Der IT-Grundschutz des BSI ist seit Jahren die wohl deutscheste Antwort auf eine sehr internationale Frage: Wie organisiert man Informationssicherheit so, dass sie im Alltag funktioniert, auditierbar bleibt und trotzdem mit der Technik Schritt hält? Mit „Grundschutz++“ kündigt sich nun die nächste Evolutionsstufe an – eine Fortentwicklung, die den Standard stärker digitalisiert, prozessorientierter macht und für die kommenden Jahre fit. Das BSI hat dazu im Sommer 2025 ausdrücklich den Dialog mit der Fachöffentlichkeit gesucht und den Namen „IT-Grundschutz++“ als Arbeitstitel gesetzt. Ziel: Modernisierung ohne Bruch, also Kontinuität dort, wo sie sinnvoll ist, und spürbare Vereinfachungen dort, wo die Praxis es braucht.

Dieser Beitrag ordnet den Kontext ein, erklärt die Design-Ideen hinter Grundschutz++, zeigt, was sich wahrscheinlich verändert (und was nicht), und gibt konkrete Hinweise, wie sich Organisationen – vom Mittelständler bis zur Behörde – heute so aufstellen, dass der Übergang locker gelingt. Wir stützen uns dabei auf die offiziellen BSI-Informationen zum IT-Grundschutz und auf frühe, öffentliche Berichte aus der Praxiscommunity, die die Digitalisierung und Maschinenlesbarkeit des Standards, eine stärkere Objekt-/Prozessorientierung sowie Übergangsfristen skizzieren.

In vielen Unternehmen ist Security Awareness ein Pflichtprogramm, das Mitarbeitende mit derselben Begeisterung erwarten wie eine Steuerprüfung. Jedes Jahr eine Pflichtschulung, ein paar Folien, vielleicht ein Multiple-Choice-Test am Ende – und fertig. Das Problem: Diese Form von Sensibilisierung erreicht selten ihr Ziel. Im besten Fall haken die Teilnehmenden sie ab, im schlimmsten Fall sorgt sie für kollektives Augenrollen und den Eindruck, dass Sicherheit nur Bürokratie ist. Dabei ist Security Awareness einer der entscheidendsten Faktoren für die Informationssicherheit überhaupt. Die meisten Sicherheitsvorfälle haben menschliche Ursachen – sei es ein Klick auf einen schädlichen Link, das Teilen sensibler Daten oder das Ignorieren von Sicherheitswarnungen. Wenn Awareness-Programme nicht hängen bleiben, bleiben Lücken offen, die keine Firewall der Welt schließen kann.

Der Schlüssel zu wirksamer Awareness liegt darin, die Perspektive zu wechseln: weg von der Pflichtveranstaltung, hin zu einer Erfahrung, die relevant, verständlich und einprägsam ist. Genau das verlangt ein didaktisches Re-Design: Storytelling statt Paragrafen, Rollenrelevanz statt Gießkanne, Interaktion statt Vorlesen, Kontinuität statt Jahresmarathon, Vorbild statt Verordnung – und Messbarkeit statt Bauchgefühl.

Wer in der Welt von Qualitätsmanagement, Informationssicherheit oder Prozessoptimierung unterwegs ist, kommt an PDCA nicht vorbei. Vier Buchstaben, die für viele nach grauer Theorie aus ISO-Handbüchern und endlosen Audit-Checklisten klingen. Plan – Do – Check – Act. Klingt simpel, fast schon banal. Doch hinter diesem unscheinbaren Zyklus steckt einer der mächtigsten Ansätze, um nicht nur Managementsysteme, sondern ganze Organisationen kontinuierlich zu verbessern. Das Problem: PDCA wird oft falsch verstanden oder halbherzig umgesetzt – und dann wirkt es tatsächlich langweilig. Wer es aber richtig macht, erlebt, wie aus einem theoretischen Modell ein lebendiger Motor für Veränderung wird.

Warum PDCA so oft unterschätzt (und missbraucht) wird

PDCA scheitert selten an seiner Logik, sondern an der Praxis. Häufige Fehlgriffe: „Plan“ wird als reines Dokumentieren verwechselt, „Do“ als hektisches Abarbeiten, „Check“ als Schuldzuweisung und „Act“ als Protokollnotiz ohne Konsequenz. Ebenso verbreitet: Der Zyklus wird nur jährlich gefahren – zum Audit – statt in kurzen, regelmäßigen Takten. Und nicht zuletzt: Es fehlt die Verbindung zu echten Zielen und Kennzahlen; Maßnahmen segeln ohne Kompass durch den Betrieb. Damit PDCA Wirkung entfaltet, braucht es drei Zutaten: klare Zielbilder, belastbare Daten und geübte Routinen. Erst dann wird aus Theorie gelebte Praxis.

Das IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist so etwas wie die „Enzyklopädie“ der deutschen Informationssicherheit – und trotzdem kennen viele Unternehmen es nur vom Hörensagen oder sehen es als schwerfälligen Behördenwälzer, den man allenfalls für Audits hervorholt. In Wahrheit ist dieses Werk eine der wertvollsten und praxisnahsten Ressourcen, die es im Bereich Cyber- und Informationssicherheit gibt. Wer es versteht und richtig einsetzt, hat nicht nur ein umfassendes Nachschlagewerk, sondern auch einen methodischen Baukasten, mit dem sich fast jede Sicherheitsanforderung strukturiert und nachvollziehbar umsetzen lässt. Gerade in Zeiten von NIS2, DORA, KRITIS-Regelungen oder branchenspezifischen Sicherheitskatalogen liefert der IT-Grundschutz einen roten Faden: Was muss ich organisieren? Welche Maßnahmen sind Stand der Technik? Wie belege ich wirksam, dass wir es tun?

Bausteinlogik statt Bleiwüste: Wie das Kompendium aufgebaut ist

Das Besondere am IT-Grundschutz-Kompendium ist seine Bausteinlogik. Es ist nicht als reines Lehrbuch geschrieben, sondern als Sammlung modularer Sicherheitsbausteine, die je nach Bedarf zusammengesetzt werden können. Jeder Baustein steht für einen klar umrissenen Bereich – das kann ein technisches Thema sein wie „Server“, „Datenbanken“, „Netzkomponenten“ oder „Virtualisierung“, ein organisatorischer Prozess wie „Patch- und Änderungsmanagement“, „Lieferantenmanagement“ und „Incident-Management“, eine physische Komponente wie „Serverraum“ oder „Rechenzentrum“ oder Querschnittthemen wie „Cloud-Nutzung“, „Mobile Arbeit“ und „Kryptokonzept“.

Die Business Impact Analyse (BIA) gilt in vielen Unternehmen als kompliziertes und theoretisches Verfahren, das vor allem Berater oder Auditoren lieben, aber in der Praxis schwer greifbar ist. Tatsächlich ist sie ein zentrales Werkzeug für Business Continuity Management (BCM), Notfallplanung und Informationssicherheit – und weit weniger mysteriös, als ihr Ruf vermuten lässt. Eine gut gemachte BIA beantwortet im Kern eine einfache Frage: Was passiert, wenn ein bestimmter Geschäftsprozess oder ein bestimmtes System ausfällt – und wie schnell müssen wir wieder arbeitsfähig sein? Die Kunst besteht darin, diese Frage strukturiert, nachvollziehbar und in einer Sprache zu beantworten, die alle im Unternehmen verstehen.

Begriffe im Klartext: Prozesskritikalität, RTO, RPO, MAO

Damit alle dasselbe meinen, wenn sie diskutieren, lohnt sich eine klare Begriffswelt: