Grundschutz++

BSI Grundschutz++ – Die nächste Generation des IT-Grundschutzes

Veröffentlicht amAutorKarl-Josef Schiffhauer

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt den bisherigen IT-Grundschutz aktuell umfassend weiter. Die bekannten BSI-Standards 100, 200, 300 und 400 sowie das IT-Grundschutz-Kompendium werden schrittweise modernisiert und zu einem neuen, flexibleren Sicherheitsansatz zusammengeführt: dem BSI Grundschutz++.

Im Mittelpunkt des neuen Ansatzes stehen künftig stärker die tatsächlichen Geschäftsprozesse, Informationen und individuellen Anforderungen der jeweiligen Organisation.

Was ist der BSI Grundschutz++?

Der BSI Grundschutz++ ist die moderne Weiterentwicklung des klassischen IT-Grundschutzes. Ziel ist es, Unternehmen und Behörden eine deutlich flexiblere, skalierbare und stärker automatisierbare Umsetzung von Informationssicherheit zu ermöglichen.

Im Gegensatz zum bisherigen Ansatz definiert der Grundschutz++ zunächst verbindliche Mindestanforderungen für ein angemessenes Cybersicherheitsniveau. Aufbauend darauf können Organisationen die Anforderungen abhängig von Größe, Komplexität und Schutzbedarf individuell erweitern.

Dadurch eignet sich der Grundschutz++ sowohl für kleinere Organisationen als auch für komplexe Unternehmensstrukturen mit hohen regulatorischen Anforderungen.

Prozessorientierter und digitaler Sicherheitsansatz

Eine wesentliche Neuerung des Grundschutz++ ist sein prozessorientierter Aufbau. Sicherheitsanforderungen werden künftig als standardisierte und maschinenlesbare Regeln beschrieben.

Dadurch können die Anforderungen:

  • automatisiert verarbeitet,
  • digital modelliert,
  • technisch ausgewertet,
  • sowie in ISMS- und Compliance-Werkzeuge integriert werden.

Die Sicherheitsanforderungen liegen dabei in einem maschinenlesbaren Format vor und können direkt durch Softwarelösungen interpretiert werden. Dies ermöglicht eine deutlich effizientere, nachvollziehbarere und stärker automatisierte Umsetzung von Informationssicherheit.

Anwenderkatalog und technische Anforderungen

Ergänzend zur Methodik stellt das BSI einen Anwenderkatalog Grundschutz++ bereit. Dieser enthält sowohl technische als auch organisatorische Sicherheitsanforderungen.

Die normativen Vorgaben der Methodik wurden dabei in konkrete Anforderungen überführt, die Organisationen direkt für den Aufbau und Betrieb eines Informationssicherheitsmanagementsystems (ISMS) nutzen können.

Besonders interessant ist hierbei die Möglichkeit, Anforderungen automatisiert auszuwerten und in digitale Compliance-Prozesse einzubinden.

Grundschutz++ als Grundlage moderner ISMS-Tools

Mit dem Grundschutz++ stellt das BSI erstmals ein digitales Regelwerk in maschinell verarbeitbarer Form bereit. Dadurch können Sicherheitsanforderungen einfacher in Anwendungen, ISMS-Plattformen und Governance-Werkzeuge integriert werden.

Das Grundschutz++-Tool bietet hierbei unter anderem:

  • verschiedene Filter- und Auswahlmöglichkeiten,
  • strukturierte Modellierungsfunktionen,
  • automatisierte Auswertungen,
  • sowie Reporting- und Dokumentationsfunktionen.

Das vom BSI veröffentlichte GitHub-Repository zum „Stand der Technik“ hat uns dazu veranlasst, einen ersten Entwurf eines eigenen ISMS-Tools für den BSI Grundschutz++ zu erstellen.

Das über GitHub bereitgestellte Repository ließ sich leicht in ein einfach strukturierten ISMS-tool übernehmen, welches die ersten Informationen enhält und testweise bereits bearbeitet werden kann. Hierbei können die Informationen in einer beliebigen Datenbank gespeichert werden und als JSON- bzw. CSV-File exportiert werden. Darüber hinaus kann die Anzeige zwischen hell und dunkel gewechselt werden.

Fazit

Der BSI Grundschutz++ stellt einen bedeutenden Schritt hin zu einem modernen, digitalen und stärker automatisierbaren Informationssicherheitsmanagement dar. Durch die Kombination aus Mindestanforderungen, flexibler Erweiterbarkeit und maschinenlesbaren Sicherheitsregeln entsteht eine praxisnahe Grundlage für moderne Cybersecurity- und Compliance-Prozesse.

Insbesondere Unternehmen mit regulatorischen Anforderungen, ISMS-Verantwortliche sowie IT-Security- und Compliance-Teams profitieren von der höheren Flexibilität und Automatisierbarkeit des neuen Ansatzes.