Der IT-Grundschutz des BSI ist seit Jahren die wohl deutscheste Antwort auf eine sehr internationale Frage: Wie organisiert man Informationssicherheit so, dass sie im Alltag funktioniert, auditierbar bleibt und trotzdem mit der Technik Schritt hält? Mit „Grundschutz++“ kündigt sich nun die nächste Evolutionsstufe an – eine Fortentwicklung, die den Standard stärker digitalisiert, prozessorientierter macht und für die kommenden Jahre fit. Das BSI hat dazu im Sommer 2025 ausdrücklich den Dialog mit der Fachöffentlichkeit gesucht und den Namen „IT-Grundschutz++“ als Arbeitstitel gesetzt. Ziel: Modernisierung ohne Bruch, also Kontinuität dort, wo sie sinnvoll ist, und spürbare Vereinfachungen dort, wo die Praxis es braucht.

Dieser Beitrag ordnet den Kontext ein, erklärt die Design-Ideen hinter Grundschutz++, zeigt, was sich wahrscheinlich verändert (und was nicht), und gibt konkrete Hinweise, wie sich Organisationen – vom Mittelständler bis zur Behörde – heute so aufstellen, dass der Übergang locker gelingt. Wir stützen uns dabei auf die offiziellen BSI-Informationen zum IT-Grundschutz und auf frühe, öffentliche Berichte aus der Praxiscommunity, die die Digitalisierung und Maschinenlesbarkeit des Standards, eine stärkere Objekt-/Prozessorientierung sowie Übergangsfristen skizzieren.

Es gab eine Ära, in der „Governance“ der Stoff für Policies, Organigramme und Audit-Agenden war. Man schrieb Richtlinien, legte Rollen fest, dokumentierte Risiken – und hoffte, dass all das im Ernstfall trägt. Diese Ära endet. Mit dem AI Act und dem Cyber Resilience Act (CRA) rückt die EU Governance an den Ort, an dem sich Wahrheit nicht vertuschen lässt: in die Produktentwicklung und den Betrieb. Plötzlich zählt nicht mehr, ob eine Regel existiert, sondern ob Ihr Produkt – Hardware, Software, Service, Modell – unter Last das hält, was Ihr Governance-Papier verspricht. Governance wird zur Produktprüfung. Wer das als Bürokratie empfindet, hat den Kern verfehlt. Wer es als Chance begreift, baut die Brücke zwischen Recht, Risiko und Ingenieursarbeit – und gewinnt Geschwindigkeit, Vertrauen und Marktzugang.

Der Kipppunkt: Von Papier-Governance zu Prüf-Governance

Warum dieser Bruch? Weil zwei Bewegungen zusammentreffen. Erstens KI-basierte Funktionen durchdringen Produkte quer durch alle Branchen – vom Risiko-Scoring in der Bank über visuelle Inspektionen in der Fertigung bis zu generativen Assistenten in SaaS-Plattformen. Zweitens zwingt die Digitalisierung der Lieferketten praktisch jedes Produkt, „mit dem Internet“ zu sprechen – und damit angreifbar zu sein. Wenn Fehlentscheidungen eines Modells diskriminieren können und eine Schwachstelle im Update-Mechanismus Hunderttausende Geräte trifft, dann reichen schöne Policies nicht mehr. Die EU schlägt daraus zwei Fäden: AI Act (Fokus: verantwortliche KI) und CRA (Fokus: durchgängig sichere Produkte mit digitalen Elementen). Beide Fäden laufen in derselben Mechanik zusammen: Konformität = Fähigkeit + Nachweis. Fähigkeit entsteht in Architektur, Code, Daten und Betrieb. Nachweis entsteht in Tests, Telemetrie und technischer Dokumentation.

Backups gelten als Sicherheitsgurt der IT. Sie beruhigen, wenn alles andere schiefgeht, sie legitimieren mutige Veränderungen und sie sind – so die bequeme Erzählung – die letzte Verteidigungslinie gegen Ransomware, Fehlkonfigurationen und menschliche Irrtümer. Doch genau in dieser Bequemlichkeit steckt ein Risiko. Wer Backups nur als „haben wir“ verbucht, übersieht, dass sie selbst zu Angriffsfläche, Compliance-Falle, Kostenbremse und Operations-Risiko werden können. Dieses Paradoxon begegnet man erst dann, wenn es weh tut: im Incident Room, wenn Wiederherstellungen scheitern; im Audit, wenn Aufbewahrungsfristen und Löschpflichten kollidieren; in der Lieferkette, wenn ein Dienstleister die Telemetrie nicht liefert; im Budget, wenn Zombie-Backups in der Cloud unbemerkt Millionen verschlingen. Zeit, hinzusehen: Wann werden Backups zur Gefahr – und wie baut man sie so, dass sie nicht zum Problem, sondern zum Beweis der eigenen Handlungsfähigkeit werden?

Das Backup-Paradoxon

Je erfolgreicher die Datensicherung, desto unsichtbarer wird sie. Sie läuft nachts, sie meldet „grün“, sie erzeugt beruhigende Reports. Doch Sichtbarkeit ist nicht gleich Wirksamkeit. „Job erfolgreich“ bedeutet nicht, dass sich eine kritische Anwendung konsistent wiederherstellen lässt. „Immutability aktiv“ bedeutet nicht, dass Angreifer nicht doch Löschbefehle platzieren können – über die falschen Adminrechte, die richtige API oder einen Delegationsfehler. „Replikation aktiv“ bedeutet nicht, dass man ein sicheres Restore-Zeitfenster hat; Replikation multipliziert auch Korruption und Verschlüsselung in Rechenzeit, nicht in Tagen. Was zählt, ist nicht die Existenz von Kopien, sondern die Fähigkeit, gezielt, schnell und integer zu rekonstruieren – und das nachweisbar.

Es gab eine Zeit, in der Cybersecurity vor allem als Schutzdisziplin verstanden wurde: Systeme härten, Angriffe blockieren, Daten vor unerlaubtem Zugriff bewahren. Überschaubare Perimeter, klar definierte Netzgrenzen, ein Katalog an „Best Practices“ – und möglichst wenige Überraschungen. Diese Zeit ist vorbei. Je stärker digitale Infrastrukturen miteinander verflochten sind, desto offensichtlicher wird: Perfekter Schutz existiert nicht. Angriffe werden erfolgreicher, Lieferketten komplexer, Abhängigkeiten enger – und der Schaden, wenn etwas schiefgeht, größer. Die Aufsicht reagiert: Nicht mehr reiner Schutz, sondern Resilienz steht im Mittelpunkt. Widerstandsfähigkeit wird zur eigentlichen Währung der digitalen Governance. Das ist kein semantischer Wechsel, sondern ein Paradigmenbruch mit tiefen Folgen für Strategie, Organisation, Technik und Kultur.

Warum Schutz allein nicht mehr reicht

Die altbekannte Verteidigungslogik – verhindern, abwehren, abschotten – bleibt wichtig, aber sie stößt an harte physikalische Grenzen. Erstens, weil die Angriffsfläche exponentiell wächst: Cloud, SaaS, APIs, mobile Arbeit, OT/IoT, Datenökosysteme. Zweitens, weil Angreifer industrialisiert vorgehen: Toolkits, Ransomware-as-a-Service, Initial Access Broker, Supply-Chain-Taktiken. Drittens, weil digitale Abhängigkeiten zu systemischen Effekten führen: Fällt ein zentraler Dienstleister aus, trifft das in Stunden ganze Wertschöpfungsketten. Resilienz stellt daher eine andere Frage als klassischer Schutz: Wie bleibt das Unternehmen handlungsfähig, obwohl Schutzmaßnahmen versagen können? Die Antwort betrifft Architektur (Entkopplung, Redundanz), Organisation (Entscheidungsrechte, Eskalationsregeln), Menschen (Kompetenz, Übung) und Evidenz (Nachweis, dass es im Ernstfall funktioniert).

Es gibt Momente, in denen Regulierung nicht nur Regeln setzt, sondern eine ganze Organisation in den Spiegel schauen lässt. DORA und NIS2 sind genau solche Momente. Die eine Verordnung richtet sich mitten ins Herz der Finanzwelt und macht digitale Resilienz zur Chefsache. Die andere spannt den Bogen über große Teile der europäischen Wirtschaft und hebt Cybersicherheit auf ein neues, sektorübergreifendes Niveau. Zusammen erzeugen sie einen Druck, der weit über Checklisten hinausreicht: Governance wird zur Bewährungsprobe. Nicht mehr die Frage, ob Richtlinien existieren, sondern ob Steuerung messbar wirkt, entscheidet darüber, wie belastbar ein Unternehmen wirklich ist.

Der Doppeldruck: Zwei Wellen, ein Kernproblem

Viele Häuser erleben gerade zwei Wellen gleichzeitig. Von DORA her rollt die Erwartung, digitale Betriebsfähigkeit selbst unter Störung nachweislich zu sichern – mit Risikomanagement, Meldung, Tests und streng geführter Lieferkette. Von NIS2 her wächst der Anspruch, Cyberrisiken querschnittlich zu beherrschen – vom Vorstand über Technik bis hin zu Partnern und Dienstleistern. Auf den ersten Blick zwei Welten; in Wahrheit ein Kernproblem: Führung unter Unsicherheit. Wer beide Rahmen ernst nimmt, erkennt schnell: Governance ist nicht die Summe von Einzelanforderungen, sondern ein lebendes System, das Ziele, Risiken, Kontrollen, Daten und Entscheidungen miteinander verzahnt – und zwar so, dass man es jederzeit belegen kann.