Grundschutz++ erklärt: Was hinter der nächsten Ausbaustufe des IT-Grundschutz steckt

Der IT-Grundschutz des BSI ist seit Jahren die wohl deutscheste Antwort auf eine sehr internationale Frage: Wie organisiert man Informationssicherheit so, dass sie im Alltag funktioniert, auditierbar bleibt und trotzdem mit der Technik Schritt hält? Mit „Grundschutz++“ kündigt sich nun die nächste Evolutionsstufe an – eine Fortentwicklung, die den Standard stärker digitalisiert, prozessorientierter macht und für die kommenden Jahre fit. Das BSI hat dazu im Sommer 2025 ausdrücklich den Dialog mit der Fachöffentlichkeit gesucht und den Namen „IT-Grundschutz++“ als Arbeitstitel gesetzt. Ziel: Modernisierung ohne Bruch, also Kontinuität dort, wo sie sinnvoll ist, und spürbare Vereinfachungen dort, wo die Praxis es braucht.

Dieser Beitrag ordnet den Kontext ein, erklärt die Design-Ideen hinter Grundschutz++, zeigt, was sich wahrscheinlich verändert (und was nicht), und gibt konkrete Hinweise, wie sich Organisationen – vom Mittelständler bis zur Behörde – heute so aufstellen, dass der Übergang locker gelingt. Wir stützen uns dabei auf die offiziellen BSI-Informationen zum IT-Grundschutz und auf frühe, öffentliche Berichte aus der Praxiscommunity, die die Digitalisierung und Maschinenlesbarkeit des Standards, eine stärkere Objekt-/Prozessorientierung sowie Übergangsfristen skizzieren.

1) Warum überhaupt „Grundschutz++“?

Wenn ein Standard über Jahre erfolgreich genutzt wird, sammelt er zwangsläufig Ballast: Redundanzen, Wiederholungen, Detail-Abzweige für Spezialfälle. Gleichzeitig verändern sich IT-Landschaften dramatisch: Cloud-First, API-Ökosysteme, Software-defined Everything, DevOps und Automatisierung prägen die Realität. In genau diesem Spannungsfeld setzt Grundschutz++ an:

• Digitalisierung des Standards: Inhalte sollen maschinenlesbar werden, damit Tools, GRC-Suiten und CI/CD-Pipelines sie direkt verarbeiten können – etwa für automatisierte Soll-/Ist-Abgleiche, Reifegradbewertungen oder Nachweisführung. Das BSI adressiert mit „Grundschutz++“ ausdrücklich diese Modernisierung; Praxisberichte benennen JSON-basierte, maschinenlesbare Artefakte als Zielbild.
• Prozessorientierung und weniger Redundanz: Weg vom reinen „Listen-Abarbeiten“, hin zu klaren Prozess- und Objektbezügen (z. B. Asset-Klassen, Datenobjekte, Services). Das erleichtert Konsistenz, Nachvollziehbarkeit und Automation.
• Kompatibilität statt Bruch: Der IT-Grundschutz bleibt das, was er ist: ein methodischer Rahmen (BSI-Standards 200-1/-2/-3) plus Kompendium als praxisnaher Bausteinkatalog – nur moderner verpackt. Die Grundidee – risikobasiert, systematisch, auditierbar – bleibt erhalten.

Kurz: Grundschutz++ zielt auf gleiche Sicherheit, weniger Papier, mehr Bits – und damit auf praktische Entlastung bei Planung, Betrieb und Audit.

2) Woher wir wissen, wohin die Reise geht

Das BSI hat die Fortentwicklung des IT-Grundschutz ausdrücklich als Dialogprozess aufgesetzt („BSI im Dialog“). Der Arbeitstitel „IT-Grundschutz++“ ist dabei Programm: evolutionär, nicht revolutionär. Parallel berichten Community-Beiträge aus Herbst/Winter 2024 von Leitplanken: maschinenlesbare Inhalte, Objekt-/Prozessorientierung, Abbau von Redundanzen und Übergangsfristen für die Migration bestehender Umsetzungen. Natürlich sind das Zwischenstände – deshalb ist es sinnvoll, Aussagen als Road-Signals zu lesen, nicht als endgültige Normtexte.

Für die Grundidee, Arbeitsweise und Aufbau des „klassischen“ Grundschutz (BSI-Standards, Kompendium, methodische Schritte) bleibt die offizielle BSI-Dokumentation maßgeblich – und sie ist der wichtigste Anker, um Änderungen in Grundschutz++ einzuordnen.

3) Der gedankliche Kern von Grundschutz++ – in Alltagssprache

a) Vom Papier zur API
Bislang leben viele Umsetzungen in PDFs, Tabellen, Wiki-Seiten. Künftig soll es offizielle, maschinenlesbare Standard-Artefakte geben (beispielsweise JSON/XML). Der Nutzen ist enorm:

• Werkzeug-Interoperabilität: ISMS-Tools, Ticket-/ITSM-Plattformen, Vulnerability-Scanner und CMDBs können einheitliche, versionierte Grundschutz-Daten konsumieren.
• Automatisierung: Controls lassen sich mit Technik-Signalen matchen (z. B. ob ein Endpunkt Verschlüsselung, MFA, aktuelle Patches etc. nachweisbar aktiviert hat).
• Nachweisführung: Statt „Screenshots und PDFs“ entstehen prüfbare, nachvollziehbare Datenketten – bis hin zur Continuous Compliance.

Das ist exakt der Schritt, den viele Sicherheits- und DevOps-Teams sich seit Jahren wünschen.

b) Vom Baustein zur „Sicht aufs System“
Der Grundschutz war nie „nur Checkliste“, aber in der Praxis wurde er oft so benutzt. Die geplante, stärkere Objekt-/Prozessorientierung sorgt dafür, dass die Sicht auf Geschäftsprozesse, Services und Assets wieder ins Zentrum rückt – und dass dieselbe Anforderung nicht in x Kapiteln wiederholt wird. Ergebnis: kürzere Wege, weniger Doppelt-Dokumentation und ein klareres Verständnis, wo welche Controls wirken.

c) Evolution statt Big Bang
Das BSI stellt den Dialog und Übergangsfristen in Aussicht. Unternehmen müssen also nicht über Nacht die Welt neu erfinden, sondern können parallel arbeiten: bewährte Umsetzungen stabil halten, neue Artefakte erproben, Tool-Integrationen aufbauen. Das senkt Migrationsrisiken.

4) Was sich (sehr wahrscheinlich) ändert – und was sicher bleibt

Bleibt: die Methodik
Die BSI-Standards 200-1/-2/-3 (ISMS, Grundschutz-Vorgehen, Notfallmanagement) haben das Vorgehen sauber strukturiert – Risiko- und Schutzbedarfsfeststellung, Modellierung, Umsetzung, Wirksamkeitskontrolle. Daran wird Grundschutz++ nicht den Grundpfeiler sägen. Die Modernisierung betrifft Form, Zugriff und Konsistenz der Inhalte, nicht den Sinn.

Ändert sich: die Bereitstellung
Statt monolithischer PDFs sind versionierte, maschinenlesbare Inhalte zu erwarten (z. B. als Datensätze mit eindeutigen IDs, Referenzen, Gültigkeiten). Fachlich ist das nichts anderes als heute – praktisch aber der Unterschied zwischen Analog und API

Ändert sich: Redundanz & Querverweise
Die Community erwartet weniger Wiederholungen, klare Objektbezüge (z. B. Endgerät, Anwendung, Cloud-Service) und präzisere Querverlinkungen. Die Konsequenz: Weniger „Suchen und interpretieren“, mehr „sehen und verknüpfen“.

Bleibt: Anschlussfähigkeit an ISO 27001
Der IT-Grundschutz war immer anschlussfähig an die ISO-Welt – bis hin zur ISO-27001-Zertifizierung auf Basis von IT-Grundschutz. Es gibt keinerlei Hinweis, dass Grundschutz++ diesen Brückenschlag aufgibt – im Gegenteil: maschinenlesbare Controls erleichtern sogar die Mappung auf andere Kataloge (ISO 27002, NIST CSF, DORA-Controlfamilien etc.).

5) Was bedeutet das konkret für Organisationen?

5.1 Tool-Ketten werden wichtiger (und mächtiger)

Wenn Anforderungen maschinenlesbar sind, können Sie Ihr ISMS, Ihre CMDB, Ihr ITSM und Ihre Security-Werkzeuge enger koppeln. Drei unmittelbare Effekte:

1. Automatisierte Soll-/Ist-Abgleiche: Ein Control verlangt z. B. Festplattenverschlüsselung für eine Assetklasse? Das ISMS fragt die Endpoint-Management-Daten ab und weiß binnen Sekunden, wo der Nachweis fehlt – samt Ticket in der betroffenen Gruppe.
2. Versionierbare Nachweise: Jeder Nachweis wird zu einem Datenpunkt mit Zeitstempel. Audits gewinnen an Qualität; Streitfragen („war das am Stichtag aktiv?“) verlieren an Schärfe.
3. „Compliance by Design“ im DevOps-Fluss: Pipelines prüfen Software-Artefakte gegen Grundschutz++-Policies, bevor deployt wird (z. B. Secrets-Scanning, Härtung, Transportverschlüsselung, SCA).

5.2 Prozesse rücken wirklich ins Zentrum

Statt 20-seitiger Maßnahmenlisten mit Überlappung entsteht eine klare Sicht pro Prozess und pro Objekt. Für die Praxis heißt das:

• Weniger Reibungspunkte zwischen IT, OT, Cloud und Fachbereichen, weil Controls pro Service/Prozess verortet sind.
• Bessere Steuerung über KPI/KRI (z. B. „Anteil gehärteter Containerimages je kritischem Service“, „MFA-Abdeckung je Nutzergruppe“).
• Schnelleres Onboarding neuer Technologien, weil Sie Mustervorlagen (Policies, Referenz-Controls) wiederverwenden – nur noch parametrisiert für die neue Objektklasse.

5.3 Dokumentation wird leichter – und nützlicher

Mit maschinenlesbaren Grundschutz-Artefakten wandelt sich Dokumentation von „PDF zum Abheften“ zu „Daten, die arbeiten“:

• Abhängigkeiten (Prozess ↔ Service ↔ Asset ↔ Control) werden sichtbar und auswertbar.
• Risiko- und Maßnahmenentscheidungen sind als Daten verfolgbar (wer hat wann was aus welchem Grund akzeptiert?).
• Reporting lässt sich on demand erzeugen – für Management, Revision, Aufsicht – jeweils auf die Zielgruppe zugeschnitten.

6) Der Migrationspfad – pragmatisch statt puristisch

Niemand muss warten, bis jede Spezifikation final ist. Sie können heute beginnen – und gewinnen doppelt: Sie verbessern Ihr aktuelles Grundschutz-Niveau und räumen Hindernisse für Grundschutz++ aus dem Weg.

Schritt 1: Ihre „Daten-Hausaufgaben“
Die Digitalisierung eines Standards verpufft, wenn Ihr Asset- und Service-Inventar lückenhaft ist. Investieren Sie jetzt in:

• Stabile Objektmodelle (z. B. „Business Service“, „IT-Service“, „Anwendung“, „Datenobjekt“, „Endgerät“, „Cloud-Ressource“) inklusive Eigenschaften/Attribute, die Sie später für Policies brauchen (Klassifikation, Schutzbedarf, Betreiber etc.).
• Schnittstellenqualität zwischen CMDB/ITSM, IdM, Endpoint-, Cloud-/Container-Management und ISMS.
• Identity-First-Sicht: Ohne saubere Identitäten, Rollen, Gruppen und MFA-Abdeckung wird jede Prozess-/Policy-Automatisierung zur Bastelei.

Schritt 2: „Kontroll-Bausteine“ entmonolithisieren
Zerlegen Sie bestehende Policies in kleine, prüfbare Statements. Beispiel: Aus „Wir verschlüsseln mobile Endgeräte“ werden einzelne Assertions wie „BitLocker/ FileVault aktiv“, „TPM genutzt“, „Recovery-Keys sicher hinterlegt“, „Status täglich verifiziert“. Diese Atomic Controls sind die perfekte Brücke in eine maschinenlesbare Welt.

Schritt 3: Nachweis als Datenfluss denken
Definieren Sie für zentrale Controls Datenquellen (z. B. MDM-Inventar, IdP-Audit-Logs, Vulnerability-Scanner, Cloud Security Posture Management) und bauen Sie ETL-/API-Pipelines zum ISMS. Ziel: weniger manuelle Uploads, mehr automatische Evidenz.

Schritt 4: Reporting für Menschen, nicht für Schubladen
Designen Sie Management-Dashboards, die Fragen beantworten („Sind unsere kritischen Services nächste Woche audit-ready?“) statt Tabellenfriedhöfe zu stapeln. So wird der Mehrwert der Digitalisierung sichtbar – und politisch tragfähig.

7) Was ändert sich für Audits und Zertifizierungen?

Auditoren prüfen künftig weniger „Dokumente als Zustand“ und mehr „Daten als Verlauf“: Werkszustände, Änderungen, Ausnahmen, Wirksamkeitsmessungen. Das ist gut – für beide Seiten:

• Für Organisationen: Klarere Kriterien, weniger Diskussion über Form, mehr Fokus auf Substanz.
• Für Auditoren: Nachvollziehbare Evidenzen mit Zeitbezug statt point-in-time Screenshots.
• Für den Markt: Vergleichbarkeit steigt, weil Datenstrukturen standardisiert sind.

Weil die Grundmechanik des IT-Grundschutz erhalten bleibt, ist nicht zu erwarten, dass bestehende ISO-27001-Zertifizierungen auf Basis von IT-Grundschutz entwertet werden. Eher im Gegenteil: Mappings werden leichter, Vergleichsberichte verlässlicher.

8) Häufige Missverständnisse rund um Grundschutz++

„Das wird der große Bruch – alles neu.“
Nein. Es ist eine Weiterentwicklung. Wer heute sauber nach IT-Grundschutz arbeitet, steht bestens da – er kann viele Artefakte direkt migrieren und profitiert als Erster von der Digitalisierung.

„Wir warten lieber, bis alles hundertprozentig final ist.“
Das klingt vernünftig, kostet aber Zeitvorteil. Ihre Hausaufgaben (Inventare, Objektmodelle, Schnittstellen, atomare Controls) sind standards-unabhängig wertvoll – und exakt das, was Grundschutz++ erleichtern will.

„Das wird nur mehr Bürokratie – jetzt auch noch in JSON.“
Nur wenn man es falsch anlegt. Ziel ist Entlastung: einmal definieren, vielfach nutzen – mit Automatisierung statt Copy-Paste.

9) Wechselwirkungen mit anderen Regulierungen

DORA, NIS2, KRITIS 2.0, ISO-Welt – kein Unternehmen arbeitet noch singulär nach nur einem Regelwerk. Die maschinenlesbare Bereitstellung von Grundschutz-Inhalten ist die Brücke, die viele seit Jahren vermissen: ein Control, mehrere Mappings. Das erleichtert:

• Cross-Framework-Reporting (z. B. „Welcher Anteil unserer DORA-relevanten Controls wird durch Grundschutz-Maßnahmen bereits erfüllt?“).
• Lieferketten-Nachweise: Wenn der Standard Daten-IDs und Versionen kennt, lassen sich Anforderungen präzise in Verträge, Lieferantenbewertungen und TLPT-Tests gießen.
• Sektorübergreifende Zusammenarbeit dank einheitlicher Referenzen.

10) Best-Practice-Muster: Drei schnelle „Pilotfelder“ mit hohem Nutzen

10.1 Mobile & Endgeräte (MDM/EDR)

• Ziel: 90+ % automatisierte Evidenz für Kern-Controls (Verschlüsselung, MFA, Patchstand, EDR-Status).
• Warum hier? Datenquellen sind reif und homogen; Nutzen für Audit und Betrieb sofort sichtbar.
• Wie? MDM/EDR-Daten per API ins ISMS, Atomic Controls definieren, Dashboards bauen, Ausnahmen digital verwalten.

10.2 Identitäten & Zugriffe (IdP/IAM)

• Ziel: Kontinuierlich nachweisen, dass sensible Prozesse MFA, least privilege und Rezertifizierung einhalten.
• Warum hier? Identity-First ist der Anker fast aller Frameworks – und technisch bestens automatisierbar.
• Wie? Gruppen/Rollen katalogisieren, kritische Zugriffe markieren, Rezertifizierungs-Workflows anstöpseln, KPIs messen.

10.3 Cloud-Services & Container

• Ziel: „Policy-as-Code“ für Härtung, Secrets, Verschlüsselung, Netzwerkgrenzen und Bild-Signaturen.
• Warum hier? DevOps-Teams lieben automatisierte, prüfbare Regeln – und die Continuous-Compliance-Story verkauft sich intern von allein.
• Wie? Baseline-Policies als Code, Mappings zu Grundschutz-Controls, Pipeline-Gates, CSPM-/KSPM-Signale ins ISMS.

11) Was Entscheider jetzt tun sollten

1. Klaren Auftrag formulieren: „Wir digitalisieren unseren Grundschutz – mit messbarem Nutzen für Betrieb und Audit.“
2. Rollen schärfen: ISMS-Leitung, Architektur, InfoSec-Engineering, ITSM – gemeinsam statt seriell.
3. Daten-Roadmap beschließen: Woher kommen Evidenzen, wie werden sie qualitätsgesichert und versioniert?
4. Pilotfelder finanzieren: Drei Monate, drei Piloten (siehe oben), harte KPIs (Automationsquote, Audit-Zeitersparnis).
5. Lernen & skalieren: Was funktioniert, wird breit ausgerollt; was nicht, wird angepasst – iterativ, nicht großflächig auf Verdacht.

12) Blick nach vorn: Was wir vom BSI noch erwarten dürfen

Aus dem angekündigten Dialog lässt sich ablesen, womit man rechnen darf:

• Transparente Spezifikationen für Format, IDs, Versionierung der maschinenlesbaren Inhalte.
• Konsolidierte Querverweise (weniger Redundanz, klarere Objektbezüge).
• Begleitdokumente (Guides, Mapping-Hilfen, Beispiele), die die Migration stützen.
• Übergangsfristen und Release-Takt (z. B. Kompendium-„Minor“/„Major“).

Für die Praxis entscheidend: Mitgestalten. Wer sich heute in den Dialog einbringt – über Verbände, Arbeitskreise, öffentliche Rückmeldungen – prägt mit, wie gut Grundschutz++ morgen in Tools und Prozessen landet.

13) Fazit: Gleiches Ziel, bessere Wege

Grundschutz++ ist kein Marketing-Label, sondern die logische Fortentwicklung eines bewährten Standards: digitaler, prozessorientierter, integrierter. Das BSI setzt dafür bewusst auf Dialog und Evolution statt Big Bang. Für Organisationen ist das eine große Chance:

• Sie vereinfachen ihre Nachweisführung,
• automatisieren Kontrollen dort, wo es Sinn macht,
• vermeiden redundante Dokumentation,
• verbessern die Anschlussfähigkeit an andere Regulierungen,
• und schaffen eine robuste Datengrundlage für Audits, Management-Entscheidungen und den operativen Betrieb.

Wer heute beginnt, Inventare, Objektmodelle, Schnittstellen und Atomic Controls sauber aufzusetzen, wird Grundschutz++ nicht „einführen“, sondern mit minimaler Reibung hineinwachsen – und genau darum geht es: Sicherheit, die arbeitet.

Quellen & weiterführende Hinweise

• BSI: IT-Grundschutz – Informationen & Einstieg (Aufgaben, Methodik, Kompendium, BSI-Standards; offizieller Überblick).
• BSI: „BSI im Dialog: Fortentwicklung des IT-Grundschutz (Grundschutz++)“ – Ankündigung/News, die den laufenden Dialog zur Modernisierung benennt.
• Praxisbericht: „IT-Grundschutz++“ vorgestellt – Digitalisierung, maschinenlesbare Artefakte, Abbau von Redundanzen, Übergangsfristen (Zusammenfassung einer öffentlichen Präsentation/Community-Rückmeldung; nützlich, um die geplante Richtung zu verstehen).

(Hinweis: „Grundschutz++“ ist ein Arbeitstitel der Fortentwicklung. Details befinden sich in laufender Erarbeitung und Konsultation. Oben genannte Nutzen, Beispiele und Vorgehensvorschläge sind praxiserprobte Interpretationen im Lichte der verfügbaren öffentlichen Informationen; maßgeblich bleiben die jeweils aktuellen Veröffentlichungen des BSI.)