IT-Grundschutz und Grundschutz++: Was sich ändert und was Organisationen jetzt tun sollten
Der etablierte IT-Grundschutz bleibt eine umfassende Grundlage für Informationssicherheitsmanagement. Grundschutz++ ergänzt ihn um einen zukunftsgerichteten, vollständig prozessorientierten und digital nutzbaren Ordnungsrahmen.
Einordnung auf einen Blick
Der klassische IT-Grundschutz arbeitet mit BSI-Standards, Modellierung und Bausteinen des IT-Grundschutz-Kompendiums. Grundschutz++ verfolgt laut BSI einen vollständig prozessorientierten Ansatz. Anforderungen werden als standardisierte, maschinenlesbare Regeln beschrieben. Dadurch sollen Sicherheitsanforderungen leichter digital verarbeitet, aktualisiert und in Werkzeuge integriert werden können.
Wichtig: Grundschutz++ sollte nicht als einfacher Austausch einzelner Bausteine verstanden werden. Es verändert vor allem die Struktur und die digitale Nutzbarkeit des Regelwerks. Organisationen sollten daher bestehende ISMS-Strukturen nicht verwerfen, sondern Datenqualität, Prozesse und Verantwortlichkeiten auf den Übergang vorbereiten.
Was bleibt beim IT-Grundschutz bestehen?
- Informationssicherheit bleibt eine Management- und Organisationsaufgabe.
- Schutzbedarf, Risiken, Verantwortlichkeiten und umgesetzte Maßnahmen müssen nachvollziehbar sein.
- Ein ISMS benötigt klare Ziele, Rollen, Kontrollen und kontinuierliche Verbesserung.
- Der BSI-Standard 200-2 und das IT-Grundschutz-Kompendium bilden weiterhin eine zentrale Arbeitsgrundlage.
Was ist bei Grundschutz++ neu?
IT-Grundschutz und Grundschutz++ im Vergleich
| Aspekt | IT-Grundschutz | Grundschutz++ |
|---|---|---|
| Struktur | Standards, Methodik und thematische Bausteine | Vollständig prozessorientierter Ordnungsrahmen |
| Darstellung | Dokumente, Bausteine und Anforderungen | Standardisierte, digital verarbeitbare Regeln |
| Pflege | Editionen und aktualisierte Veröffentlichungen | Gezieltere Aktualisierung einzelner Regeln möglich |
| Werkzeuge | Softwareunterstützung anhand des bestehenden Kompendiums | Stärkere Maschinenlesbarkeit und Integrationsfähigkeit |
| Organisatorischer Fokus | Ganzheitliches ISMS mit Modellierung und Absicherungsvarianten | Prozesse, Handlungen, Nachweise und digitale Weiterverarbeitung |
Was müssen Organisationen jetzt tun?
- Bestehendes ISMS stabilisieren: Rollen, Scope, Schutzbedarf, Risiken und Maßnahmen müssen weiterhin belastbar gepflegt werden.
- Prozesslandkarte aktualisieren: Geschäfts-, Verwaltungs-, IT-, Sicherheits- und Notfallprozesse sollten nachvollziehbar dokumentiert sein.
- Informationsobjekte und Abhängigkeiten klären: Welche Informationen, Systeme, Dienstleister und Prozesse sind für die Leistungserbringung kritisch?
- Anforderungen strukturiert erfassen: Anforderungen nicht nur in PDFs oder Freitexten verwalten, sondern eindeutig, versionierbar und verantwortlichen Rollen zugeordnet.
- Nachweise verbessern: Zu jeder wesentlichen Anforderung sollte erkennbar sein, wie sie umgesetzt, geprüft und verbessert wird.
- Werkzeuglandschaft prüfen: ISMS- und GRC-Werkzeuge sollten offene Datenstrukturen, Importe, Exporte und nachvollziehbare Versionsstände unterstützen.
- Übergang planen: Zuständigkeiten, Schulungsbedarf und technische Anpassungen frühzeitig in eine Roadmap aufnehmen.
Was bedeutet das für Mitarbeitende?
Für Mitarbeitende sollte Grundschutz++ nicht zu mehr unverständlicher Dokumentation führen. Der Mehrwert entsteht, wenn Anforderungen näher an realen Tätigkeiten beschrieben werden: Wer muss was tun, wann, womit und wie wird die Umsetzung nachgewiesen? Führungskräfte müssen Verantwortlichkeiten sichtbar machen, Informationssicherheitsbeauftragte benötigen verlässliche Daten, und Fachbereiche sollten früh in Prozess- und Regeldefinitionen eingebunden werden.
Quellen und weiterführende Informationen
- BSI: Leitfaden – Methodik Grundschutz++ (1. April 2026)
- BSI: IT-Grundschutz und Hinweise zum neuen prozessorientierten Regelwerk
- BSI im Dialog: Fortentwicklung des IT-Grundschutz++ (6. Juni 2025)
- BSI-Standard 200-2: IT-Grundschutz-Methodik
- BSI: IT-Grundschutz-Kompendium
Der Beitrag ist eine fachliche Einordnung und keine Rechts- oder Zertifizierungsberatung. Übergangsregeln und Detailanforderungen sollten anhand der jeweils aktuellen BSI-Veröffentlichungen geprüft werden.