Grundschutz++ – Funktionsweise, aktueller Stand und Methodik im Detail

MACONIA GmbH

BSI

April 5, 2026

Der nächste Evolutionsschritt des BSI-IT-Grundschutzes++

Der klassische IT-Grundschutz des BSI ist seit Jahrzehnten ein zentraler Sicherheitsstandard zur Einführung eines Informationssicherheitsmanagementsystems (ISMS). Er bietet einen ganzheitlichen Ansatz, der organisatorische, technische und personelle Maßnahmen umfasst und Unternehmen ermöglicht, ein definiertes Sicherheitsniveau systematisch aufzubauen.

Mit Grundschutz++ verfolgt das BSI nun eine grundlegende Modernisierung dieses bewährten Modells. Ziel ist es, die Methodik zu digitalisieren, zu vereinfachen und besser an moderne IT-Umgebungen anzupassen.

1. Motivation und Zielsetzung von Grundschutz++

Die Entwicklung von Grundschutz++ ist eine direkte Reaktion auf die tiefgreifenden Veränderungen in der IT-Landschaft und den damit verbundenen Anforderungen an moderne Informationssicherheitsmanagementsysteme. Während der klassische IT-Grundschutz über viele Jahre hinweg eine solide Grundlage für den Aufbau strukturierter Sicherheitsprozesse geboten hat, stößt das bisherige Modell zunehmend an seine Grenzen. Die zunehmende Digitalisierung, neue Betriebsmodelle und dynamische Infrastrukturkonzepte erfordern flexiblere, automatisierbare und stärker integrierte Sicherheitsmethoden.

Eine zentrale Herausforderung besteht in der steigenden Komplexität moderner IT-Landschaften. Unternehmen betreiben heute hybride Infrastrukturen, die klassische On-Premise-Systeme, Cloud-Plattformen, SaaS-Anwendungen, Container-Umgebungen und zunehmend auch KI-basierte Dienste kombinieren. Diese heterogenen Umgebungen verändern sich kontinuierlich, wodurch statische Sicherheitsmodelle nur noch eingeschränkt praktikabel sind. Der klassische Grundschutz basiert stark auf stabilen Systemlandschaften und klar abgegrenzten Informationsverbünden, während moderne IT-Strukturen dynamisch, verteilt und häufig automatisiert bereitgestellt werden. Grundschutz++ soll diese Realität besser abbilden und eine Methodik bieten, die mit dynamischen Infrastrukturen Schritt halten kann.

Parallel dazu steigen die regulatorischen Anforderungen erheblich. Neue gesetzliche Rahmenwerke wie die europäische NIS2-Richtlinie, branchenspezifische Sicherheitsanforderungen oder verschärfte Compliance-Vorgaben verlangen eine höhere Transparenz, bessere Nachweisbarkeit und kontinuierliche Überwachung der Informationssicherheit. Organisationen müssen in der Lage sein, ihren Sicherheitsstatus jederzeit zu dokumentieren und Risiken nachvollziehbar zu bewerten. Der klassische IT-Grundschutz bietet hierfür zwar methodische Grundlagen, jedoch ist der manuelle Aufwand zur Pflege der Dokumentation und zur Durchführung regelmäßiger Prüfungen oft sehr hoch. Grundschutz++ soll diesen Prozess effizienter gestalten und stärker auf automatisierte Nachweisführung ausrichten.

Ein weiterer wesentlicher Treiber ist der hohe Dokumentationsaufwand im bisherigen Grundschutzansatz. Die Erstellung und Pflege von Modellierungen, Schutzbedarfsanalysen, Maßnahmenkatalogen und Nachweisen ist häufig zeitintensiv und bindet erhebliche personelle Ressourcen. Insbesondere kleinere Organisationen stehen vor der Herausforderung, die notwendigen Dokumentationsanforderungen mit begrenzten Kapazitäten umzusetzen. Grundschutz++ verfolgt daher das Ziel, Dokumentation stärker zu strukturieren, redundante Inhalte zu reduzieren und durch maschinenlesbare Formate eine automatisierte Weiterverarbeitung zu ermöglichen.

Darüber hinaus wächst der Bedarf an automatisierbarer und messbarer Sicherheit. Informationssicherheit wird zunehmend als kontinuierlicher Prozess verstanden, der eng mit IT-Betrieb, Entwicklung und Governance verzahnt ist. Organisationen benötigen Kennzahlen, automatisierte Prüfungen und kontinuierliche Überwachung, um Sicherheitsmaßnahmen effektiv steuern zu können. Grundschutz++ greift diesen Bedarf auf und integriert Messbarkeit sowie Automatisierung stärker in die Methodik.

Vor diesem Hintergrund verfolgt Grundschutz++ mehrere zentrale Zielsetzungen. Zunächst soll die Komplexität reduziert werden, indem Bausteine modularisiert und flexibler an unterschiedliche IT-Umgebungen angepasst werden können. Gleichzeitig soll die Dokumentationslast verringert werden, indem strukturierte und wiederverwendbare Anforderungen bereitgestellt werden. Ein wesentliches Ziel ist zudem die Bereitstellung maschinenlesbarer Anforderungen, die direkt in Tools integriert und automatisiert verarbeitet werden können. Dadurch wird es möglich, Sicherheitsmaßnahmen automatisch abzuleiten, zu prüfen und zu überwachen.

Ein weiterer Schwerpunkt liegt auf der Integration in automatisierte Sicherheitsprozesse. Grundschutz++ soll sich nahtlos in DevSecOps-Umgebungen, Continuous-Compliance-Ansätze und automatisierte Monitoring-Systeme einfügen. Dadurch wird Informationssicherheit stärker in operative Prozesse eingebettet und nicht mehr ausschließlich als separate Governance-Funktion betrachtet. Gleichzeitig soll eine engere Anbindung an internationale Standards wie ISO 27001 erfolgen, um die Kompatibilität zu verbessern und Doppelaufwände zu vermeiden.

Zusätzlich wird eine stärker prozessorientierte und digitalisierte Struktur eingeführt. Sicherheitsanforderungen werden entlang von Geschäftsprozessen modelliert und können direkt mit technischen Kontrollen verknüpft werden. Diese Ausrichtung ermöglicht eine bessere Priorisierung von Maßnahmen und unterstützt eine kontinuierliche Verbesserung des Sicherheitsniveaus. Insgesamt zielt Grundschutz++ darauf ab, den IT-Grundschutz in ein modernes, flexibles und zukunftsfähiges Sicherheitsframework zu überführen.

Zusätzlich wird eine stärker prozessorientierte und digitalisierte Struktur eingeführt, die den Standard langfristig zukunftsfähig machen soll.

2. Aktueller Stand von Grundschutz++ (2025–2026)

Grundschutz++ befindet sich derzeit in einer fortgeschrittenen Entwicklungsphase, die von konzeptionellen Arbeiten, Pilotierungen und ersten praktischen Umsetzungen geprägt ist. Dabei handelt es sich nicht um eine vollständige Ablösung des bestehenden IT-Grundschutzes, sondern um eine umfassende Modernisierung und Weiterentwicklung der bisherigen Methodik. Ziel ist es, bestehende Konzepte beizubehalten, gleichzeitig jedoch strukturelle Anpassungen vorzunehmen, um den Anforderungen moderner IT-Umgebungen besser gerecht zu werden.

Der aktuelle Entwicklungsstand zeigt, dass Grundschutz++ als grundlegende Transformation des bisherigen IT-Grundschutzes konzipiert ist. Dabei werden insbesondere Struktur, Bereitstellung und Nutzung der Anforderungen überarbeitet. Der klassische Ansatz mit statischen Dokumenten wird schrittweise durch ein digitales Regelwerk ergänzt, das strukturierte, maschinenlesbare Inhalte bereitstellt. Diese digitale Ausrichtung bildet die Grundlage für Automatisierung, Toolintegration und kontinuierliche Weiterentwicklung.

Die Einführung von Grundschutz++ wird voraussichtlich ab 2026 erfolgen, wobei mit einer Übergangsphase zu rechnen ist. In dieser Zeit werden Organisationen sowohl bestehende Grundschutzmethoden weiter nutzen als auch erste Elemente von Grundschutz++ implementieren können. Diese parallele Nutzung soll sicherstellen, dass bestehende Zertifizierungen und etablierte Sicherheitsstrukturen weiterhin gültig bleiben, während gleichzeitig ein schrittweiser Übergang ermöglicht wird. Organisationen erhalten dadurch ausreichend Zeit, ihre Prozesse und Tools anzupassen.

Ein zentrales Element des neuen Ansatzes ist die Konzeption als digitales Regelwerk. Anforderungen werden nicht mehr ausschließlich in textueller Form bereitgestellt, sondern zusätzlich in strukturierter Form, die automatisiert verarbeitet werden kann. Dies ermöglicht eine direkte Integration in GRC-Tools, Compliance-Plattformen und Security-Automation-Lösungen. Gleichzeitig wird die Pflege und Aktualisierung der Anforderungen vereinfacht, da Änderungen zentral vorgenommen und automatisiert verteilt werden können.

Im Rahmen der Entwicklung wurde bereits eine Beta- beziehungsweise Preview-Phase vorbereitet. Diese Phase dient dazu, erste Erfahrungen mit der neuen Struktur zu sammeln und Feedback aus der Praxis zu integrieren. Organisationen, die sich frühzeitig mit Grundschutz++ beschäftigen, können dadurch Einfluss auf die Weiterentwicklung nehmen und ihre eigenen Anforderungen einbringen. Diese iterative Vorgehensweise unterstützt eine agile Weiterentwicklung des Standards.

Ein weiterer Bestandteil des aktuellen Entwicklungsstands ist die Bereitstellung eines neuen Kompendiums in Form einer „Stand-der-Technik-Bibliothek“. Diese wird über Plattformen wie GitHub zugänglich gemacht und ermöglicht eine transparentere Weiterentwicklung. Durch die Nutzung moderner Versionsverwaltung können Änderungen nachvollzogen, Diskussionen geführt und Verbesserungen kontinuierlich integriert werden. Dies stellt einen deutlichen Unterschied zum bisherigen Veröffentlichungsmodell dar und fördert die Community-basierte Weiterentwicklung.

Darüber hinaus wird eine stärkere Berücksichtigung neuer Technologien angestrebt. Themen wie Cloud-Computing, containerisierte Anwendungen, KI-Systeme, Zero-Trust-Architekturen und automatisierte Infrastruktur werden explizit in die Methodik integriert. Dadurch soll sichergestellt werden, dass Grundschutz++ auch in modernen IT-Umgebungen anwendbar ist und den aktuellen Stand der Technik widerspiegelt.

Insgesamt befindet sich Grundschutz++ derzeit in einer Transformationsphase zwischen Konzeptentwicklung, Pilotierung und sukzessiver Einführung. Während grundlegende Strukturen bereits definiert sind, werden Details weiterhin ausgearbeitet und anhand praktischer Erfahrungen angepasst. Organisationen sollten diese Phase nutzen, um sich frühzeitig mit den neuen Konzepten vertraut zu machen und ihre bestehenden Sicherheitsstrukturen schrittweise auf die zukünftige Methodik auszurichten.

Damit befindet sich Grundschutz++ aktuell in einer Transformationsphase zwischen Konzept, Pilotierung und sukzessiver Einführung.

3. Funktionsweise von Grundschutz++

Grundschutz++ behält den Kern der bisherigen Methodik bei, verändert jedoch Struktur und Umsetzung grundlegend.

3.1 Grundprinzip

Wie beim klassischen IT-Grundschutz basiert auch Grundschutz++ auf:

  • ISMS-Einführung
  • Schutzbedarfsfeststellung
  • Modellierung des Informationsverbunds
  • Maßnahmenumsetzung
  • kontinuierlicher Verbesserung

Der Unterschied liegt in der digitalen und modularen Umsetzung.

3.2 Neue Kernelemente

Grundschutz++ führt mehrere neue methodische Bausteine ein, die den bisherigen Ansatz deutlich modernisieren und stärker auf Automatisierung sowie kontinuierliche Weiterentwicklung ausrichten.

1. Digitales Regelwerk

Ein zentrales Element ist das digitale Regelwerk. Dabei werden Anforderungen nicht mehr ausschließlich in textbasierter Form bereitgestellt, sondern zusätzlich in einer maschinenlesbaren Struktur definiert. Dies ermöglicht eine direkte Integration in GRC-Tools sowie andere Governance- und Compliance-Plattformen. Auf dieser Grundlage können Maßnahmen automatisiert abgeleitet und mit vorhandenen IT-Assets oder Prozessen verknüpft werden, wodurch der manuelle Interpretationsaufwand erheblich reduziert wird.

2. Kennzahlen-basierter Ansatz

Ein weiterer wesentlicher Bestandteil ist der kennzahlenbasierte Ansatz. Grundschutz++ setzt verstärkt auf messbare Sicherheitsindikatoren, um den Reifegrad der Informationssicherheit objektiv bewerten zu können. Durch die Einführung standardisierter Kennzahlen wird eine Vergleichbarkeit zwischen Organisationen erleichtert und gleichzeitig eine datenbasierte Steuerung der Sicherheitsmaßnahmen ermöglicht. Ergänzend dazu wird ein Reifegradmodell etabliert, das Organisationen dabei unterstützt, den aktuellen Stand ihrer Informationssicherheit einzuordnen und gezielte Verbesserungen zu planen.

3. Modularisierte Struktur

Darüber hinaus verfolgt Grundschutz++ eine stärker modularisierte Struktur. Die Bausteine werden kleiner und granularer gestaltet, sodass sie flexibler auf unterschiedliche IT-Umgebungen angewendet werden können. Insbesondere moderne Architekturen wie Cloud-Infrastrukturen, hybride Betriebsmodelle oder containerbasierte Plattformen lassen sich dadurch besser abbilden. Diese Modularisierung erleichtert zudem die Anpassung an organisationsspezifische Anforderungen und reduziert die Komplexität bei der Implementierung.

4. Community-basierte Weiterentwicklung

Ein weiteres neues Kernelement ist die community-basierte Weiterentwicklung des Standards. Entwürfe werden frühzeitig veröffentlicht, um Feedback aus der Praxis einzubeziehen. Diese Rückmeldungen fließen kontinuierlich in die Weiterentwicklung ein und ermöglichen eine agile Pflege des Regelwerks. Dadurch kann Grundschutz++ schneller auf technologische Entwicklungen und neue Bedrohungslagen reagieren. Insgesamt führen diese neuen Bausteine zu einem deutlich dynamischeren Sicherheitsframework, das stärker automatisiert, messbar und anpassungsfähig ist als der klassische IT-Grundschutz.

Diese Punkte führen zu einem deutlich dynamischeren Sicherheitsframework.

4. Methodik von Grundschutz++

Die Methodik lässt sich in einem modernisierten Lifecycle darstellen:

Phase 1 – Kontext & Scope

  • Festlegung des Informationsverbunds
  • Definition der organisatorischen Grenzen
  • Identifikation kritischer Geschäftsprozesse

Empfehlung

  • Business Impact Analyse früh durchführen
  • Cloud-Services explizit einbeziehen

Phase 2 – Schutzbedarfsfeststellung

Grundschutz++ übernimmt die Schutzbedarfskategorien (normal, hoch, sehr hoch), die weiterhin zur Bewertung genutzt werden.

Empfehlungen

  • Schutzbedarf pro Geschäftsprozess bestimmen
  • Datenklassifizierung automatisieren
  • CIA-Triade differenziert bewerten

Phase 3 – Modellierung

Neu bei Grundschutz++:

  • automatisierte Asset-Zuordnung
  • Vorlagen für typische Architekturen
  • Referenzmodelle für Cloud-Umgebungen

Empfehlung

  • CMDB als zentrale Datenquelle nutzen
  • automatisierte Discovery integrieren

Phase 4 – Maßnahmenableitung

Grundschutz++ ermöglicht:

  • automatisierte Maßnahmenzuordnung
  • Priorisierung nach Risiko
  • Reifegrad-basierte Umsetzung

Empfehlung

  • Quick Wins zuerst umsetzen
  • technische Controls automatisieren

Phase 5 – Umsetzung & Integration

Fokus von Grundschutz++:

  • DevSecOps Integration
  • Continuous Compliance
  • Policy-as-Code

Empfehlung

  • Security Controls in CI/CD integrieren
  • automatisierte Compliance Checks

Phase 6 – Monitoring & Verbesserung

Neue Elemente:

  • KPI-basierte Steuerung
  • Security Scorecards
  • automatisierte Audits

Empfehlung

  • SIEM-Integration
  • Security KPIs definieren:
    • Patch-Compliance
    • MFA-Quote
    • Incident-Response-Zeit

5. Unterschiede zum klassischen IT-Grundschutz

Klassischer Grundschutz Grundschutz++
statisches Kompendium digitales Regelwerk
hoher Dokumentationsaufwand automatisierte Dokumentation
manuelle Modellierung automatisierte Zuordnung
textbasierte Anforderungen maschinenlesbare Controls
periodische Updates kontinuierliche Weiterentwicklung

6. Vorteile von Grundschutz++

Grundschutz++ bringt eine Reihe wesentlicher Vorteile mit sich, die insbesondere in modernen, dynamischen IT-Umgebungen deutlich zum Tragen kommen. Einer der zentralen Mehrwerte liegt im geringeren Implementierungsaufwand. Durch die stärker strukturierte, modularisierte und teilweise automatisierbare Methodik entfällt ein erheblicher Teil der bislang notwendigen manuellen Modellierungs- und Dokumentationsarbeit. Organisationen können schneller mit der Einführung beginnen und profitieren von vorgefertigten Bausteinen, Referenzarchitekturen und automatisierten Ableitungen von Sicherheitsmaßnahmen. Dies reduziert nicht nur den initialen Aufwand, sondern erleichtert auch die Pflege und Weiterentwicklung des ISMS im laufenden Betrieb.

Ein weiterer Vorteil ist die deutlich verbesserte Skalierbarkeit. Während der klassische IT-Grundschutz bei wachsenden IT-Landschaften häufig zu erheblichem Mehraufwand führte, ist Grundschutz++ darauf ausgelegt, auch große, verteilte und dynamische Infrastrukturen effizient abzubilden. Besonders in Cloud-, Multi-Cloud- oder hybriden Umgebungen profitieren Organisationen von der granulareren Struktur und den wiederverwendbaren Modulen. Neue Systeme, Services oder Standorte können schneller integriert werden, ohne dass umfangreiche Neu-Modellierungen erforderlich sind.

Die stärkere Automatisierung stellt ebenfalls einen entscheidenden Fortschritt dar. Durch maschinenlesbare Anforderungen und strukturierte Kontrollen können Sicherheitsmaßnahmen automatisiert geprüft, umgesetzt oder überwacht werden. Dies ermöglicht beispielsweise automatisierte Compliance-Checks, kontinuierliche Risikoüberwachung oder die Integration in Security-Monitoring-Tools. Dadurch wird Informationssicherheit weniger statisch und stärker in operative Prozesse eingebettet, was zu einer höheren Effizienz und geringeren Fehleranfälligkeit führt.

Eng damit verbunden ist die bessere Integration in DevOps- und DevSecOps-Umgebungen. Grundschutz++ unterstützt eine kontinuierliche Sicherheitsbetrachtung entlang des gesamten Entwicklungs- und Betriebszyklus. Sicherheitsanforderungen können direkt in CI/CD-Pipelines integriert werden, etwa durch automatisierte Policy-Prüfungen, Infrastructure-as-Code-Scanning oder kontinuierliche Compliance-Validierung. Dadurch wird Sicherheit nicht mehr als nachgelagerte Kontrollinstanz verstanden, sondern als integraler Bestandteil moderner Software- und Infrastrukturentwicklung.

Ein weiterer Vorteil liegt in der höheren Aktualität des Standards. Durch die geplante agile Weiterentwicklung und die Möglichkeit, Bausteine schneller anzupassen, kann Grundschutz++ zeitnah auf neue Bedrohungslagen, Technologien und regulatorische Anforderungen reagieren. Dies ist insbesondere in Bereichen wie Cloud-Security, Containerisierung, künstliche Intelligenz oder Zero-Trust-Architekturen von Bedeutung, die sich kontinuierlich weiterentwickeln. Organisationen profitieren dadurch von einem Sicherheitsframework, das stärker am aktuellen Stand der Technik orientiert ist.

Schließlich ermöglicht Grundschutz++ eine bessere Messbarkeit der Sicherheit. Durch die Einführung standardisierter Kennzahlen und Reifegradmodelle können Organisationen ihren Sicherheitsstatus objektiver bewerten und Fortschritte nachvollziehbar dokumentieren. Dies erleichtert nicht nur die interne Steuerung, sondern unterstützt auch externe Audits, Management-Reporting und regulatorische Nachweise. Sicherheitsmaßnahmen werden dadurch transparenter, priorisierbarer und strategisch besser steuerbar. Insgesamt führt dies zu einer stärker datenbasierten und zielorientierten Informationssicherheitsstrategie.

7. Herausforderungen bei der Einführung

Trotz der zahlreichen Vorteile ist die Einführung von Grundschutz++ auch mit verschiedenen Herausforderungen verbunden, die Organisationen frühzeitig berücksichtigen sollten. Eine der größten Hürden stellt die Umstellung bestehender ISMS-Strukturen dar. Viele Organisationen haben ihre Informationssicherheitsmanagementsysteme über Jahre hinweg auf Basis des klassischen IT-Grundschutzes oder anderer Standards aufgebaut. Diese Strukturen sind häufig eng mit bestehenden Prozessen, Dokumentationen und Tools verknüpft. Die Migration auf Grundschutz++ erfordert daher eine sorgfältige Analyse, welche Elemente übernommen, angepasst oder vollständig neu aufgebaut werden müssen. Besonders die Überführung bestehender Modellierungen in eine stärker automatisierte und modularisierte Struktur kann zusätzlichen Aufwand verursachen.

Ein weiterer kritischer Punkt ist die notwendige Tooling-Integration. Grundschutz++ entfaltet seinen vollen Nutzen insbesondere in Verbindung mit geeigneten GRC-, Asset-Management- oder Security-Automation-Tools. Organisationen, die bislang überwiegend manuell oder mit einfachen Dokumentationslösungen gearbeitet haben, müssen entsprechende technische Plattformen evaluieren und einführen. Dies umfasst nicht nur die Auswahl geeigneter Software, sondern auch deren Integration in bestehende IT-Landschaften sowie die Anpassung von Schnittstellen zu bestehenden Systemen wie CMDB, Ticketing-Systemen oder Monitoring-Tools. Diese technischen Anpassungen können sowohl zeitlichen als auch finanziellen Aufwand verursachen.

Darüber hinaus entsteht ein erhöhter Schulungsbedarf. Grundschutz++ bringt neue Konzepte, Methoden und Arbeitsweisen mit sich, die von Informationssicherheitsbeauftragten, IT-Verantwortlichen und Management verstanden werden müssen. Besonders die stärkere Automatisierung, die Nutzung von Kennzahlen sowie die Integration in DevSecOps-Prozesse erfordern neue Kompetenzen. Organisationen müssen daher gezielte Schulungs- und Awareness-Programme entwickeln, um sicherzustellen, dass alle Beteiligten die neue Methodik korrekt anwenden können. Ohne entsprechende Qualifizierung besteht das Risiko, dass die Vorteile von Grundschutz++ nicht vollständig genutzt werden.

Eine weitere Herausforderung liegt in der derzeit noch unklaren Übergangsphase. Da Grundschutz++ schrittweise eingeführt wird, müssen Organisationen möglicherweise über einen längeren Zeitraum mit parallelen Strukturen arbeiten. Dies betrifft insbesondere Zertifizierungen, Audit-Anforderungen und regulatorische Nachweise. Unternehmen müssen entscheiden, ob sie bestehende Systeme zunächst weiterführen oder frühzeitig auf den neuen Ansatz umstellen. Diese strategische Entscheidung hängt von Faktoren wie Audit-Zyklen, regulatorischen Anforderungen oder internen Ressourcen ab und erfordert eine sorgfältige Planung.

Schließlich stellt das Mapping bestehender Controls eine nicht zu unterschätzende Aufgabe dar. Organisationen verfügen häufig bereits über implementierte Sicherheitsmaßnahmen, die auf bestehenden Standards wie ISO 27001 oder dem klassischen IT-Grundschutz basieren. Diese Maßnahmen müssen den neuen Bausteinen und Anforderungen von Grundschutz++ zugeordnet werden. Dabei können Unterschiede in Struktur, Granularität und Terminologie auftreten, die eine detaillierte Analyse erforderlich machen. Ein systematisches Mapping ist jedoch entscheidend, um Doppelarbeit zu vermeiden und bestehende Investitionen in Sicherheitsmaßnahmen weiterhin nutzen zu können.

Insgesamt zeigt sich, dass die Einführung von Grundschutz++ sorgfältig geplant werden sollte. Organisationen, die frühzeitig eine strukturierte Migrationsstrategie entwickeln, geeignete Tools evaluieren und ihre Mitarbeiter entsprechend qualifizieren, können die Umstellung jedoch erfolgreich bewältigen und langfristig von den Vorteilen des modernisierten Sicherheitsframeworks profitieren.

8. Konkrete Umsetzungsempfehlungen

Die Einführung und Nutzung von Grundschutz++ erfordert ein strukturiertes Vorgehen, das strategische, operative und technische Aspekte gleichermaßen berücksichtigt. Organisationen sollten frühzeitig damit beginnen, ihre bestehende Informationssicherheitsorganisation und ihre Prozesse auf die zukünftige Methodik auszurichten. Dabei ist es sinnvoll, die Umsetzungsempfehlungen entlang verschiedener Ebenen zu strukturieren, um sowohl langfristige Governance-Entscheidungen als auch konkrete operative Maßnahmen gezielt adressieren zu können.

Strategische Empfehlungen

Auf strategischer Ebene sollten Organisationen zunächst damit beginnen, die Entwicklung von Grundschutz++ frühzeitig zu beobachten und in ihre Sicherheitsstrategie zu integrieren. Da sich die Methodik kontinuierlich weiterentwickelt, ist es sinnvoll, neue Veröffentlichungen, Pilotprojekte und Interpretationshilfen aktiv zu verfolgen. Dies ermöglicht es, frühzeitig Auswirkungen auf bestehende ISMS-Strukturen zu erkennen und Anpassungen proaktiv zu planen. Gleichzeitig können Organisationen so vermeiden, bestehende Strukturen aufzubauen, die kurzfristig wieder angepasst werden müssen.

Ein weiterer strategischer Schritt besteht darin, das ISMS bereits prozessorientiert aufzubauen. Grundschutz++ legt einen stärkeren Fokus auf Geschäftsprozesse, Wertschöpfungsketten und kontinuierliche Sicherheitsintegration. Organisationen sollten daher nicht ausschließlich technische Systeme betrachten, sondern Sicherheitsanforderungen entlang der Geschäftsprozesse modellieren. Dies erleichtert später die Ableitung von Risiken, Maßnahmen und Kennzahlen und sorgt für eine bessere Verankerung der Informationssicherheit im Unternehmen.

Darüber hinaus sollte die Automatisierung priorisiert werden. Grundschutz++ entfaltet seinen größten Nutzen in Umgebungen, in denen Sicherheitsmaßnahmen, Prüfungen und Dokumentation automatisiert erfolgen. Organisationen sollten daher frühzeitig prüfen, welche Prozesse automatisiert werden können, beispielsweise Compliance-Prüfungen, Asset-Erkennung oder Risikobewertungen. Dies reduziert langfristig den manuellen Aufwand und verbessert die Skalierbarkeit der Sicherheitsorganisation.

Ein weiterer wichtiger Punkt ist die Evaluation eines geeigneten GRC-Tools. Da Grundschutz++ auf maschinenlesbare Anforderungen und strukturierte Kontrollen setzt, ist eine geeignete Toolunterstützung entscheidend. Organisationen sollten daher prüfen, ob bestehende Tools erweitert werden können oder ob eine neue Plattform sinnvoll ist. Wichtig ist hierbei insbesondere die Integration in bestehende Systeme wie CMDB, Ticketing, Identity Management und Monitoring-Lösungen.

Schließlich sollte Cloud-Security frühzeitig integriert werden. Moderne IT-Landschaften bestehen zunehmend aus Cloud-Services, hybriden Architekturen und containerisierten Anwendungen. Grundschutz++ berücksichtigt diese Entwicklungen stärker als der klassische Grundschutz. Organisationen sollten daher Sicherheitsanforderungen für Cloud-Umgebungen, Multi-Cloud-Strategien und SaaS-Dienste bereits im strategischen ISMS-Design berücksichtigen. Dazu gehören insbesondere Themen wie Shared Responsibility Model, Cloud-Logging, Identitätsmanagement und automatisierte Konfigurationsprüfungen.

Operative Empfehlungen

Auf operativer Ebene empfiehlt es sich, die Asset-Inventarisierung zu automatisieren. Eine aktuelle und vollständige Übersicht über Systeme, Anwendungen, Datenbestände und Services ist eine zentrale Grundlage für Grundschutz++. Manuelle Inventarisierungsprozesse stoßen jedoch schnell an ihre Grenzen. Organisationen sollten daher automatisierte Discovery-Tools einsetzen, die Assets kontinuierlich erkennen und klassifizieren. Dies verbessert die Datenqualität und reduziert den Pflegeaufwand erheblich.

Ebenso wichtig ist die kontinuierliche Durchführung der Risikoanalyse. Statt periodischer Einzelbewertungen sollte das Risikomanagement als fortlaufender Prozess etabliert werden. Veränderungen in der IT-Landschaft, neue Bedrohungen oder organisatorische Anpassungen sollten automatisch in die Risikobetrachtung einfließen. Dadurch wird das ISMS dynamischer und kann schneller auf neue Risiken reagieren.

Ein weiterer zentraler Punkt ist die Definition von Security-KPIs. Grundschutz++ setzt verstärkt auf messbare Sicherheitsindikatoren. Organisationen sollten daher Kennzahlen definieren, die den Sicherheitsstatus transparent machen. Beispiele hierfür sind Patch-Compliance, MFA-Abdeckung, Anzahl offener Schwachstellen oder Mean-Time-to-Respond bei Sicherheitsvorfällen. Diese Kennzahlen ermöglichen eine datenbasierte Steuerung der Informationssicherheit.

Zusätzlich sollte Continuous Monitoring eingeführt werden. Sicherheitsmaßnahmen sollten nicht nur einmalig implementiert, sondern kontinuierlich überwacht werden. Dies umfasst beispielsweise Konfigurationsprüfungen, Schwachstellen-Scans, Log-Analysen und Compliance-Checks. Durch ein kontinuierliches Monitoring können Abweichungen frühzeitig erkannt und behoben werden.

Schließlich ist es sinnvoll, Controls zu versionieren. Sicherheitsmaßnahmen entwickeln sich im Laufe der Zeit weiter und müssen regelmäßig angepasst werden. Eine Versionierung von Controls ermöglicht es, Änderungen nachvollziehbar zu dokumentieren, Audits zu unterstützen und eine strukturierte Weiterentwicklung der Sicherheitsmaßnahmen sicherzustellen. Gleichzeitig wird die Wiederverwendbarkeit von Controls verbessert.

Technische Empfehlungen

Auf technischer Ebene sollten Organisationen Infrastructure-as-Code-Scanning (IaC-Scanning) einführen. Moderne IT-Infrastrukturen werden zunehmend über Code definiert, beispielsweise in Cloud-Templates oder Container-Konfigurationen. Durch automatisierte Scans können Sicherheitsprobleme bereits in der Entwicklungsphase erkannt werden, bevor Systeme produktiv gehen. Dies unterstützt die Integration von Sicherheit in DevSecOps-Prozesse.

Darüber hinaus sollte das Vulnerability Management automatisiert werden. Regelmäßige Schwachstellen-Scans, automatisierte Priorisierung und Integration in Patch-Prozesse helfen, Sicherheitslücken schneller zu schließen. Eine enge Verknüpfung mit Asset-Management und Risikobewertung verbessert zusätzlich die Priorisierung.

Ein weiterer wichtiger Baustein ist die Einführung einer Zero-Trust-Architektur. Grundschutz++ unterstützt moderne Sicherheitsmodelle, die nicht mehr auf implizitem Vertrauen innerhalb von Netzwerken basieren. Stattdessen werden Zugriffe kontinuierlich überprüft und kontextabhängig bewertet. Dies erhöht insbesondere in verteilten und cloudbasierten Umgebungen das Sicherheitsniveau.

Zusätzlich sollte Identity Governance integriert werden. Identitäten und Berechtigungen stellen einen zentralen Sicherheitsfaktor dar. Organisationen sollten daher rollenbasierte Zugriffskonzepte, automatisierte Rezertifizierungen und privilegierte Zugriffsverwaltung etablieren. Dies reduziert Risiken durch übermäßige Berechtigungen und verbessert die Nachvollziehbarkeit.

Abschließend sollte das Logging standardisiert werden. Einheitliche Logging-Formate, zentrale Log-Sammlungen und strukturierte Auswertungen bilden die Grundlage für Monitoring, Incident Response und Compliance-Nachweise. Eine konsistente Logging-Strategie erleichtert zudem die Integration in SIEM- und Security-Analytics-Plattformen.

9. Methodisches Zielbild

Grundschutz++ entwickelt sich langfristig zu einem digitalen Sicherheitsframework, das klassische dokumentationsorientierte Ansätze durch strukturierte, maschinenlesbare und automatisierbare Anforderungen ergänzt. Sicherheitsmaßnahmen werden nicht mehr ausschließlich als statische Dokumente verwaltet, sondern als dynamische, technisch integrierte Kontrollen, die direkt mit IT-Systemen und Prozessen verbunden sind. Dadurch entsteht ein Sicherheitsframework, das stärker in operative Abläufe eingebettet ist und kontinuierlich aktualisiert werden kann.

Darüber hinaus etabliert sich Grundschutz++ als prozessorientiertes ISMS. Der Fokus verschiebt sich von der reinen Betrachtung einzelner Systeme hin zur ganzheitlichen Betrachtung von Geschäftsprozessen und Wertschöpfungsketten. Sicherheitsanforderungen werden entlang dieser Prozesse definiert, wodurch Informationssicherheit enger mit den Unternehmenszielen verknüpft wird. Dies verbessert die Priorisierung von Maßnahmen und stärkt die strategische Bedeutung des ISMS.

Ein weiterer Bestandteil des methodischen Zielbildes ist die Entwicklung zu einem automatisierbaren Compliance-Standard. Durch maschinenlesbare Anforderungen und strukturierte Kontrollen können Compliance-Prüfungen automatisiert erfolgen. Organisationen sind dadurch in der Lage, ihren Compliance-Status kontinuierlich zu überwachen und Abweichungen frühzeitig zu erkennen. Dies reduziert den Aufwand für Audits und verbessert gleichzeitig die Transparenz gegenüber Management und Aufsichtsbehörden.

Schließlich entwickelt sich Grundschutz++ zu einem kontinuierlichen Verbesserungsmodell. Statt periodischer Überprüfungen wird Informationssicherheit als fortlaufender Prozess verstanden. Kennzahlen, Monitoring und automatisierte Prüfungen liefern kontinuierlich neue Erkenntnisse, die in die Weiterentwicklung des ISMS einfließen. Dadurch entsteht ein dynamisches Sicherheitsmodell, das sich laufend an neue Anforderungen, Technologien und Bedrohungen anpasst und langfristig eine nachhaltige Verbesserung des Sicherheitsniveaus ermöglicht.

10. Fazit

Grundschutz++ stellt keinen vollständigen Bruch dar, sondern eine Evolution des IT-Grundschutzes hin zu einem modernen, automatisierten Sicherheitsframework. Ziel ist eine höhere Praxistauglichkeit bei gleichzeitigem Erhalt des bewährten methodischen Fundaments.

Mit der Einführung ab 2026 wird Grundschutz++ insbesondere für Organisationen relevant, die:

  • NIS2 erfüllen müssen
  • ISO 27001 implementieren
  • Cloud-First-Strategien verfolgen
  • Security automatisieren wollen

Organisationen sollten daher frühzeitig beginnen, ihre ISMS-Strukturen auf Prozessorientierung, Automatisierung und Kennzahlensteuerung auszurichten.

Erstgespräch jetzt buchen