thematisch strukturiert.

Wann kommt der Grunschutz++?

The introduction of Grundschutz++ has been highly anticipated. At the IT security trade fair it-sa 2024, the German Federal Office for Information Security (BSI) officially clarified that Grundschutz++ will not be introduced in 2025 but will instead launch on January 1, 2026. This clear timeline provides companies and public authorities with enough time to prepare for the upcoming changes.

Fazit zum Grundschutz++

Der BSI-IT-Grundschutz bekommt eine deutliche Modernisierung, die der Zeit entspricht. Effizienz, Benutzerfreundlichkeit und Automatisierung stehen im Fokus. Zu den bedeutendsten Änderungen gehört die Verwendung einer maschinenlesbaren Syntax (JSON-Objekte), sodass eine Automatisierung deutlich leichter umzusetzen ist. Ebenso soll der administrative Aufwand verringert und eine höhere Flexibilität erreicht werden. So sind Anpassungen an eine sich stetig entwickelnde Bedrohungslage möglich. Damit reagiert das BSI auf die komplexen Herausforderungen in der modernen Informationssicherheit. Der Standard IT-Grundschutz++ geht sowohl auf die Bedürfnisse der KMU als auch auf jene großer Organisationen ein und fördert als zukunftsweisender Ansatz nachhaltige Sicherheitsprozesse.

Grundschutz++ with fuentis Suite 4

Whether BSI Standard 100, 200 or the future development Grundschutz++, with fuentis as a license partner of the BSI you are always optimally prepared. Set up a risk-based ISMS in accordance with BSI IT-Grundschutz today and secure the benefits of a proven standard that stands for the highest level of information security.

Jetzt weiter über NIS2 lesen
Scroll to Top

Discover more from fuentis

Subscribe now to keep reading and get access to the full archive.

Continue reading