Das BSI hat in einer Veranstaltung den Grundschutz++ vorgestellt – ich habe teilgenommen und spannende Einblicke in die geplanten Veränderungen bekommen. Klar wurde: Der bisherige „IT“-Grundschutz gehört der Vergangenheit an – künftig sprechen wir nur noch vom Grundschutz, weil Sicherheit weit über die IT hinausgeht.
Die wichtigsten Neuerungen im Überblick:
- Stark reduzierte Anforderungen – rund 85 % weniger, durch Konsolidierung und klare Muss/Soll/Kann-Abstufung.
- Klares Mapping – Anforderungen werden verschiedenen Praktiken wie ISMS, technischen und organisatorischen Schwerpunkten zugeordnet: ca. 450 technische, ca. 380 organisatorische, ca. 100 ISMS Anforderungen.
- Zielobjekt statt Baustein – Anforderungen beziehen sich künftig direkt auf Informationen, Systeme, Netzwerkelemente, Anwendungen, Orte, Einkauf oder Nutzende. Damit entfallen die bisherigen Bausteine – und mit ihnen auch die klassische Modellierung.
- Überarbeitete Methodik – der Grundschutz++ wird konzeptionell weiterentwickelt und praxisgerechter gestaltet.
- Open & Digital – statt den herkömmlichen IT-Kompendien gibt es ein GitHub-Repository mit Anforderungen, u. a. auch maschinenlesbar (z. B. JSON).
Roadmap:
01.10.2025: Veröffentlichung der ersten Version des Repositories zum Stand der Technik
Ende 2025 / Anfang 2026: Konsolidierung inkl. Methodik, Zertifizierungen nach GS++ möglich
Ende 2028 / Anfang 2029: Ende der Übergangszeit von der alten Methodik auf den Grundschutz++
Mein Eindruck: Mit Grundschutz++ wird vieles einfacher, klarer und digitaler.
Wie schätzt ihr das ein – ist das der große Schritt in die Zukunft oder nur ein neuer Name für alte Probleme?
Frequently asked questions
Perspektivisch wird der IT-Grundschutz++ den bisherigen IT-Grundschutz ablösen. Es ist jedoch eine längere Übergangszeit vorgesehen, in der beide Systeme parallel gültig sein werden.
Schulungen werden wie bisher auch durch externe Anbieter angeboten. Ein konkreter Zeitplan für neue Formate und Zertifikate steht aktuell noch nicht fest.
Ein eigenes Grundschutz-Tool des BSI, wie es früher einmal existierte, ist nicht geplant.
Das offizielle Repository wird am 01.10.2025 veröffentlicht.
Dazu gibt es beim BSI derzeit verschiedene Überlegungen. Eine verbindliche Entscheidung wurde bislang nicht getroffen.
Teil 1: Anforderungen und Maßnahmen – Veröffentlichung der ersten Version am 01.10.2025.
Teil 2: Methodik (BSI-Standard) – Erste Version bis zum 01.01.2026, Pilotierungsphase bis Februar 2026. Anschließend wird die Methodik sukzessive weiterentwickelt.
Finale Version: Ende 2026.
Zertifizierungsfähigkeit nach neuer Methodik: Ab 2027.
Das IT-Grundschutz-Kompendium 2023 bleibt bis 2027 gültig und ist bis 2029 verfügbar. Der Übergangszeitraum erstreckt sich somit bis 2029 – begleitet von deutlichen Veränderungen in Vorgehen und Methodik.
Die Methodik des GS++ wird als Alpha-Version auf der it-sa vorgestellt. Detaillierte Vorgaben des BSI werden im weiteren Verlauf veröffentlicht.
Ja, die Kompatibilität zur ISO 27001 bleibt auch mit Grundschutz++ gewährleistet. Eine Abkopplung ist nicht vorgesehen.
Modellierungen werden sich künftig immer auf eine konkrete Version im Repository beziehen. Da die Anforderungen und Maßnahmen kontinuierlich weiterentwickelt werden, ist für jede Version ein definierter Bezug erforderlich.
Nein. Für die Mitarbeit in den AGs sind keine besonderen Nachweise erforderlich. Eine aktive Beteiligung genügt. Die Anmeldung erfolgt über die jeweiligen Editoren.
Das Business Continuity Management (BCM) einer Institution ist nicht Teil des GS++-Scopes. Für die Zertifizierung des ISMS wird das BCM daher nicht berücksichtigt, da es ein eigenständiges Managementsystem darstellt.