Was ist der IT-Grundschutz++?

Der Grundschutz++ ist ein erweitertes und neues Konzept des IT-Grundschutzes des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Es dient dazu, Unternehmen bei der Implementierung von IT-Sicherheitsmaßnahmen zu unterstützen, indem es eine strukturierte und pragmatische Vorgehensweise bietet. Der Fokus liegt auf der Identifikation von Bedrohungen, der Risikobewertung und der Entwicklung effektiver Sicherheitsstrategien. Ziel ist es, die IT-Sicherheit nachhaltig zu verbessern und an die spezifischen Bedürfnisse der Organisationen anzupassen.

Wichtigsten Erkenntnisse:

  • Digitale Transformation ab 2026: Der IT-Grundschutz++ wird am 1. Januar 2026 eingeführt und löst das bisherige PDF-basierte Kompendium durch ein maschinenlesbares JSON-Format ab.
  • Drastische Effizienzsteigerung: Die neue objektorientierte Struktur mit Punktesystem für Vertraulichkeit, Integrität und Verfügbarkeit ersetzt die starren Schutzbedarfskategorien.
  • Praktische Umsetzung mit Übergangsfrist: Es gibt eine mehrjährige Übergangsfrist für parallelen Betrieb beider Versionen.
Was ist der Grundschutz++ und wann wird der Grundschutz++ vom BSI veröffentlicht?

Kernziele des Grundschutz++

  • Höherer Automatisierungsgrad: Die Bausteine des Grundschutzkompendiums (GSK) sollen zukünftig in maschinenlesbarer Form bereitgestellt werden. Im Gegensatz zum aktuellen Stand eröffnet dies neue Möglichkeiten für Automatisierungen. Eine Integration des IT-Grundschutzes in bestehende IT-Systeme soll künftig über digitale Schnittstellen und Automatisierungstools möglich sein. Diesen Fortschritt können bestehende ISMS-Tools wie die fuentis Suite 4 für sich nutzen.
  • Steigerung der Effizienz: Die effizientere und redundanzfreie Herangehensweise soll zu erheblichen Kosten- und Ressourceneinsparungen führen, wodurch sich Unternehmen und Behörden besser auf ihr Kerngeschäft konzentrieren können.
  • Deutlichere Praxisorientierung: Das Ziel ist, den IT-Grundschutz praxisnaher und benutzerfreundlicher zu gestalten. Unternehmen und Behörden sollen auf verständliche und leicht anwendbare Module zugreifen können, wobei nur die Module ausgewählt werden müssen, die für den jeweiligen Anwendungsfall relevant sind.

Vorbild: Der Weg in die Basissicherung (WiBA)

Das BSI arbeitet stets an Erweiterungen des Grundschutzkompendiums, z.B. KI- und Cloudanwendungen. In der Übergangsphase können Behörden und Unternehmen den bisherigen Grundschutz parallel zur neuen Version nutzen. Ein Beispiel für die vereinfachte Umsetzung ist das Projekt Weg in die Basissicherung (WiBA), das seit 2023 Kommunen unterstützt. Es reduziert die 111 Bausteine auf 67 und bietet praxisnahe Checklisten sowie Werkzeuge für eine effiziente Dokumentation. Das Projekt läuft parallel zu den Grundschutz-Profilen, welche den Umgang für bestimmte Anwendergruppen erleichtern.

Was ist WiBA?

Das Projekt „Weg in die Basis-Absicherung“ (WiBA) wurde ins Leben gerufen, um den Einstieg in den IT-Grundschutz für Kommunen zu erleichtern. Es zielt darauf ab, die Ressourcenanforderungen zu reduzieren, die oft als zu hoch wahrgenommen werden. Durch themenspezifische Checklisten und Prüffragen können Kommunen den aktuellen Stand ihrer Informationssicherheit erfassen und die erforderlichen Maßnahmen identifizieren, ohne umfassende Kenntnisse der Methodik haben zu müssen. Dies macht den Prozess praxisnäher und zugänglicher.

Dokumentenpyramide IT-Grundschutz von fuentis

Die neue Dokumentationsstrategie des Grundschutz++

Durch die Einführung von Grundschutz++ wird die Dokumentation von IT-Sicherheitsmaßnahmen erheblich vereinfacht. Anstelle von Prosa-Text sollen jetzt Tabellen verwendet und somit die Benutzerfreundlichkeit verbessert werden. Generell steht eine maschinenlesbare Form im Fokus, um in späteren Iterationen eine Automatisierung besser zu ermöglichen.

Mit dem Informationssicherheitsmanagementsystem (ISMS) von fuentis könnten Unternehmen bei der Umsetzung des Grundschutz++ vollständig auf Software wie Word oder Excel verzichten. Durch diese praxisnahe Anpassung würde die Umsetzung der Sicherheitsrichtlinien für Unternehmen zugänglicher und flexibler, was zu einer besseren Integration der IT-Sicherheit in den Unternehmensalltag führen würde.

Mehr zum IT-Grundschutz++

Statt jährlicher, starrer Editionen ermöglicht das neue System eine kontinuierliche, datengesteuerte Sicherheitsstrategie. Organisationen können ihren Schutzgrad objektiv bewerten, Fortschritte quantifizieren und Ressourcen gezielt dort einsetzen, wo sie den größten Sicherheitsgewinn erzielen. Das 5-Stufen-System sorgt dabei für eine skalierbare Umsetzung – vom Kleinunternehmen bis zur kritischen Infrastruktur.

Automatisierung und vereinfachte Dokumentation mit Grundschutz++

Der IT-Grundschutz++ ist aktuell, ähnlich wie die Mappingtabelle und das Excel-Tool zum WiBA strukturiert. Statt in einem Fließtext werden die Praktiken nun in prägnanten, handlungsorientierten Sätzen dargestellt, die sich als JSON-Objekte zusammenfügen lassen.

  • JSON-Objekte bieten als leichtgewichtige Syntax den Vorteil, in den meisten Programmiersprachen und Systemen einfach verarbeitet werden zu können. Diese Maschinenlesbarkeit erleichtert nicht nur die Integration und Aktualisierung, sondern auch die Versionskontrolle.

Diese Struktur ermöglicht nicht nur eine einfache Abbildung in Excel, sondern auch die Nutzung von Git für die Zusammenarbeit. Darüber hinaus plant das BSI, ein Git-Repository anzubieten, um Toolherstellern wie fuentis bei der Entwicklung von Anwendungen zur Unterstützung des IT-Grundschutzes++ zu helfen. Allerdings sind die bestehenden Kreuzreferenztabellen nicht mit dieser neuen Version kompatibel. Es gibt aktuell einen geplanten Austausch mit dem BSI.

Die Satzschablone {Praktik} [für {Zielobjekt}] {MODALVERB} {Handlungswort} bildet die Praktiken des IT-Grundschutz++ so ab, dass eine maschinelle Verarbeitung in ISMS Tools möglich ist.

Die bisherige Dokumentation des IT-Grundschutzes sind oft komplex und redundant. Deshalb werden die notwendigen Dokumentationsinformationen direkt in den Praktiken integriert. Die Dokumentationsaufwände werden mithilfe einer bereitgestellten Dokumentenpyramide thematisch strukturiert.

Wann kommt der Grunschutz++?

Die Einführung des Grundschutz++ wird schon lange erwartet. Auf der IT-Sicherheitsmesse it-sa 2024 hat das Bundesamt für Sicherheit in der Informationstechnik offiziell klargestellt, dass der Grundschutz++ nicht 2025, sondern zum 1. Januar 2026 eingeführt wird. Damit gibt es nun einen klaren Stichtag, der Unternehmen und Behörden Zeit gibt, sich auf die Neuerungen vorzubereiten.

Fazit zum Grundschutz++

Der BSI-IT-Grundschutz bekommt eine deutliche Modernisierung, die der Zeit entspricht. Effizienz, Benutzerfreundlichkeit und Automatisierung stehen im Fokus. Zu den bedeutendsten Änderungen gehört die Verwendung einer maschinenlesbaren Syntax (JSON-Objekte), sodass eine Automatisierung deutlich leichter umzusetzen ist. Ebenso soll der administrative Aufwand verringert und eine höhere Flexibilität erreicht werden. So sind Anpassungen an eine sich stetig entwickelnde Bedrohungslage möglich. Damit reagiert das BSI auf die komplexen Herausforderungen in der modernen Informationssicherheit. Der Standard IT-Grundschutz++ geht sowohl auf die Bedürfnisse der KMU als auch auf jene großer Organisationen ein und fördert als zukunftsweisender Ansatz nachhaltige Sicherheitsprozesse.

Grundschutz++ mit der fuentis Suite 4

Egal ob BSI Standard 100, 200 oder die zukünftige Entwicklung Grundschutz++, mit fuentis als Lizenzpartner des BSI sind Sie immer bestens vorbereitet. Bauen Sie noch heute ein risikobasiertes ISMS nach BSI IT-Grundschutz auf und sichern Sie sich die Vorteile eines bewährten Standards, der für höchste Informationssicherheit steht.

Jetzt weiter über NIS2 lesen
Nach oben scrollen

Entdecke mehr von fuentis

Jetzt abonnieren, um weiterzulesen und auf das gesamte Archiv zuzugreifen.

Weiterlesen