Grundlegende Reform des IT-Sicherheitsstandards: Grundschutz++: Der BSI-Weg zur agilen Sicherheit

Statt zyklischer Updates und zentralisierter Entwicklung will das BSI künftig auf die Expertise einer breiten Fachcommunity setzen. Die Umstellung markiert einen Paradigmenwechsel im bisher behördlich geprägten Entwicklungsmodell des IT-Grundschutzes. Ziel ist es laut BSI, die Praxisnähe zu erhöhen und schneller auf neue technische Entwicklungen reagieren zu können.

Warum ein agiler Ansatz notwendig ist

Der klassische (Start 2005) wie auch der modernisierte (Start 2019) BSI IT-Grundschutz galt lange Zeit als methodisch solide, jedoch schwerfällig in der Anpassung an technische Innovationen oder neue Bedrohungslagen und spürbar dokumentationslastig. Die zyklische Überarbeitung der Kataloge und später des Kompendiums konnte mit der Dynamik digitaler Entwicklungen kaum Schritt halten. Technologische Entwicklungen – etwa im Bereich Cloud-Architekturen, KI-basierter Systeme oder operationaler Bedrohungsanalysen – erfordern jedoch eine schnellere Reaktionsfähigkeit sicherheitsrelevanter Rahmenwerke.

Die Einführung agiler Prinzipien im Rahmen des Grundschutz++ zielt daher auf eine grundsätzliche Beschleunigung des Anpassungsprozesses ab. Das BSI will Inhalte – etwa neue Anforderungen, geänderte Bedrohungslagen oder Sicherheitspraktiken – häufiger aktualisieren und direkt ins neue Kompendium integrieren. Die methodische Grundlage bleibt dabei so weit wie möglich stabil, während Inhalte modular ergänzt oder angepasst werden können. Erreicht wird somit eine Entkopplung von Methodik und Inhalt, die zu höherer Flexibilität bei gleichzeitiger Planbarkeit führen soll.

Die Fortführung schon bisher etablierter methodischer Grundsätze strebt man an, um die Vorteile des Grundschutzes zu erhalten. Es wird beispielsweise diskutiert, dass weiterhin eine eingebaute erste Stufe der Risikoanalyse für einen soliden Ausgangsstand von Sicherheitskonzepten beziehungsweise ISMS-Aufstellungen zur Verfügung steht. Die Agilisierung soll nicht nur die technische Aktualität des Grundschutz-Kompendiums verbessern, sondern auch eine stärkere Nähe zur tatsächlichen Anwendungspraxis ermöglichen – besonders durch die Öffnung für Vorschläge und Rückmeldungen aus der Community.

Der Community-Anteil wird in ein bewährtes Element des Grundschutzes eingebunden: die Zuweisung zu Zielobjekten. Das erfolgt zukünftig über die Anwendung sogenannter „Praktiken“. Laut BSI definieren diese Praktiken Prozess- und Umsetzungsziele, die sich auf verschiedene Elemente beziehen lassen – von Sicherheitsprozessen bis hin zu IT-Systemen, Netzen und Komponenten. Die Methodik der Modellierung und die Bildung von Themenzuordnungen wird damit flexibler und gezielter anwendbar, auch wenn Modellierung und Bausteine damit in Zukunft anders geprägt werden.

Praktiken können beispielsweise in Prozesselementen wie „Sensibilisierung“ oder in technischen Vorgaben wie „Konfiguration“ bestehen. Die Anwendung auf unterschiedliche Zielobjekte ermöglicht es, dass die Anforderungen nicht redundant bestehen, sondern genau den Zielobjekten zugeordnet werden, deren Eigenschaften oder Abläufe damit abgesichert werden.

Die Community als Mitgestalter

Das BSI plant, die Fachcommunity systematisch in die Entwicklung des Grundschutz++ einzubinden. In eigens dafür eingerichteten Arbeitsgruppen wird derzeit diskutiert, wie diese Beteiligung konkret aussehen soll. Anders als in früheren Modellen, bei denen Vorschläge von wenigen allenfalls in späteren Überarbeitungen Berücksichtigung fanden, soll die Community im Rahmen des Grundschutz++ direkt an der Entwicklung von Inhalten beteiligt sein.

Die Beteiligung soll sich dabei auf zwei Ebenen abspielen:

1. Vorschläge für Praktiken und Inhalte:

Community-Mitglieder – etwa aus Unternehmen, Behörden, Forschungseinrichtungen oder Beratungen – können konkrete Vorschläge für neue oder angepasste Sicherheitspraktiken oder Maßnahmen einbringen. Diese Vorschläge sollen strukturiert geprüft und gegebenenfalls iterativ weiterentwickelt werden.

2. Qualitätssicherung und fachliche Prüfung:

Die Community soll zugleich in die Rolle eines fachlichen Korrektivs hineinwachsen. Über ein noch zu definierendes Bewertungsverfahren werden eingebrachte Inhalte hinsichtlich ihrer Praxistauglichkeit, Aktualität und fachlichen Qualität bewertet. Dabei wird besonders darauf geachtet, dass Anforderungen auch in heterogenen IT-Landschaften realistisch umsetzbar sind. Diese doppelte Funktion – als Impulsgeberin und Qualitätssicherungsinstanz – eröffnet neue Potenziale für eine nutzernähere und resiliente Gestaltung des Grundschutz-Kompendiums.

Vorteile für kleinere Organisationen

Gerade für kleinere Organisationen – etwa kleine und mittlere Unternehmen (KMU), Kleinst- und Kleinunternehmen (KKU) oder kleine kommunale Verwaltungen mit begrenzten personellen und
finanziellen Ressourcen – kann der neue Ansatz einen spürbaren Mehrwert bieten. Die stärkere Modularisierung, die Möglichkeit zur fokussierten Umsetzung einzelner Praktiken und die klarere
Staffelung der Anforderungen ermöglichen eine bedarfsgerechtere beziehungsweise auch zielgenauere Integration von Sicherheitsmaßnahmen.

Ein wichtiger Aspekt ist die Absicht des BSI, die Anzahl der Anforderungen deutlich zu reduzieren. Haben die Bausteine des IT-Grundschutz-Kompendiums insgesamt über 8.000 einzelne Anforderungssätze, so soll diese Anzahl auf deutlich unter 2.000 in definierten Satzschablonen reduziert werden. Durch die künftige Einteilung in Wirkmächtigkeitsstufen lassen sich Maßnahmen zudem gezielter priorisieren. Damit wird nicht nur die Einstiegshürde gesenkt, sondern auch eine bessere Anschlussfähigkeit an reale Umsetzungsmöglichkeiten geschaffen – ein Punkt, der in der bisherigen Anwendungspraxis häufig kritisiert wurde.

Herausforderungen bei der Umstellung

Trotz der skizzierten Vorteile bringt der neue Ansatz auch eine Reihe von Herausforderungen mit sich. So war der klassische IT-Grundschutz auch deshalb beliebt, weil er eine stabile und in sich konsistente Bewertungs- und Nachweismethodik bot. Diese Stabilität könnte durch häufige Aktualisierungen und communitybasierte Ergänzungen geschwächt werden.

Ein weiteres zentrales Problem betrifft die Konformitätsbewertung: Die Einführung eines punktbasierten Systems zur Ermittlung der sogenannten „Wirkmächtigkeit“ mit entsprechenden Kennzahlen einzelner Anforderungen soll zwar helfen, Maßnahmen besser zu priorisieren. Gleichzeitig erschwert sie aber eine einheitliche Bewertung – besonders wenn Organisationen auf Basis unterschiedlicher Schwellwerte arbeiten. Die Vergleichbarkeit von Umsetzungsständen über Institutionen hinweg wird damit komplexer, vor allem im Prüf- und Zertifizierungskontext.

Auch das Vertrauen in die Verbindlichkeit der Anforderungen steht zur Diskussion. Die Tatsache, dass Inhalte häufiger angepasst oder durch die Community eingebracht werden können, erzeugt bei bisherigen Nutzern in unserer Wahrnehmung eine Unsicherheit bezüglich der Langfristigkeit von Maßnahmen – ein Aspekt, der besonders in behördlichen Strukturen kritisch betrachtet wird.

In einigen Konzepten für Organisationen oder in übergreifenden landes- oder bundesweiten Vorgaben wurde bereits viel in die Etablierung des Grundschutzes investiert. Das zu überführen und die Vorteile einer geänderten Aufstellung dabei nutzbar zu machen, ist eine nicht zu unterschätzende Aufgabe, die nur mit langen Migrationszeiträumen gelingt. Dazu zählt auch, benutzerdefinierte Bausteine zu überführen oder zumindest weiterhin nutzbar zu halten.

Steuermechanismen für mehr Kontrolle

Um einer möglichen „Unkontrollierbarkeit“ des communitybasierten Modells entgegenzuwirken, plant das BSI mehrere Steuerungsmechanismen. Eine zentrale Maßnahme ist die Umstellung aller technischen Anforderungen auf den „Soll“-Status. Das bedeutet: Anforderungen sind grundsätzlich anzustreben, müssen jedoch nur dann umgesetzt werden, wenn sie zum betrachteten Verbund und den dortigen Zielobjekten passen.

Zugleich wird ein System von Bewertungsstufen (0–5) mit zugehörigen Schwellwerten eingeführt. Diese Schwellwerte legen fest, welche Mindestpunktezahl erreicht werden muss, um als konform zu gelten. Damit lässt sich auch steuern, welche Anforderungen indirekt verpflichtend werden – ein Mechanismus, der sowohl Flexibilität als auch Orientierung bietet.

In den Arbeitsgruppen wird derzeit diskutiert, ob die Schwellwerte besser über zielobjektbezogene Mindestpunktzahlen oder über aggregierte Bewertungsmetriken gesteuert werden sollen. Hier zeichnet sich ab, dass ein differenziertes Modell notwendig sein wird, um sowohl Flexibilität als auch Vergleichbarkeit sicherzustellen.

Technische Neuformatierung

Im Zuge der Überarbeitung positioniert das BSI die Inhalte des IT-Grundschutz++ zunehmend unter dem Schlagwort „Stand der Technik“ (SdT). Damit soll deutlich gemacht werden, dass die überarbeiteten Anforderungen und Umsetzungshilfen den aktuellen sicherheitstechnischen Erkenntnissen entsprechen und sowohl normativ anschlussfähig als auch praxistauglich sind. Der Anspruch, den aktuellen Stand der Technik abzubilden, setzt eine Kontinuität fort, die bereits die früheren Grundschutzkataloge und das IT-Grundschutz-Kompendium kennzeichnete.

Der Grundschutz++ wird dabei künftig in strukturierter Form bereitgestellt – zunächst in Form des überarbeiteten Kompendiums. Dieses umfasst nicht nur die inhaltliche Aktualisierung, sondern auch eine tiefgreifende technische Neuformatierung. Alle Inhalte sollen maschinenlesbar im JSON/OSCAL-Format vorliegen und gleichzeitig als tabellarisch filterbare XLSX-Dateien veröffentlicht werden. Ziel ist eine automatisierbare, nachvollziehbare und anpassbare Unterstützung bei der Absicherung von Anwendungen, IT-Systemen, Netzwerken, Gebäuden und organisatorischen Prozessen. Das BSI denkt und diskutiert dieses Ziel bereits bis zu einer vollständigen Automatisierung, die auf OSCAL-Systemsicherheitsplänen (OSCAL SSPs) und entsprechenden Nachweisen basieren würde (vgl. dazu auch die Infobox).

Diese Bereitstellung als strukturierte SdT-Daten ermöglicht es Organisationen, die für sie relevanten Anforderungen leichter zu identifizieren, in Prozesse zu integrieren und digital zu dokumentieren. Gerade im Kontext von Informationssicherheits-Managementsystemen (ISMS) ist dies ein Schritt zur Effizienzsteigerung und Automatisierung wesentlicher Sicherheitsprozesse.

Mittelfristig sollen auch die BSI-Mindeststandards sowie Technische Richtlinien (TR) als strukturierte Kataloge in diese SdT-Methodik überführt werden. Das BSI strebt damit eine einheitliche, durchgängige Datenbasis für sicherheitsrelevante Anforderungen an, die unabhängig von Organisationstyp oder Branchenspezifik funktioniert.

Überarbeitung der BSI-Standards notwendig

Die tiefgreifenden inhaltlichen und strukturellen Änderungen des Grundschutz++ lassen sich nicht ohne Anpassungen der bisherigen Methodik aus den Standards 200-1 bis 200-3 abbilden. Besonders die Integration von agilen Entwicklungsprinzipien, die Einführung eines punktbasierten Bewertungssystems sowie die neue Rolle der Community erfordern eine methodische Anschlussfähigkeit.

Eine vollständige Überarbeitung der zugrunde liegenden Methodik – etwa in Bezug auf die Definition von Zielobjekten, das Risikomanagement, die Maßnahmenplanung und die Dokumentation von Umsetzungspfaden – erscheint daher nicht nur sinnvoll, sondern notwendig. Die bisherige Idee, das neue Kompendium mit der alten Methodik zu verknüpfen, gilt im Lichte der aktuellen Entwicklung zunehmend als unpraktikabel und unwahrscheinlich. Dennoch wird es für viele Anwender der BSI-Standards und des IT-Grundschutz-Kompendiums wichtig sein, dass die Anschlussfähigkeit und die Beibehaltung von grundlegenden Eigenschaften eine Rolle für die Ausgestaltung spielen.

Fazit: Agile Sicherheit als Gemeinschaftsaufgabe

Mit dem Grundschutz++ öffnet sich das BSI für einen neuen Weg in der Sicherheitsentwicklung: agiler, partizipativer, praxisnäher. Die Integration der Community, die Modularisierung der Inhalte und die neue Bewertungslogik schaffen Potenziale für einen zukunftsweisenden Grundschutz. Voraussetzung dafür ist jedoch eine methodische Stringenz und die Schaffung klarer Leitplanken.

Die Herausforderung liegt darin, Agilität und Stabilität, Flexibilität und Vergleichbarkeit, Offenheit und Steuerbarkeit in ein funktionierendes Gleichgewicht zu bringen. Wenn das gelingt, kann der Grundschutz++ nicht nur schneller auf neue Bedrohungen reagieren, sondern auch eine breitere Zielgruppe erreichen – vom Konzern bis zur kleinen Kommune. Ob das funktioniert, bleibt abzuwarten. Die Anwendung des Grundschutzes auf Organisationen mit sehr wenigen Mitarbeitern, aber auch auf internationale Konzerne war schon bisher eher die Ausnahme beziehungsweise auf konkrete Anwendungsumgebungen und dafür erstellte Sicherheitskonzepte beschränkt.

Die stärkere Einbindung der Community im Rahmen des BSI-Grundschutz++ ist ein sinnvoller und richtiger Schritt – unter der Voraussetzung, dass die Beteiligung strukturiert erfolgt und methodisch
eingebettet wird. Die Community kann wertvolle Impulse liefern, die Qualität der Anforderungen sichern und die Praxisnähe stärken.

Entscheidend wird jedoch sein, dass die daraus entstehende Dynamik durch robuste Bewertungsmechanismen, eine konsistente Methodik und eine klare Steuerung begleitet wird. Die Positionierung des Grundschutz++ als „Stand der Technik“ ist dabei mehr als ein Etikett: Sie macht den Weg frei für strukturierte, automatisierbare Sicherheitsprozesse und setzt einen technischen wie regulatorischen Rahmen, in dem Community, Behörden und Wirtschaft gemeinsam agieren können.

Wenn dieser Rahmen konsequent weiterentwickelt und methodisch fundiert ausgestaltet wird, kann der Grundschutz++ ein Instrument der Cybersicherheit im digitalen Staat und in der Wirtschaft werden. Und je stärker die Automatisierung aufgegriffen wird, desto besser kann Informationssicherheit zu einem Faktor werden, der wie selbstverständlich zur Digitalisierung und IT-Nutzung dazu gehört.