Grundschutz++-Leitfaden – wie geht es weiter?

Was die Veröffentlichung des Leitfadens angeht, hat sich das BSI vergleichsweise bedeckt gehalten. Eine offizielle Pressemeldung am 01.04. wurde beispielsweise nicht veröffentlicht. Ein eher leicht ins Auge fallender Hinweis am Tag der Veröffentlichung: Ein knapper Artikel auf Heise.de, der auf die Seite zum Download des Leitfadens beim BSI verweist. Steigt man über die BSI-Themenseite „Grundschutz-in-der-Informationssicherheit“ ein, kommt man auf die genannte Download-Seite erst über die Seiten-Navigationsschritte „Grundschutz++“ à Link im Abschnitt „Methodik-Grundschutz++“.

Die Nennung weiterer Veröffentlichungen auf der BSI-Seite zu „Grundschutz++“ ist derzeit noch lückenhaft, gemessen an dem gewohnten Umfang aus den Phasen „Klassischer Grundschutz“ bzw. „Modernisiertem Grundschutz“. BSI-Standards der Reihe 100-x bzw. den aktuell noch gültigen 200-x kann der neue Leitfaden nicht ersetzen. Da es auch mit Grundschutz++ (GS++) eine Zertifizierungsmöglichkeit geben soll, müssen zu prüfende Unternehmen und Auditteamleiter Aktualisierungen von Vorgabedokumenten zum zugehörigen Verfahren an die Hand bekommen.

Man darf nicht vergessen, dass sich der GS++ auch nach der Veröffentlichung des Leitfadens weiterhin offiziell in einer Pilotierungsphase befindet. Die Anwendung erster erfolgter oder benannter Veröffentlichungen wie Leitfaden, WiBA-Checklisten (Weg in die Basisabsicherung) und Mindeststandards soll zunächst ausdrücklich zu Testzwecken dienen. Das gilt unabhängig davon, ob die Veröffentlichungen über Textdokumente via BSI-Themenseiten erfolgen oder maschinenlesbar als Teil der Stand-der-Technik-Bibliothek (SdT) bereitgestellt werden.

Ein pragmatischer Grund für den Verzicht auf offizielle Pressemitteilungen des BSI könnte sein, dass in der Pilotphase primär versierte Anwender erreicht werden sollen, die bereits tief in der Materie Grundschutz stecken und zielgerichtetes Feedback liefern können. Für eine Aufforderung zur Verprobung und Feedback aus größerer Runde, wie sie in der Vergangenheit bei IT-Grundschutz-Community-Drafts erfolgte, erscheint die zur Pilotierung gesetzte Zeit zu knapp. Pauken und Fanfaren werden womöglich erst zur finalen Veröffentlichung des GS++ ausgepackt.

Nicht durch tägliches Sichten des Abschnitts „Aktuelles“ der BSI-Homepage, sondern mehr per Zufall haben wir dann doch einen offiziellen Meilensteinplan vom BSI entdeckt. Erkenntnis: Wer auf der Zug um Zug länger werdenden GS++-Themenseite bis ganz unten scrollt, ist klar im Vorteil. Der Meilensteinplan ist aufschlussreich, da er an zentraler Stelle Termine setzt, die verbindlicher erscheinen als planerische Ankündigungen in früheren Vorträgen des BSI.

Der offizielle Zeitplan zum Grundschutz-Update

Die folgenden Meilensteine sind besonders relevant für Grundschutzanwender oder Umgebungen, die in die Grundschutzanwendung gleich mit GS++ einsteigen wollen:

• 04.2026 bis 30.09.2026: Pilotierungsphase zur Erprobung der Anwendbarkeit der Methodik-GS++ mit Partnern aus der öffentlichen Verwaltung und freien Wirtschaft. Die gesammelten Erkenntnisse sollen der Schärfung des GS++ dienen.
• 10.2026: Veröffentlichung der Methodik-GS++ erfolgte auf der it-sa 2026 in Nürnberg.
• 11.2026: Bereits zertifizierte IT-Grundschutz-Berater und Auditteamleiter können sich für GS++ zertifizieren lassen.
• 01.2027: GS++ ist offiziell zertifizierbar.

Gemessen am Status der zum Stand 15.05. offiziellen Veröffentlichungen in der SdT-Bibliothek bzw. auf GS++-Themenseiten wirken die formulierten Fristen etwas hochgesteckt. Soll das Ziel einer Zertifizierungsmöglichkeit ab 01.01.2027 gehalten werden, ist das notwendige Tempo bei Finalisierungen und Ergänzungen bzgl. notwendiger verbindlicher Dokumentenbasis „sportlich“.

Zwischen dem Ende der Pilotierungsphase und der offiziellen Veröffentlichung hat das BSI nur knapp einen Monat Zeit, die Ergebnisse der Pilotprojekte in die finale Version des GS++ zu überführen. Die it-sa 2026 scheint einen für alle interessierten Parteien wichtigen Moment zu markieren, auf den man seitens BSI hingeplant zu haben scheint.

Was lässt sich am Zeitplan erkennen?

Besonders für Fragen der folgenden Art gibt der Zeitplan deutliche Signale:

• In welcher Form werden die BSI-Standards 200-1ff beim Übergang auf Grundschutz++ abgelöst? Eine vollumfängliche Ablösung der erprobten Standards kann der bislang veröffentlichte Leitfaden nicht leisten.
• Was passiert insbesondere mit den Inhalten des BSI-Standards 200-4 Business Continuity Management? Einen ersten Hinweis für das mögliche Fortbestehen liefert der Umsetzungshinweis der Anforderung NOT.1.1.4 „Business Continuitiy Management“, der exemplarisch den Standard 200-4 als Orientierung für den Aufbau eines BCMS nennt.
• Was wird man formal im Detail erfüllen müssen, um vollständige Unterlagen für eine Zertifizierung einzureichen?

Bislang ließ sich die Grundschutz-Methodik auch ohne Zertifizierungsabsicht anwenden, etwa um Sicherheitskonzepte herzuleiten, Risikoanalysen im ISMS zu gestalten oder um solche Dokumente zu revidieren usw. In derartigen Anwendungsfällen kann man dann darauf verzichten, den Zertifizierungsformalismus komplett zu bedienen – man bedient sich dessen, was zweckdienlich ist.

• Was ist mit dem Kennzahlensystem aus dem WiBa-Ansatz, das zur Übernahme in GS++ vorgesehen ist?

Soll es zunächst „nur“ als Arbeitshilfe zur eigenen Standortbestimmung dienen, oder gleich für einen zertifizierungsreifen Verbund auch angewendet werden?

Insbesondere mit Blick auf die angestrebte Zertifizierbarkeit ab 2027 darf man in gespannte Erwartungshaltung gehen. Wie soll eine Zertifizierung möglich sein, wenn Fragen der genannten Art noch offen sind? Wonach sollen sich Zertifizierungsvorgänge und zugehörige Audits richten, wenn die Grundlage der notwendigen Spezifikationen noch lückenhaft ist?

Der veröffentlichte Zeitplan zum Grundschutz++ setzt in diesem Sinne konkrete Signale, wenn man bzgl. solcher Sachzusammenhänge „rückwärts rechnet“. Zum Beispiel:

• Auf der einen Seite können sich die für die Zertifizierung nötigen Auditoren frühestens ab November des Vorjahres zertifizieren lassen.

Für entsprechende Schulungen etc. müssen Antworten auf Fragen der genannten Art bereits feststehen, selbst wenn für die Finalisierung der Umsetzung noch ein Endspurt nötig ist.

• Auf der anderen Seite lassen die Veröffentlichungen der Pilotphase keine Rückschlüsse auf Reifegrade oder andere Kenngrößen zu, anhand derer sich Unternehmen bereits jetzt vorbereiten könnten.
• In jedem Fall muss zum Januar 2027 seitens des BSI ein Zertifizierungsschema veröffentlicht worden sein.

Hier reicht es nicht, die für Auditorenschulungen notwendigen Festlegungen schon kommunizieren zu können. Wer sich auf eine Zertifizierung nach Grundschutz++ vorbereiten will, muss die maßgeblichen Regelungen kennen, entsprechende Pflichtdokumente gezielt gestalten können usw.

Wie sollten bestehende Grundschutz-Anwender jetzt reagieren?

Es liegt nahe, das Thema GS++ bis dahin zu den Akten zu legen – die derzeitige Pilotierungsphase ist ohnehin nicht für die breite Anwendung gedacht, Ende Oktober kann es dann ja richtig losgehen! Doch ist das vielleicht zu kurz gedacht. Denn wer bereits jetzt einen Blick in Leitfaden und SdT geworfen hat, wird erkannt haben, dass GS++ weitreichende Veränderungen mit sich bringen wird. Sowohl Arbeitsweise als auch die geforderte Dokumentation werden einem signifikanten Wandel unterzogen. Maßgeblich verantwortlich sind dafür die Verwendung des OSCAL-Standards, der damit einhergehende Fokus auf Maschinenlesbarkeit und die Ablösung von Kompendium und Bausteinen durch Praktiken, Anforderungen und Zielobjektkategorien, die sich jeweils nicht 1 zu 1 zuordnen lassen. Eine Migration von modernisiertem Grundschutz auf GS++ dürfte sich demnach nicht als trivial erweisen.

Der wichtigste Kanal und die erste Anlaufstelle, die man im Auge behalten sollte, ist das Repository des BSI auf Github zur SdT. Hier kann man erkennen und verfolgen, dass offenbar an bestimmten Inhalten aktiv gearbeitet wird. Dies betrifft Ergänzungen und Feinschliff am Kompendiums-Nachfolger „Grundschutz++-Katalog“. Dies gilt wohl auch für weitere Informationen wie Mindeststandards, Klarstellung zu Begriffen oder Dokumentationen. Dank Git-Versionsverwaltung kann man einzelne Änderungen und Updates im Detail nachvollziehen: So sind Entwürfe zu Implementierungsbeschreibungen bestimmter Assetklassen sowie ein Mindeststandard für den Einsatz von TLS veröffentlicht worden. Die als sogenannte „namespaces“ veröffentlichten „documentation guidelines“ erlauben erste konkrete Rückschlüsse auf die nötige Dokumentation für ein ISMS nach GS++.

Es muss betont werden, dass es sich im Sinne der Pilotphase bei allem zunächst nur um Entwürfe und Vorschläge handelt. In Stein gemeißelt sind diese Inhalte nicht, eine klare Tendenz für den Kurs der Entwicklung von GS++ lässt sich aber ablesen, um die Weichen entsprechend stellen zu können.

Zugegebenermaßen ist eine solche bisweilen kleinteilige Verfolgung im Sinne von „News zum Grundschutz++“ etwas sperrig, besonders wenn der eigene Hintergrund nicht im Bereich der Softwareentwicklung liegt, die das Haupteinsatzgebiet von Git darstellt. Wer damit partout nicht zurechtkommt, der sei beruhigt. ComConsult verfolgt die Entwicklung von GS++ aktiv, über die BSI-Webthemenseiten und die Quelle SdT auf Github.

Fazit

Über die wichtigsten Neuerungen werden wir Sie auf dem Laufenden halten. Insgesamt zeigt sich bereits in der aktuellen Pilotphase, dass der Übergang vom klassischen IT-Grundschutz++ mit erheblichen konzeptionellen und praktischen Änderungen verbunden sein wird, deren Auswirkungen frühzeitig berücksichtigt werden sollten.