Unsere Dienstleistungen im Bereich der Informationssicherheit umfassen die Aufnahme und Beurteilung der Gefährdungen und Risiken, die sich aus dem Betrieb der Informationstechnik in Unternehmen und Behörden ergeben können. Hierbei berücksichtigen wir die für Unternehmen und Behörden relevanten Compliance-Anforderungen, wie beispielsweise das am 25. Juli 2015 in Kraft getretene IT-Sicherheitsgesetzt sowie weitere branchenspezifische Anforderungen, wie den IT-Sicherheitskatalog der Bundesnetzagentur oder die Anforderungen der Bundesanstalt für Finanzdienstleistungen (BaFin) an die IT-Sicherheit bei Banken. Als weiteren Maßstab bei unseren Analysen greifen wir auf die ISO 270xx Normenreihe sowie IT-Grundschutzkataloge zurück.Mit der nächste Generation des IT-Grundschutzes++ hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den bisherigen IT-Grundschutz umfassend weiterentwickelt. Die bekannten BSI-Standards 100, 200, 300 und 400 sowie das Kompendium werden schrittweise modernisiert und zu einem neuen, flexibleren Sicherheitsansatz im BSI Grundschutz++ weiterentwickelt.
Im Mittelpunkt des neuen Ansatzes stehen künftig stärker die tatsächlichen Geschäftsprozesse sowie Informationen und individuellen Anforderungen der jeweiligen Organisation.
Was ist der BSI Grundschutz++?
Der BSI Grundschutz++ ist die moderne Weiterentwicklung des klassischen IT-Grundschutzes. Ziel ist es, Unternehmen und Behörden eine deutlich flexiblere, skalierbare und stärker automatisierbare Umsetzung von Informationssicherheit zu ermöglichen.
Im Gegensatz zum bisherigen Ansatz definiert der Grundschutz++ zunächst verbindliche Mindestanforderungen für ein angemessenes Cybersicherheitsniveau. Aufbauend darauf können Organisationen die Anforderungen abhängig von Größe, Komplexität und Schutzbedarf individuell erweitern.
Dadurch eignet sich der Grundschutz++ sowohl für kleinere Organisationen als auch für komplexe Unternehmensstrukturen mit hohen regulatorischen Anforderungen.
Für den neuen BSI Grundschutz++ hat das BSI bereits einen Leitfaden zur Methodik des Grundschutz++ herausgebracht.
Prozessorientierter und digitaler Sicherheitsansatz
Eine wesentliche Neuerung des Grundschutz++ ist sein prozessorientierter Aufbau. Sicherheitsanforderungen werden künftig als standardisierte und maschinenlesbare Regeln beschrieben.
Dadurch können die Anforderungen:
- automatisiert verarbeitet,
- digital modelliert,
- technisch ausgewertet,
- sowie in ISMS- und Compliance-Werkzeuge integriert werden.
Die Sicherheitsanforderungen liegen dabei in einem maschinenlesbaren Format vor und können direkt durch Softwarelösungen interpretiert werden. Dies ermöglicht eine deutlich effizientere, nachvollziehbarere und stärker automatisierte Umsetzung von Informationssicherheit.
Anwenderkatalog und technische Anforderungen
Ergänzend zur Methodik stellt das BSI einen Anwenderkatalog Grundschutz++ bereit. Dieser enthält sowohl technische als auch organisatorische Sicherheitsanforderungen.
Die normativen Vorgaben der Methodik wurden dabei in konkrete Anforderungen überführt, die Organisationen direkt für den Aufbau und Betrieb eines Informationssicherheitsmanagementsystems (ISMS) nutzen können.
Besonders interessant ist hierbei die Möglichkeit, Anforderungen automatisiert auszuwerten und in digitale Compliance-Prozesse einzubinden.
BSI Grundschutz++ als Grundlage moderner ISMS-Tools
Mit dem neuen Grundschutz stellt das BSI erstmals ein digitales Regelwerk in maschinell verarbeitbarer Form bereit. Dadurch können Sicherheitsanforderungen einfacher in Anwendungen, ISMS-Plattformen und Governance-Werkzeuge integriert werden.
Das Grundschutz++-Tool bietet hierbei unter anderem:
- verschiedene Filter- und Auswahlmöglichkeiten,
- strukturierte Modellierungsfunktionen,
- automatisierte Auswertungen,
- sowie Reporting- und Dokumentationsfunktionen.
Der vom BSI veröffentlichte Anwenderkatalog wurde in Form eines GitHub-Repository veröffentlicht und liefert eine strukturierte Sammlung von BSI-Sicherheitsvorschriften zu dem aktuellen Stand der Technik im Bereich der Informations- und Cybersicherheit.
Aufgrund dieser neuen Entwicklung sahen wir uns dazu veranlasst, auf der Grundlage der derzeit vorhandenen Informationen in GitHub einen ersten Entwurf eines eigenen ISMS-Tools für den BSI Grundschutz++ zu entwickeln und hiervorn einige erste Screenshots zu veröffentlichen.
Fazit
Der BSI Grundschutz++ stellt einen bedeutenden Schritt hin zu einem modernen, digitalen und stärker automatisierbaren Informationssicherheitsmanagement dar. Durch die Kombination aus Mindestanforderungen, flexibler Erweiterbarkeit und maschinenlesbaren Sicherheitsregeln entsteht eine praxisnahe Grundlage für moderne Cybersecurity- und Compliance-Prozesse.
Insbesondere Unternehmen mit regulatorischen Anforderungen, ISMS-Verantwortliche sowie IT-Security- und Compliance-Teams profitieren von der höheren Flexibilität und Automatisierbarkeit des neuen Ansatzes.
Aufgrund der Bereitstellung der Anwenderkataloge auf GitHub können Änderungen wesentliche schneller veröffentlicht und in ISMS-Tools integriert werden. Mit der Veröffentlichung auf GitHub können einfache ISMS-Tools wesentlich schneller entwickelt werden.
Jetzt Kontakt aufnehmen
Sie möchten mit Hilfe eines einfach zu bedienenden ISMS-Tool Ihr Informationssicherheitsmanagement nach dem neuen BSI Grundschutz++ dokumentieren?
Dann nehmen Sie gerne Kontakt mit uns auf.
