Mit dem Projekt Grundschutz++ modernisiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) den etablierten IT-Grundschutz grundlegend. Ziel ist es, das bisher überwiegend dokumentenbasierte Regelwerk schrittweise durch eine strukturierte, maschinenlesbare Form zu erweitern und damit eine stärker digital integrierte Informationssicherheit zu ermöglichen.
Doch was bedeutet der IT-Grundschutz++ konkret für Unternehmen und Behörden? In diesem Artikel erklären wir, welche Neuerungen der IT-Grundschutz++ mit sich bringt, wie der aktuelle Umsetzungsstand aussieht und worauf Organisationen bereits heute achten sollten.
Was ist der IT-Grundschutz++?
Der Grundschutz++ ist die digitale Weiterentwicklung des etablierten BSI IT-Grundschutzes. Er unterstützt Unternehmen und Behörden beim Aufbau und Betrieb eines modernen Informationssicherheitsmanagementsystems (ISMS). Ziel ist eine stärker prozess- und datenorientierte Informationssicherheit, die sich flexibel an unterschiedliche Organisations- und IT-Strukturen anpassen lässt.
Zu den zentralen Merkmalen des IT-Grundschutz++ gehören:
- Maschinenlesbares Regelwerk: Sicherheitsanforderungen werden künftig in strukturierter Form, beispielsweise als JSON-basierte Datenmodelle, bereitgestellt. Dadurch lassen sich Compliance-Prüfungen, Auswertungen und Tool-Integrationen perspektivisch stärker automatisieren.
- Modularer Aufbau: Die bisherigen textbasierten Bausteine werden durch klar definierte und modular aufgebaute Elemente ergänzt. Das minimiert Redundanzen und erleichtert eine toolgestützte Umsetzung.
- Stärkere Prozessorientierung: Klar definierte und strukturierte Anforderungen unterstützen die wirksame Integration der Informationssicherheit in bestehende Governance‑, Risiko‑ und Compliance‑Prozesse und gewährleisten zugleich die Anschlussfähigkeit an etablierte Standards wie die ISO/IEC 27001.
Welche Neuerungen bringt der IT-Grundschutz++?
Mit der Abkehr von statischen Katalogen schafft das BSI neue Möglichkeiten für die Modellierung von Informationsverbünden. Zu den wichtigsten Neuheiten zählen:
- Strukturierte und modulare Anforderungen: Sicherheitsanforderungen werden als strukturierte Datensätze bereitgestellt, was ihre Weiterverarbeitung in ISMS-Tools erleichtert, und eine konsistente Modellierung unterstützt.
- Strukturierte Priorisierung und Bewertung: Durch strukturierte Attribute und Metadaten werden Anforderungen leichter bewertbar, priorisierbar und flexibel in unterschiedlichen Organisationskontexten einsetzbar.
- Datenbasierte Bewertung der Wirksamkeit: Der IT-Grundschutz++ bildet die Grundlage für eine kennzahlenbasierte Bewertung von Sicherheitsmaßnahmen. Dadurch unterstützt er eine datenbasierte Steuerung von Risiken im ISMS.
- Referenz- und Anforderungsprofile: Vordefinierte Referenzprofile unterstützen Organisationen bei der Modellierung ihres Informationssicherheitsmanagements und dienen dabei als flexibel anpassbare Grundlage.
Welche Vorteile hat der IT-Grundschutz++ für Unternehmen?
Unternehmen, die sich frühzeitig mit dem IT-Grundschutz++ befassen, profitieren langfristig von mehreren Vorteilen:
- Höhere Automatisierung: Die strukturierte und maschinenlesbare Darstellung ermöglicht eine reibungslose und weitgehend automatisierte Integration in ISMS-Tools.
- Größere Flexibilität: Der modulare Aufbau erleichtert die Anpassung an unterschiedliche IT-Landschaften und Organisationsstrukturen.
- Mehr Transparenz: Strukturierte Daten verbessern Reporting, Auditvorbereitung und fundierte Managemententscheidungen.
Aktueller Stand und Handlungsempfehlung
Der IT-Grundschutz++ befindet sich aktuell in einer mehrjährigen Einführungs- und Übergangsphase. Der klassische IT-Grundschutz bleibt weiterhin gültig und zertifizierbar.
Für Unternehmen besteht kein unmittelbarer Migrationsdruck. Dennoch empfiehlt es sich, bei der Auswahl oder Weiterentwicklung von ISMS-Tools sowie bei anstehenden Re-Zertifizierungen bereits die zukünftige Unterstützung strukturierter, maschinenlesbarer Anforderungen einzuplanen.
Fazit: IT-Grundschutz++ als Fundament eines digitalen ISMS
Mit dem IT-Grundschutz++ stellt das BSI die Weichen für ein digital integriertes Informationssicherheitsmanagement. Die Umstellung auf strukturierte, maschinenverarbeitbare Anforderungen ermöglicht mehr Effizienz, bessere Steuerbarkeit und langfristige Automatisierung im ISMS. Unternehmen, die sich frühzeitig mit dem IT-Grundschutz++ befassen, sichern sich strategische Vorteile in Governance, Risk & Compliance.