Manche Sicherheitsgeschichten beginnen mit einem Genie an der Kommandozeile, einem Domain-Admin im Mantel der Nacht, einem perfekt orchestrierten Angriff auf Kerberos oder KMS. Die meisten beginnen anders: mit alltäglichen Rechten, die niemand für gefährlich hält. Ein „Viewer“ in der Doku-Plattform. Ein „Reporting“-Zugang im CRM. Ein „Guest“ im Kollaborationstool. Ein Servicekonto mit Leserechten auf Logdateien. Ein Praktikanten-Account, der nur Tickets lesen darf. Diese scheinbar harmlosen Berechtigungen sind die Welt des Insider light – Personen und Prozesse innerhalb (oder knapp außerhalb) der Organisation, die keine „großen“ Rechte brauchen, um große Lücken zu reißen. Nicht, weil sie Superhacker wären, sondern weil unsere Systeme Informationen großzügig streuen, Workflows automatisch auslösen und Meta­daten verräterischer sind, als uns lieb ist. Wer Sicherheit heute ernst meint, darf das kleine Licht nicht unterschätzen, denn es beleuchtet überraschend viele Wege bis ins Herz der Organisation.

Was genau ist „Insider light“?

„Insider“ weckt oft das Bild des böswilligen Mitarbeiters mit Vollzugriff. „Light“ verschiebt die Perspektive: Es geht um Akteure mit begrenzten, formal unkritischen Rechten, die dennoch kritische Wirkung entfalten – absichtlich, fahrlässig oder weil sie selbst zum Opfer werden. Das Spektrum ist breit:

Der „Wizard of GRC“ für eine Zeit, in der dein Kaffee noch warm ist

Es ist ein schwindelerregender Moment: Du öffnest den Editor, gibst zwei, drei Sätze in ein Prompt-Feld – und noch bevor dein Kaffee kalt wird, steht das Gerüst eines kompletten Dienstes vor dir. Routen, Controller, Datenmodell, API-Doku, Unit-Tests, Dockerfile, CI-Workflow: alles da. Was gestern noch ein Sprint war, passt heute in eine Session. Fantastisch für die Geschwindigkeit, beängstigend für die Sichtbarkeit. Denn jede generierte Codezeile erzählt nicht nur eine Geschichte von Produktivität, sondern auch eine über Compliance, Abhängigkeiten und Third-Party-Risiken.

Der IT-Grundschutz des BSI ist seit Jahren die wohl deutscheste Antwort auf eine sehr internationale Frage: Wie organisiert man Informationssicherheit so, dass sie im Alltag funktioniert, auditierbar bleibt und trotzdem mit der Technik Schritt hält? Mit „Grundschutz++“ kündigt sich nun die nächste Evolutionsstufe an – eine Fortentwicklung, die den Standard stärker digitalisiert, prozessorientierter macht und für die kommenden Jahre fit. Das BSI hat dazu im Sommer 2025 ausdrücklich den Dialog mit der Fachöffentlichkeit gesucht und den Namen „IT-Grundschutz++“ als Arbeitstitel gesetzt. Ziel: Modernisierung ohne Bruch, also Kontinuität dort, wo sie sinnvoll ist, und spürbare Vereinfachungen dort, wo die Praxis es braucht.

Dieser Beitrag ordnet den Kontext ein, erklärt die Design-Ideen hinter Grundschutz++, zeigt, was sich wahrscheinlich verändert (und was nicht), und gibt konkrete Hinweise, wie sich Organisationen – vom Mittelständler bis zur Behörde – heute so aufstellen, dass der Übergang locker gelingt. Wir stützen uns dabei auf die offiziellen BSI-Informationen zum IT-Grundschutz und auf frühe, öffentliche Berichte aus der Praxiscommunity, die die Digitalisierung und Maschinenlesbarkeit des Standards, eine stärkere Objekt-/Prozessorientierung sowie Übergangsfristen skizzieren.

Es beginnt selten mit einem direkten Angriff auf das eigene Haus. Häufiger startet die Kettenreaktion einige Sprünge entfernt: ein „Minor Incident“ bei einem SaaS-Anbieter, eine Schwachstelle in einer File-Transfer-Lösung, ein überprivilegierter Account beim Managed Service Provider, ein Update, das im Build-Prozess eines Partners kompromittiert wurde. Für die Öffentlichkeit sind das zunächst nur Randnotizen. Für Betreiber kritischer oder wichtiger Dienste können es jedoch die Sekunden sein, in denen aus einem Fremdproblem eine eigene Meldepflicht wird. Spätestens mit NIS2 ist klar: Wer auf Lieferketten setzt (und wer tut das nicht?), trägt Verantwortung – und zwar nicht nur für die Prävention, sondern auch für die Meldung. Dieses „NIS2 im Nacken“-Gefühl ist kein Aktionismus, sondern Ausdruck einer Realität, in der Abhängigkeiten Teil des Kernbetriebs sind.

Dieser Beitrag erklärt, warum Lieferkettenereignisse unter NIS2 meldepflichtig werden können, wie sich Meldewege, Schwellen und Verantwortlichkeiten in der Praxis anfühlen, welche Governance-Bausteine jetzt zählen – und wie man den Spagat schafft zwischen Transparenz, Tempo und Verlässlichkeit. Nicht als trockene Gesetzeslektüre, sondern als Betriebsanleitung für den Ernstfall.

Es knirscht selten laut, wenn es passiert. Kein großer Knall, keine rot blinkenden Warnlampen. Stattdessen: eine kleine Konfigurationsänderung bei einem Dienstleister, ein unscheinbares Update, eine freundliche E-Mail eines „Partners“, ein Browser-Plugin aus einem Hersteller-Marketplace. Wochenlang wirkt alles normal, die Dashboards bleiben grün. Und doch hat sich die Risikolage grundlegend verschoben – nur eben nicht dort, wo das eigene SOC hinschaut. Die Schwachstelle liegt außerhalb des Perimeters, außer Reichweite der üblichen Telemetrie und häufig auch jenseits der eigenen Zuständigkeiten. Genau dort, wo moderne Wertschöpfung in der Praxis stattfindet: bei Third Parties.

Dass Drittparteien zur Achillesferse werden, ist keine überraschende Schlagzeile – aber die Mechanik dahinter wird in vielen Unternehmen unterschätzt. Third Parties stehen mitten in unseren Prozessen, tragen weitreichende Berechtigungen, hosten Daten, signieren Updates, verwalten Identitäten, triagieren Tickets, betreiben Infrastruktur und liefern das, was Kundinnen und Kunden direkt erleben: Verfügbarkeit, Geschwindigkeit, Qualität. In dieser Rolle sind sie nicht „außen“, sondern innen – oft mit mehr Rechten, mehr Einblick und mehr Steuerungsmacht als das, was wir im eigenen Haus für selbstverständlich halten.