Das BSI hat in einer Veranstaltung den Grundschutz++ vorgestellt – ich habe teilgenommen und spannende Einblicke in die geplanten Veränderungen bekommen. Klar wurde: Der bisherige „IT“-Grundschutz gehört der Vergangenheit an – künftig sprechen wir nur noch vom Grundschutz, weil Sicherheit weit über die IT hinausgeht.

Die wichtigsten Neuerungen im Überblick:

• Stark reduzierte Anforderungen – rund 85 % weniger, durch Konsolidierung und klare Muss/Soll/Kann-Abstufung.
• Klares Mapping – Anforderungen werden verschiedenen Praktiken wie ISMS, technischen und organisatorischen Schwerpunkten zugeordnet: ca. 450 technische, ca. 380 organisatorische, ca. 100 ISMS Anforderungen.
• Zielobjekt statt Baustein – Anforderungen beziehen sich künftig direkt auf Informationen, Systeme, Netzwerkelemente, Anwendungen, Orte, Einkauf oder Nutzende. Damit entfallen die bisherigen Bausteine – und mit ihnen auch die klassische Modellierung.
• Überarbeitete Methodik – der Grundschutz++ wird konzeptionell weiterentwickelt und praxisgerechter gestaltet.
• Open & Digital – statt den herkömmlichen IT-Kompendien gibt es ein GitHub-Repository mit Anforderungen, u. a. auch maschinenlesbar (z. B. JSON).

Roadmap:

01.10.2025: Veröffentlichung der ersten Version des Repositories zum Stand der Technik
Ende 2025 / Anfang 2026: Konsolidierung inkl. Methodik, Zertifizierungen nach GS++ möglich
Ende 2028 / Anfang 2029: Ende der Übergangszeit von der alten Methodik auf den Grundschutz++

Mein Eindruck: Mit Grundschutz++ wird vieles einfacher, klarer und digitaler.

Wie schätzt ihr das ein – ist das der große Schritt in die Zukunft oder nur ein neuer Name für alte Probleme?