Grundschutz++ nimmt Form an: BSI veröffentlicht ersten Leitfaden zur Methodik

Für viele Organisationen, die sich seit Jahren am klassischen IT-Grundschutz orientieren, ist dies ein wichtiger Schritt. Denn es ist bereits seit Längerem klar, dass der bisherige Ansatz perspektivisch durch den Grundschutz++ abgelöst werden wird. Umso spannender ist die Frage, wie genau dieser neue Ansatz aussehen soll und was sich konkret verändern wird.

Der jetzt veröffentlichte Leitfaden liefert darauf zwar noch keine vollständigen Antworten, aber erstmals eine belastbare Grundlage, auf der sich weitere Entwicklung nachvollziehen lässt.

Warum Grundschutz++ überhaupt notwendig ist

Dass das BSI den IT-Grundschutz weiterentwickelt, kommt nicht überraschend. Die Anforderungen an Informationssicherheit haben sich in den letzten Jahren deutlich verändert: Cloud-Nutzung, hybride Infrastrukturen, zunehmende Vernetzung und steigende regulatorische Anforderungen führen dazu, dass klassische, eher statische Sicherheitsmodelle mittlerweile an ihre Grenzen stoßen.

Genau hier setzt laut BSI der Grundschutz++ an. Es handelt sich dabei „um einen konsequenten Schritt in der Evolution des IT-Grundschutzes“, der auf praktischen Erfahrungen und identifizierten Herausforderungen der bisherigen Methodik basiert.

Mit dem Grundschutz++ möchte das BSI ein Modell bieten, das flexibler, skalierbarer und stärker an den tatsächlichen Gegebenheiten von Organisationen ausgerichtet ist – ohne die bewährten Prinzipien des Grundschutzes vollständig aufzugeben.

Der neue Blick auf Informationssicherheit: Prozess statt Katalog

Eine der wichtigsten Erkenntnisse aus dem Leitfaden ist, dass der Grundschutz++ Informationssicherheit noch stärker als durchgängigen Prozess versteht.

Im Zentrum dabei steht ein klar strukturierter Sicherheitsprozess mit fünf Schritten (siehe Abbildung 1):

1. Erhebung & Planung
2. Anforderungsanalyse
3. Realisierung
4. Überwachung
5. Kontinuierliche Verbesserung

Dieser Aufbau folgt konsequent dem bekannten PDCA-Zyklus (Plan / Do / Check / Act) und macht deutlich: Informationssicherheit wird nicht mehr primär als einmalige Umsetzung von Maßnahmen verstanden, sondern als kontinuierlicher Managementprozess.

Das ist zwar kein völlig neuer Ansatz, viele Organisationen kennen ihn bereits aus der Methodik der ISO 27001, doch im Kontext des Grundschutzes ist die konsequente Integration in die Methodik ein deutlicher Schritt nach vorne.

Mehr Spielraum für individuelle Sicherheitskonzepte

Ein weiterer zentraler Punkt: Der Grundschutz++ verabschiedet sich stärker von einem starren Vorgehen und begrüßt individuelle Sicherheitskonzepte.

Im Fokus steht dabei die sogenannte Anforderungsanalyse bzw. Anforderungsmodellierung. Statt pauschaler Maßnahmenkataloge sollen Anforderungen gezielt auf die jeweilige Organisation zugeschnitten werden; basierend auf:

• Geschäftsprozessen
• Assets
• Schutzbedarf
• Individuelle Rahmenbedingungen

Dadurch möchte das BSI als Ergebnis ein maßgeschneidertes Anforderungspaket, das genau zum betrachteten Informationsverbund passt, möglich machen.

Das bringt einerseits mehr Flexibilität mit sich, doch andererseits auch mehr Verantwortung für die Organisationen, die sich intensiver mit ihren eigenen Strukturen auseinandersetzen und Sicherheitsanforderungen aktiv gestalten müssen.

Automatisierung als zentraler Leitgedanke

Ein spannender Aspekt, der sich durch den gesamten Leitfaden zieht, ist die stärkere Ausrichtung auf Automatisierung und Tool-Unterstützung.

Das BSI betont an mehreren Stellen explizit, dass der Grundschutz++ sowohl manuell als auch teil- oder vollständig automatisiert umgesetzt werden kann, abhängig von Größe und Reifegrad der Organisation.

Gerade für größere Organisationen oder komplexe IT-Landschaften kann das neue Möglichkeiten, wie beispielsweise effizientere Modellierung von Anforderungen, bessere Nachvollziehbarkeit und Integration in bestehende Systeme, ermöglichen. Doch auch kleinere Organisationen sollen davon profitieren können, etwa durch einen niedrigschwelligen Einstieg in ein strukturiertes ISMS (Information Security Management System).

Breite Zielgruppe – vom KMU bis zum Konzern

Ein weiterer interessanter Punkt ist, dass der Grundschutz++ vom BSI bewusst so konzipiert wurde, dass er für unterschiedliche Organisationsgrößen geeignet sein soll.

Der Leitfaden nennt explizit:

• Kleine Organisation mit begrenzten Ressourcen
• Mittelständische Unternehmen mit wachsender Komplexität
• Große Institutionen mit verteilten Strukturen

Damit verfolgt das BSI einen Ansatz, der sowohl Einstieg als auch Skalierung möglich machen soll; ein Punkt, der beim klassischen und bewährten IT-Grundschutz in der Praxis oft als Herausforderung wahrgenommen wurde.

Noch nicht abgeschlossen – aber mit klarer Richtung

So vielversprechend die nun vorliegenden ersten Einblicke sein mögen: Der Grundschutz++ ist noch nicht final. Der veröffentlichte Leitfaden beschreibt die Methodik ausdrücklich als Teil einer Einführungs- und Erprobungsphase. Weitere Schritte sind mit dem Leitfaden bereits absehbar – etwa ergänzende „Layer“ für spezifische Themen, vertiefende Leitfäden zur Risikobetrachtung sowie weitere Unterstützungsangebote für die praktische Umsetzung und Migration. Dadurch wird deutlich, dass der Grundschutz++ als modulares Gesamtkonzept entstehen soll, das vom BSI schrittweise erweitert und konkretisiert wird.

Für Organisationen bedeutet das vor allem eines: Jetzt ist ein geeigneter Zeitpunkt, sich frühzeitig mit der neuen Methodik auseinanderzusetzen, ohne dass derzeit unmittelbarer Handlungsdruck besteht. Die grundsätzliche Richtung ist zwar erkennbar: Der Grundschutz++ verspricht mehr Prozessorientierung, stärkere Individualisierung und eine bessere Integration in moderne IT- und Organisationsstrukturen. Gleichzeitig bleibt jedoch abzuwarten, wie sich diese Ansätze in der praktischen Umsetzung bewähren und welche konkreten Anforderungen sich daraus im Detail ergeben.

Wer sich bereits heute mit diesen Prinzipien vertraut macht, kann bestehende Sicherheitsprozesse schrittweise weiterentwickeln und sich strategisch auf mögliche Veränderungen vorbereiten. Gleichzeitig bietet die aktuelle Phase die Option, Entwicklungen aufmerksam zu verfolgen, Erfahrungen zu sammeln und die weitere Ausgestaltung kritisch zu begleiten, bevor der Grundschutz++ vollständig ausgerollt wird.

Verweise

[1] BSI, „Leitfaden – Methodik Grundschutz++“, aufrufbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/sonstiges/Methodik_Grundschutz_PlusPlus.html?nn=1182730