Sicher auf dem Stand der Technik : Die digitale Bibliothek des BSI : Erfolgreiche Zusammenarbeit der Community als Fundament
Mit der Modernisierung des bewährten IT-Grundschutzes zum Grundschutz++ stellt das BSI auch die Standardisierung von Sicherheitsanforderungen neu auf: Eine Community-Plattform wird entwickelt, um Vorgaben und Hilfsmittel nach dem aktuellen Stand der Technik gemeinsam zu entwickeln und zentral bereitzustellen. Dabei setzt das BSI auf innovative Prinzipien, die den Umgang mit Cybersicherheit nachhaltig verändern sollen.
Die digitale Transformation erfordert ein Umdenken in traditionellen Compliance-Prozessen. Während bisher oft auf papierbasierte oder rein textuelle Nachschlagewerke gesetzt wurde, bieten moderne Ansätze wie DevSecOps neue Möglichkeiten. Dieser Ansatz integriert Entwicklungs-, Sicherheits- und Betriebsteams in einen durchgängigen Prozess, der Automatisierungspotenziale über den gesamten Lebenszyklus hinweg ausschöpft. Von der Erstellung und Validierung von Sicherheitskonfigurationen bis hin zur kontinuierlichen Überwachung und Auditierung – automatisierte Prozesse ermöglichen es, Umsetzungsstände nachvollziehbar und transparent zu dokumentieren.
Security as Code: Automatisierung und Struktur
Im Zentrum des neuen Ansatzes steht das Konzept „Security as Code“: Sicherheitsanforderungen werden künftig mit Metadaten versehen und als strukturierte Daten angeboten. Dies ermöglicht nicht nur eine effiziente Filterung und automatisierte Verarbeitung, sondern bildet auch die Basis für künftige Erweiterungen. Durch die digitale Strukturierung wird die Implementierung von Sicherheitsmaßnahmen in Prozessen wesentlich vereinfacht und standardisiert. Gleichzeitig wird eine automatische Weiterverarbeitung der Sicherheitsanforderungen ermöglicht.
Was ist DevSecOps?
- Integrierte Zusammenarbeit: DevSecOps vermeidet, dass Teams getrennt voneinander an gleichen Projekten arbeiten, ohne Rücksicht auf oder Verständnis für andere. Entwicklungs-, Sicherheits- und Betriebsteams gestalten gemeinsam einen integrierten Prozess. Somit können Sicherheitsanforderungen reibungslos umgesetzt werden.
- Automatisierung im gesamten Lebenszyklus: Durch die Automatisierung von Prozessen – von der Erstellung und Validierung von Sicherheitskonfigurationen bis hin zu Sicherheits-Checks – werden manuelle Eingriffe minimiert und Sicherheitsverbesserungen beschleunigt.
- Transparenz und Nachvollziehbarkeit: Das digitale IT-Grundschutz-Kompendium erfasst Sicherheitsanforderungen systematisch und überprüft sie. Automatisierte Prozesse ermöglichen es, dass Institutionen und Unternehmen den aktuellen Stand ihrer IT-Sicherheit genau nachverfolgen und kontinuierlich verbessern können.
DevSecOps: Sicherheit in der agilen IT
Durch die Bündelung von Inhalten aus den etablierten IT-Grundschutz-Bausteinen in prozessorientierte Praktiken entstehen praxisnahe Checklisten und Profile für unterschiedliche Schutzniveaus. Dieser Ansatz reduziert den Umsetzungsaufwand erheblich und erleichtert die Prozessautomatisierung nach DevSecOps-Prinzipien (vgl. Kasten).
DevSecOps steht für die Integration von Development, Security und Operations. Durch Zusammenarbeit, agile Prozesse und Werkzeuge wie Versionsverwaltungen arbeiten Entwicklung, Sicherheitsexperten und Betriebspersonal über organisatorische Grenzen hinweg an einer gemeinsamen Bereitstellung sicherer Infrastrukturen. So wird es möglich, Informationssicherheits-Managementsystem-(ISMS)-Prozesse zukünftig nicht mehr über händisch gepflegte Listen, sondern über automatisierte Systeme zu steuern und zu überwachen. Durch den Einsatz strukturierter Datenformate wie JSON, YAML oder OSCAL (vgl. Kasten auf S. 32) werden Sicherheitsanforderungen effizient erfasst und fortlaufend optimiert, sodass eine flexible und reaktionsfähige Compliance entsteht.
Ideen austauschen, Lösungen gemeinsam erarbeiten
Im digitalen Zeitalter sind Zusammenarbeit, Automatisierung und die kontinuierliche Modernisierung von Sicherheitsstandards essenziell, um den stetig wachsenden Anforderungen in der Informationssicherheit gerecht zu werden. Das zeigen die jüngsten Initiativen – wie etwa der erste kollaborativen Beteiligungsworkshop im Februar 2025 zum digitalen Kompendium, der weit mehr als ein reiner Ideenaustausch war. Rund 250 Expertinnen und Experten kamen digital zusammen, um in einem offenen Format erste Ansätze zur Weiterentwicklung eines digitalen Kompendiums zu entwickeln. Im Zentrum stand die Frage, wie sich Fachleute aktiv und mit ihrer Expertise an der Gestaltung eines praxisnahen und transparenten Kompendiums beteiligen können.
In unterschiedlichen Arbeitsgruppen erarbeitet die Community Maßnahmenvorlagen, Schutzniveau-Profile und Automatisierungslösungen. Erste Vorschlägen zur Umsetzung und Erweiterung der neuen BSI-Anforderungen werden so erprobt. Dieser partizipative Ansatz sorgt dafür, dass die Lösungen nicht nur technisch auf dem neuesten Stand sind, sondern auch den praktischen Anforderungen der Anwender gerecht werden.
Engagement der Community
Am 22. September fand der zweite Beteiligungsworkshop statt, der als wichtiger Meilenstein in der Pilotphase der digitalen Community-Bibliothek gilt. Hier wurden die ersten Ergebnisse der Arbeitsgruppen vorgestellt und es bestand die Möglichkeit sich mit neuen Ideen einzubringen. Der interdisziplinäre Austausch stellt sicher, dass unterschiedliche Perspektiven und Erfahrungen in die Weiterentwicklung einfließen – ein entscheidender Faktor für die Praxistauglichkeit und Qualität des Kompendiums. Das BSI zeigt mit dieser Initiative eindrucksvoll, wie moderne IT-Sicherheit durch enge Zusammenarbeit, klare Strukturen und innovative Automatisierungskonzepte vorangetrieben werden kann – eine zukunftsweisende Entwicklung für alle Akteure im Bereich Cybersicherheit.
Fortschritte transparent auf GitHub dokumentieren
Für den Austausch und die Weiterentwicklung der Inhalte steht das Kompendium GS++ auf GitHub zur Verfügung, sodass Expertinnen und Experten die Inhalte auf Praxistauglichkeit testen können, um es weiter zu verbessern.
Die Plattform ermöglicht einer großen Zahl von Beteiligten (Expertinnen und Experten für Sicherheitstechnik, Programmiererinnen und Programmierer, Entwicklerinnen und Entwickler, IT-Mangerinnen und Manager), aktuelle Entwicklungen offen zu diskutieren und Fortschritte transparent zu dokumentieren. Durch klar strukturierte Abläufe und definierte Prozesse entsteht ein Umfeld, in dem Ideen kontinuierlich verbessert werden können. Der interdisziplinäre Austausch stellt sicher, dass unterschiedliche Perspektiven und Erfahrungen in die Weiterentwicklung einfließen – ein entscheidender Faktor für die Praxistauglichkeit und Qualität des Kompendiums-GS++.
Gemeinsam für ein praxistaugliches und zukunftsweisendes Kompendium!
DevSecOps als integrativer Ansatz ermöglicht es, Compliance-Prozesse ganzheitlich zu automatisieren und den ständig wachsenden Herausforderungen gerecht zu werden. Die Nutzung von Plattformen wie GitHub schafft einen offenen, transparenten Raum, in dem Entwickler, Sicherheitsexperten, IT-Manager und weitere Stakeholder ihre Erfahrungen und Ideen einbringen können. Mit Grundschutz++ wird schließlich ein moderner Standard etabliert, der den aktuellen Anforderungen entspricht und gleichzeitig für zukünftige Entwicklungen gewappnet ist. Gemeinsam bilden diese Ansätze die Grundlage für eine resilient gestaltete IT-Sicherheitslandschaft, die den dynamischen Wandel der digitalen Welt aktiv mitgestaltet und vorantreibt. Die Zukunft der Informationssicherheit basiert auf einem starken Fundament aus Zusammenarbeit, Automatisierung und kontinuierlicher Modernisierung.
