IT-Grundschutz++ – auf dem Weg zum digitalen Regelwerk : Evolution statt Revolution

Rückblick: Entwicklung

Der IT-Grundschutz wurde erstmals 1994 vom BSI veröffentlicht – damals noch unter dem Namen „IT-Grundschutzhandbuch“. Eine dedizierte ISMS-Methodik gab es zu diesem Zeitpunkt noch nicht. Stattdessen stellte das Handbuch eine Sammlung von Bausteinen und Maßnahmen für „die sichere Anwendung der Informationstechnik (IT)“ bereit. Bis 2004 wuchs diese Sammlung auf 58 Bausteine und knapp 700 Maßnahmen an.

2006 wurde das IT-Grundschutzhandbuch grundlegend überarbeitet und erstmals mit einer strukturierten ISMS-Methodik verknüpft. Diese Weiterentwicklung legte den Grundstein für den IT-Grundschutz in der Form, wie er auch heute noch bekannt ist. Die damaligen BSI-Standards der 100-x-Reihe wurden gemeinsam mit den IT-Grundschutz-Katalogen veröffentlicht und ermöglichten eine mit der ISO 27001:2005 kompatible Vorgehensweise zur Einführung und zum Betrieb eines ISMS. Bis 2016 wurde dieser Standard weiterentwickelt, ehe er mit der 15. Ergänzungslieferung – der letzten Aktualisierung der IT-Grundschutz-Kataloge – offiziell abgelöst wurde. An seine Stelle trat dann die aktuelle IT-Grundschutz-Methodik, die in den BSI-Standards der 200-x-Reihe verankert ist.

Mit der umfassenden Überarbeitung im Jahr 2017 wurde der IT-Grundschutz maßgeblich modernisiert. So wurden zentrale ISMS-Phasen – beispielsweise die Risikoanalyse nach BSI-Standard 100-3 – im neuen BSI-Standard 200-3 vollständig überarbeitet. Diese methodischen Anpassungen waren notwendig, um den IT-Grundschutz flexibler und zukunftsfähiger zu gestalten. Eine weitere wesentliche Neuerung war die Einführung des IT-Grundschutz-Kompendiums, das als zentrales Nachschlagewerk für IT-Sicherheitsanforderungen dient. Die bislang letzte Aktualisierung des Kompendiums erfolgte 2023. Die aktuelle Fassung umfasst 111 Bausteine mit mehreren tausend Anforderungen und bildet damit die Basis für die IT-Grundschutz-Methodik der Gegenwart.

IT-Grundschutz-Grundlagen

Der IT-Grundschutz ist ein vom BSI entwickeltes Konzept, das Institutionen (Behörden, Unternehmen und andere Organisationen) hilft, ein ganzheitliches Informationssicherheits-Managementsystem (ISMS) aufzubauen. Es bietet einen De-facto-Standard für IT-Sicherheit in Deutschland und ist frei verfügbar (www.bsi.bund.de/grundschutz). Ziel des IT-Grundschutzes ist es, typische Gefährdungen für konkrete Anwendungsfälle (z. B. Anwendungen, IT-Systeme oder organisatorische Konzepte) im Rahmen von sogenannten Bausteinen durch standardisierte Sicherheitsanforderungen zu minimieren und dadurch ein angemessenes Schutzniveau für Informationen sicherzustellen.

Der IT-Grundschutz liefert eine klare Methodik, um ein ISMS Schritt für Schritt einzuführen. Das BSI stellt dazu Standards bereit (bes. BSI-Standard 200-1 für ISMS-Grundlagen und 200-2 für die IT-Grundschutz-Methodik). Die konkreten Schritte umfassen:

• Definition des Informationsverbunds: Bestimmung des Umfangs eines ISMS beziehungsweise Sicherheitskonzepts
• Strukturanalyse: Erfassen aller relevanten IT-Systeme, Anwendungen, Kommunikationswege und Verantwortlichkeiten, um eine detaillierte Übersicht über die IT-Landschaft zu erhalten
• Schutzbedarfsfeststellung: Bewertung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Systemen, um zu bestimmen, welche Sicherheitsanforderungen notwendig sind
• Modellierung: Zuordnung der identifizierten IT-Komponenten zu den IT-Grundschutz-Bausteinen aus dem BSI IT-Grundschutz-Kompendium, um bestehende Sicherheitsmaßnahmen zu nutzen
• IT-Grundschutzcheck: Überprüfung, ob die vorhandenen Sicherheitsmaßnahmen den IT-Grundschutz-Anforderungen entsprechen, sowie Identifikation von Lücken
• Risikoanalyse: Detaillierte Analyse zusätzlicher spezifischer Risiken, die über den IT-Grundschutz hinausgehen (z. B. besondere Bedrohungen oder individuelle Sicherheitsanforderungen)
• Realisierung: Umsetzung der erforderlichen Sicherheitsmaßnahmen aus dem IT-Grundschutz-Kompendium sowie zusätzlicher Maßnahmen aus der Risikoanalyse
• Kontinuierliche Verbesserung: Regelmäßige Überprüfung, Anpassung und Optimierung des Sicherheitskonzepts durch Audits, Tests und neue Bedrohungsanalysen, um das Sicherheitsniveau langfristig zu gewährleisten

Herzstück des IT-Grundschutzes ist das IT-Grundschutz-Kompendium. Seine Bausteine beschreiben jeweils einen bestimmten Bereich der Informationssicherheit – dies können übergeordnete Themen wie Informationssicherheitsmanagement oder Notfallmanagement sein, aber auch technische Systeme wie Clients, Server, Netzwerke, mobile Geräte oder industrielle Steuerungen. Die IT-Landschaft einer Institution wird in solche definierten Bausteine gegliedert – für jeden beschreibt das IT-Grundschutz-Kompendium die typische Gefährdungslage und daraus abgeleitet die Sicherheitsanforderungen.

Einblick: Bedeutung

Der IT-Grundschutz kann auf eine beachtliche Erfolgsgeschichte zurückblicken. Er hat sich nicht nur als ISMS-Standard in der öffentlichen Verwaltung etabliert, sondern findet auch in der freien Wirtschaft breite Anwendung. Selbst in nativen ISO-27001-Zertifizierungsverfahren wird der IT-Grundschutz häufig genutzt, um konkrete Anforderungen an die einzelnen Teilbereiche eines ISMS zu definieren.

In der Praxis hat sich jedoch gezeigt, dass der IT-Grundschutz zwar das Ziel verfolgt, für Organisationen jeder Größe anwendbar zu sein, dieses Versprechen aber nicht immer einlösen kann. Besonders kleinere Institutionen wie Kommunen und kleine und mittlere Unternehmen (KMU) sehen sich mit einer Vielzahl an Anforderungen, einer komplexen Methodik und einem erheblichen Dokumentationsaufwand konfrontiert. Für viele stellt dies eine kaum zu bewältigende Hürde dar.

Nicht zuletzt nach medienwirksamen Cyberangriffen auf Kommunalverwaltungen – wie etwa in Anhalt-Bitterfeld oder Bergen – reagierte das BSI mit Initiativen wie „Der Weg in die Basis-Absicherung“ (WiBA, www.bsi.bund.de/dok/WIBA) oder zusätzlichen Informationen/ FAQ zur „IT-Grundschutz-konformen Dokumentation“ [1].

Letztere verdeutlichen den hohen bürokratischen Aufwand, der mit einer Standard-Absicherung im IT-Grundschutz verbunden ist: Für eine Zertifizierung sind je nach Institution zwischen 30 und 80 verschiedene Dokumente erforderlich – teilweise mit redundanten Inhalten. So müssen beispielsweise sicherheitsrelevante Ereignisse mehrfach dokumentiert werden, was zu zusätzlichem Verwaltungsaufwand führt.

Gerade dieser hohe Dokumentationsaufwand hat dem IT-Grundschutz den Ruf eingebracht, bürokratisch und überreguliert zu sein. Um dem entgegenzuwirken und die Methodik zukunftsfähiger zu gestalten, hat das BSI mit der Einführung des IT-Grundschutz++ nun den nächsten Entwicklungsschritt eingeleitet.

Ausblick: IT-Grundschutz++

Der IT-Grundschutz++ wurde auf der it-sa 2024 offiziell angekündigt und soll im ersten Quartal 2026 veröffentlicht werden. Ziel dieser Modernisierung ist es, den IT-Grundschutz effizienter, anwenderfreundlicher und zukunftssicherer zu gestalten – besonders im Hinblick auf die steigenden Anforderungen der Digitalisierung und Cybersicherheit.

Zentrale Anliegen des IT-Grundschutz++ sind eine klarere Struktur sowie die Reduzierung unnötiger Dokumentationsaufwände – dadurch soll die Methodik für Anwender zugänglicher werden. Gleichzeitig stellt die Einführung maschinenlesbarer Formate einen entscheidenden Schritt in Richtung Automatisierung und Optimierung von Sicherheitsprozessen dar. Diese technologische Weiterentwicklung soll eine nahtlose Integration in bestehende IT-Systeme ermöglichen und somit zur Effizienzsteigerung beitragen.

Anders als frühere Überarbeitungen wird der IT-Grundschutz++ deutlich stärker auf die aktive Mitwirkung der IT-Grundschutz-Anwender ausgerichtet. Laut BSI soll nicht mehr der Eindruck entstehen, dass der IT-Grundschutz im „Elfenbeinturm“ entwickelt und ohne ausreichende Rücksprache mit der Praxis verändert wird.

Das „Digitale Kompendium“

Bislang hat das BSI vor allem Informationen zum neuen „Digitalen Kompendium“ veröffentlicht, das künftig das bisherige IT-Grundschutz-Kompendium ersetzen wird. Diese Neuerung geht mit Anpassungen an der IT-Grundschutz-Vorgehensweise einher, die in den BSI-Standards beschrieben wird. Allem voran muss die Phase der Modellierung (vgl. Kasten) überarbeitet werden, um die Änderungen des digitalen Kompendiums zu berücksichtigen. Größere Anpassungen an den BSI-Standards selbst dürften jedoch erst zu einem späteren Zeitpunkt erfolgen – die bisherigen Ankündigungen deuten eher auf eine neue „BSI-Standard 250-x Reihe“ hin.

Das „Digitale Kompendium“ zeichnet sich vor allem durch eine neue Struktur und Darstellung aus: Ein zentrales Element sind sogenannte Satzschablonen, die zur Formulierung von Anforderungen genutzt werden. Diese Schablonen verleihen den Anforderungen eine einheitliche Struktur, was Interpretationsspielräume reduzieren und Missverständnisse vermeiden soll. Zudem ermöglichen sie eine gezielte Filterung bestimmter Anforderungsarten. Damit trägt das „Digitale Kompendium“ wesentlich zur Maschinenlesbarkeit der IT-Grundschutz-Dokumentation bei – ein zentrales Ziel des IT-Grundschutz++.

Abbildung 1 zeigt den generellen Aufbau des „Digitalen Kompendiums“ zum IT-Grundschutz, dessen Begriffe im Folgenden näher erläutert werden.

Praktiken

Im Zuge der Modernisierung des IT-Grundschutzes wird auch die bisherige Handhabung von Prozessen und Anforderungen neu bewertet. Bisher werden Sicherheitsanforderungen direkt auf spezifische Zielobjekte angewendet – das führt jedoch zu der Herausforderung, grundlegende Prinzipien nicht als selbstverständlich voraussetzen zu können, die daher in verschiedenen Bausteinen immer wieder erneut formuliert werden müssen. Ein Beispiel hierfür sind die Anforderungen APP.2.1.A2 „Planung des Einsatzes von Verzeichnisdiensten“ und APP.2.2.A1 „Planung von Active Directory Domain Services“.

Jeder Baustein hat im aktuellen IT-Grundschutz-Kompendium einen Anspruch auf Vollständigkeit. Konkrete Zusammenhänge oder Abhängigkeiten von anderen Bausteinen können aufgrund dieser eigenständigen Vollständigkeit nicht immer berücksichtigt werden – ein einzelner Baustein kann schließlich nicht jede erdenkliche Modellierungskonstellation in einem Informationsverbund berücksichtigen.

Mit der Einführung von „IT-Grundschutz-Praktiken“ setzt der IT-Grundschutz++ künftig auf einer übergeordneten Ebene an: Wesentliche Anforderungen, die bislang in mehreren zielobjektspezifischen Bausteinen wiederholt wurden, sollen künftig zentral zusammengeführt werden. Dadurch lassen sich Redundanzen reduzieren und Anforderungen klarer strukturieren. So könnte beispielsweise eine übergreifende Praktik einmalig festlegen, dass „nicht benötigte Funktionen auf allen IT-Systemen zu deaktivieren sind“ – anstatt diese Anforderung mehrfach in verschiedenen Systembausteinen zu wiederholen.

Zielobjektzuordnung

Praktiken stehen jedoch nicht isoliert, sondern ihnen werden bestimmten Zielobjekttypen oder Gruppen zugeordnet. Durch diese Zuordnung können Praktiken um spezifische, zielobjektspezifische Aspekte erweitert werden. Ein Beispiel hierfür ist die Praktik „Konfiguration“ (vgl. Abb. 1), die grundsätzlich alle Anforderungen und Maßnahmen für ein sicheres Konfigurationsmanagement umfasst. Durch die Zuordnung zu einem bestimmten Zielobjekt – etwa einem Server oder einer Anwendung – lassen sich zusätzliche Anforderungen ergänzen, die speziell auf dieses Zielobjekt zugeschnitten sind.

Das bedeutet zugleich eine grundlegende Veränderung in der Modellierung: Zielobjekte werden nicht mehr ausschließlich durch Bausteine abgebildet, sondern durch die Anwendung und Erweiterung passender Praktiken. Dieser Ansatz soll zu einer flexibleren und gleichzeitig effizienteren Methodik führen.

Modalverben

Mit der Einführung der BSI-Standard-200-x-Reihe hat der IT-Grundschutz den gezielten Einsatz von Modalverben etabliert. Diese werden in ähnlicher Weise genutzt wie in ISO- oder DIN-Normen, um den Verbindlichkeitsgrad von Anforderungen klar zu definieren. Zu den am häufigsten verwendeten Modalverben gehören muss, sollte, darf nicht und kann – im Umfeld der Standards werden diese Modalverben dann üblicherweise VERSAL geschrieben.

Besonders die Bedeutung von „sollte“ wich dabei von der üblichen semantischen Interpretation ab: Im IT-Grundschutz galt stets die Regel: „sollte heißt muss, wenn kann“ – das bedeutet, dass eine Sollte-Anforderung verpflichtend umzusetzen ist, sofern sie technisch und organisatorisch realisierbar ist. Diese Systematik bleibt auch im IT-Grundschutz++ erhalten, um eine einheitliche und praxistaugliche Interpretation der Anforderungen sicherzustellen.

Konkrete Anforderungen

Der Inhalt einer jeden Anforderung wird in einem eigenen Feld beschrieben. Dieses Feld enthält dabei den größten Anteil an „Freitext“ – anhand dieser Informationen wird festgelegt, was tatsächlich im Rahmen einer Anforderung zu tun ist.

Handlungsworte

Jede Anforderung lässt sich bestimmten konkreten Handlungen zuordnen. Anhand vorgegebener „Handlungsworte“ (z.B. „deaktivieren“, „überprüfen“ oder „verbieten“) soll künftig schneller und besser erkennbar sein, wo konkrete technische Umsetzungen erforderlich sind und wo nicht.

Umsetzungshinweise

Um Missverständnissen noch weiter vorzubeugen und Interpretationsspielraum einzuschränken, erläutern Hinweise, was man durch eine jeweilige Anforderung grundsätzlich erreichen will. Diese Hinweise haben dabei eher einen Maßnahmen- als einen Anforderungscharakter.

Abstufung/Leistungskennzahl

Der aktuelle IT-Grundschutz unterteilt Anforderungen in die Kategorien „Basis“, „Standard“ und „Hochschutz“. Diese Differenzierung sollte sicherstellen, dass durch die Basis- und Standardanforderungen ein grundlegendes Mindestniveau an Informationssicherheit gewährleistet wird – also ein buchstäblicher Grund-Schutz.

In der Praxis zeigte sich jedoch, dass die Umsetzung einzelner Anforderungen nicht für alle Institutionen gleichermaßen einfach oder komplex ist. So stellt beispielsweise die Standardanforderung NET.3.1.A23 „Revision und Penetrationstests“ kleinere Organisationen vor erhebliche Herausforderungen, während größere Unternehmen mit entsprechenden Ressourcen solche Maßnahmen problemlos umsetzen können.

Um dieses Ungleichgewicht auszugleichen, wird im IT-Grundschutz++ eine neue „Leistungskennzahl“ eingeführt: Jede Anforderung erhält künftig einen fünfstufigen Skalenwert, der ihre Umsetzbarkeit und den erforderlichen Aufwand besser einordnet (Abb. 2). Dadurch soll die Anpassungsfähigkeit des IT-Grundschutzes an unterschiedliche Institutionen verbessert werden.

Abgeleitet aus den Inhalten des digitalen Kompendiums soll sich auch der Reifegrad des ISMS in einer Institution ablesen lassen: So legt das BSI in Zukunft sogenannte Schwellwerte fest, die zu erreichen sind, um beispielsweise „zertifizierungsreif“ zu sein. Wie diese Schwellwerte genau aussehen, steht noch aus – ebenfalls unklar ist noch, ob diese Schwellwerte unterschiedliche Arten von Institutionen berücksichtigen werden.

Metatags

Zu guter Letzt kann jede Anforderung mit sogenannten Metatags versehen werden: Hierzu gehören beispielsweise konkrete Verweise auf Trend-Themen wie „Zero Trust“, aber auch Hinweise auf Anforderungs-Arten wie „Hardening“.

Auswirkung auf bestehende Verbünde

Bestehende Informationsverbünde stehen vor der Herausforderung, erneut ein Migrationsprojekt durchführen zu müssen. Anders als bei der grundlegenden Überarbeitung des IT-Grundschutzes im Jahr 2017 deuten die angekündigten Änderungen jedoch darauf hin, dass die Migration diesmal erheblich einfacher sein könnte – gerade durch die Unterstützung von Governance-Risk- & Compliance-(GRC)-Tool-Herstellern. Während die Änderungen von 2017 neben neuen Anforderungen auch tiefgreifende Anpassungen an der Methodik vorgenommen hat, konzentriert sich der IT-Grundschutz++ weitgehend auf die inhaltliche Straffung und Neustrukturierung der Anforderungen.

Diese Vereinfachung dürfte sich besonders im Rahmen der Migration positiv auswirken: Durch die Einführung einheitlicher Praktiken werden redundante Anforderungen zusammengeführt und konsolidiert, die bislang in mehreren Bausteinen enthalten waren. Für Anwender, die bisher sehr detaillierte und umfangreiche Dokumentationen erstellt haben, stellt sich allerdings die Frage, welche Inhalte sie künftig vereinfachen oder entfernen können. In manchen Fällen könnte dies sogar dazu führen, dass der gesamte IT-Grundschutz-Check neu durchzuführen ist.

Das BSI wird hier voraussichtlich weitere Informationen bereitstellen müssen, um Institutionen eine klare Orientierung für den Umgang mit solchen Umstellungsprozessen zu bieten. Der Fokus auf Maschinenlesbarkeit und Automatisierung könnte jedoch eine pragmatische Lösung für viele Migrationsherausforderungen darstellen – besonders durch den verstärkten Einsatz von Softwarelösungen.

Kontinuierliche Bereitstellung

Ein zentraler Aspekt des IT-Grundschutz++ ist das geplante kontinuierliche Bereitstellungsmodell: Das BSI hat bereits angekündigt, den IT-Grundschutz++ über GitHub zu veröffentlichen, was eine kontinuierliche Weiterentwicklung ermöglicht. Zukünftig wird es also keine festen Editionen des IT-Grundschutz-Kompendiums mehr geben, die einmal pro Jahr umfassende Änderungen enthalten. Stattdessen sollen Anpassungen jederzeit möglich sein. Falls eine Anforderung an einer falschen Stelle verortet ist oder überarbeitet werden muss, kann das BSI diese kurzfristig aktualisieren, ohne auf einen jährlichen Release-Zyklus warten zu müssen.

Diese dynamische Strategie hat auch Auswirkungen auf Zertifizierungen; Obwohl es keine festen IT-Grundschutz-Kompendium-Editionen mehr geben wird, muss weiterhin ein definierter Satz an Anforderungen existieren, der für Zertifizierungen relevant ist. Das Modell orientiert sich dabei an bekannten Verfahren aus der Softwareentwicklung – etwa dem Versionsmanagement von Linux-Distributionen (vgl. Abb. 3). Das bedeutet, dass es stets ein „Major- Release“ gibt, das durch laufende Updates ergänzt wird und das für eine gewisse Übergangszeit parallel mit dem nachfolgenden Major-Release gültig bleibt. Dadurch soll sichergestellt werden, dass Zertifizierungen trotz der kontinuierlichen Änderungen eine verlässliche Grundlage behalten.

Timeline

Viele IT-Grundschutz-Anwender fragen sich heute, ab wann für die der IT-Grundschutz++ relevant sein wird. Das BSI hatte zunächst den 1. Januar 2026 kommuniziert – zuletzt wurde diese Aussage jedoch auf „das erste Quartal 2026“ verallgemeinert. Ausgehend von der vergangenen Aktualisierung des IT-Grundschutzes in 2017 (Abb. 4) lässt sich folgender Verlauf ableiten: Das BSI wird im vierten Quartal 2025 eine „Beta“-Version des IT-Grundschutz++ veröffentlichen, mit der man dann auch schon aktiv arbeiten kann. Eine konkrete Veröffentlichung in einem Major-Release-Stadium wird im ersten Quartal 2026 folgen. Zertifizierungsverfahren, die bis Ende 2026 angemeldet werden, können anschließend noch auf der heutigen IT-Grundschutz-Kompendium-Version weitergeführt werden – aber schon ab Q1 2026 werden parallel auch Anmeldungen basierend auf dem IT-Grundschutz++ zulässig sein. Ob bestehende Verfahren während ihres 3jährigen Prüfzyklus auf den IT-Grundschutz++ umsteigen müssen, ist bisher indessen noch nicht bekannt.

Fazit

Der IT-Grundschutz++ verspricht mehr Klarheit, weniger Redundanz und eine moderne maschinenlesbare Struktur. Für viele Anwender dürfte dies eine deutliche Erleichterung bedeuten, da doppelte Dokumentationen entfallen und durch die neue Leistungskennzahl eine flexiblere Skalierung möglich wird. Gleichzeitig bleibt abzuwarten, wie sich der konkrete Zertifizierungsprozess gestaltet und welchen tatsächlichen Aufwand die Migration für bestehende IT-Grundschutz-Verbünde bedeutet.

Das BSI hat jedoch bereits gezeigt, dass es bereit ist, auch große strukturelle Veränderungen anzugehen. Die frühzeitige Einbindung der Anwender-Community könnte sich dabei als entscheidender Erfolgsfaktor erweisen – besonders durch die angekündigte spätere Veröffentlichung des IT-Grundschutz++ auf GitHub (https://github.com/BSI-Bund).

Sollte es gelingen, den IT-Grundschutz praxisnah weiterzuentwickeln und unnötige bürokratische Hürden abzubauen, könnte dies maßgeblich dazu beitragen, das bisherige Image als „Regulierungsmonster“ abzulegen und den IT-Grundschutz langfristig attraktiver zu machen.

Sebastian Reinhardt ist Senior Expert im Security Consulting bei HiSolutions. 

Literatur

_{[1] Bundesamt für Sicherheit in der Informationstechnik (BSI), IT-Grundschutz-konforme Dokumentation, FAQ und Einführung, Community Draft 1.0, Juni 2024, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Drafts/Community_Draft/IT_Grundschutz_konforme_Doku_FAQ.html}   

_{[2] Holger Schildt, Aktuelle Entwicklungen und Ausblick zum IT-Grundschutz – Fortentwicklung des IT-Grundschutzes zu IT-Grundschutz++, Vortragsfolien zum 1. IT-Grundschutz-Tag 2025, Februar 2025, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Veranstaltungen/Grundschutz/1GS_Tag_2025/Aktuelle_Entwicklungen_Ausblick_IT-GS.pdf?__blob=publicationFile&v=2}

_{[3] Bundesamt für Sicherheit in der Informationstechnik (BSI), Übergangsfristen und Migration im Rahmen der Zertifi zierung, August 2017, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-modernisierung/Uebergangsfristen_ Migration.pdf}