Grundschutz++: Weiterentwicklung des BSI-Standards für moderne IT-Landschaften

Digitalisierung & KI | IT-Sicherheit
28. Mai 2026

Die Anforderungen an Informationssicherheit steigen kontinuierlich: IT-Systeme werden komplexer, Cloud-Dienste setzen sich zunehmend durch und künstliche Intelligenz hat sich in kürzester Zeit etabliert. Organisationen stehen vor der Herausforderung, Sicherheitsanforderungen nicht nur formal umzusetzen, sondern wirksam in dynamische IT-Umgebungen zu integrieren.

Der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) bildet hierfür seit Jahrzehnten eine bewährte Grundlage. Mit seinen strukturierten Bausteinen und konkreten Maßnahmen unterstützt er Organisationen beim systematischen Aufbau von Informationssicherheits-Managementsystemen (ISMS).

Als Reaktion auf wachsende Dynamik und den technischen Fortschritt entwickelt das BSI den bestehenden Ansatz mit dem Grundschutz++ weiter. Die Methodik Grundschutz++ befindet sich derzeit in der Einführungs- und Erprobungsphase und wird fortlaufend weiterentwickelt. Mit diesem Blogbeitrag möchten wir Ihnen die wichtigsten Neuerungen vorstellen.

Weiterentwicklung statt Ablösung

Grundschutz++ ist als Weiterentwicklung des bestehenden IT-Grundschutzes zu verstehen und soll diesen perspektivisch ablösen. So werden ab dem Jahr 2031 keine Informationsverbünde mehr nach IT-Grundschutz 2023 zertifiziert.

Ziel ist es, die etablierte Methodik an aktuelle Herausforderungen anzupassen und ihre praktische Anwendbarkeit weiter zu verbessern. Dies zeigt sich bereits an der Namensgebung, bei der „IT“ weggefallen ist.

Der Blick verschiebt sich dabei weg von einer vollständigen Umsetzung vorgegebener Bausteine. Informationssicherheit orientiert sich stärker an der Frage, welche Maßnahmen im jeweiligen Kontext angemessen und wirksam sind, und setzt Prioritäten.

Gleichzeitig zeichnen sich mehrere strukturelle Entwicklungen ab

  • Anforderungen werden systematisch entlang eines definierten Sicherheitsprozesses strukturiert, der sich an etablierten Managementsystemen orientiert (PDCA-Zyklus).
  • Die Rolle des Informationssicherheitsbeauftragten bleibt zentral. Darüber hinaus werden Aufgaben weiteren Rollen zugewiesen (z. B. Risikoeigentümer, Asset-Owner, Process-Owner).
  • Sicherheitsanforderungen werden in sogenannten „Praktiken“ thematisch zusammengefasst.
  • Eine strukturierte, maschinenlesbare Bereitstellung im JSON-Format erleichtert die Integration in Tools und die Verarbeitbarkeit von Anforderungen insgesamt.
  • Die Weiterentwicklung erfolgt fortlaufend und nicht mehr in festen jährlichen Release-Zyklen.

Diese Entwicklungen zielen darauf ab, Informationssicherheit verständlicher und flexibler zu machen und stärker in bestehende Abläufe zu integrieren.

Methodik und Aufbau von Grundschutz++

Der neue Grundschutz++ sieht entsprechend dem PDCA-Paradigma folgende Schritte für den Informationssicherheitsmanagementprozess vor:

  1. Erhebung und Planung (Plan)
  2. Anforderungsanalyse (Plan)
  3. Realisierung (Do)
  4. Überwachung (Check)
  5. Kontinuierliche Verbesserung (Act)

Die methodische Vorgehensweise orientiert sich weiterhin an den bekannten Grundprinzipien des IT-Grundschutzes: von der Strukturanalyse über die Schutzbedarfsfeststellung bis hin zur Umsetzung und kontinuierlichen Überprüfung.

Im Unterschied zum klassischen IT-Grundschutz ist die Risikoanalyse jedoch kein eigenständiger, durchgängiger Prozessschritt mehr, sondern wird gezielt an verschiedenen Stellen der Methodik eingesetzt, beispielsweise bei Abweichungen vom definierten Sicherheitsniveau oder bei der Bewertung nicht umgesetzter Anforderungen. Die Risikoanalyse verschiebt sich damit von einem zentralen Einzelschritt hin zu einem integralen Bestandteil der einzelnen Prozessschritte.

Relevanz für Organisationen

Viele Organisationen verfügen bereits über etablierte Sicherheitskonzepte auf Basis des IT-Grundschutzes. Diese bieten eine solide Struktur und Orientierung.

In der praktischen Umsetzung zeigt sich jedoch häufig, dass die Übertragung der Anforderungen auf individuelle IT-Landschaften einen hohen Aufwand erfordert, weil der IT-Grundschutz 2023 aus 6567 Teilanforderungen besteht.

In modernen IT-Umgebungen mit Cloud-Nutzung, hybriden Infrastrukturen und dynamischen Systemlandschaften entsteht daher der Bedarf, Anforderungen stärker zu priorisieren und an den jeweiligen Kontext anzupassen.

Grundschutz++ setzt genau hier an. Die Anforderungen wurden um 85% auf derzeit ca. 985 konsolidierte Anforderungen reduziert. Der Ansatz eröffnet zusätzlichen Spielraum, Sicherheitsmaßnahmen gezielter auszuwählen und stärker an den organisatorischen und technischen Rahmenbedingungen auszurichten, ohne die methodische Grundlage des BSI zu verlassen.

Dabei wird explizit berücksichtigt, dass unterschiedliche Organisationen – von kleinen bis großen Institutionen – unterschiedliche Reifegrade, Ressourcen und Anforderungen haben und die Methodik entsprechend skalierbar angewendet werden kann. 

Einordnung und Ausblick

Das IT-Grundschutz-Kompendium liegt aktuell in der Edition 2023 vor und wird weiterhin aktiv eingesetzt. Gleichzeitig zeigen technologische Entwicklungen, dass ergänzende und flexiblere Ansätze zunehmend an Bedeutung gewinnen. Es ist bspw. nicht mehr zeitgemäß ein Jahr auf die Aktualisierung der Anforderungen zu warten.

Grundschutz++ ist in diesem Kontext als Weiterentwicklung zu verstehen, die bestehende Grundlagen sinnvoll nachnutzt. Auch wenn sich der Ansatz derzeit noch in der Ausarbeitung befindet, kann eine frühzeitige Auseinandersetzung sinnvoll sein, um zukünftige Entwicklungen besser einzuordnen und bestehende Sicherheitskonzepte gezielt weiterzuentwickeln. So kann die Wahl von Grundschutz++ als Methodik für erstmalige IT-Sicherheitskonzepte absehbare Migrationsaufwände von Grundschutz 2023 auf Grundschutz++ einsparen.

Eine wesentliche Herausforderung in der praktischen Umsetzung von Grundschutz++ liegt weniger in der Methodik selbst, sondern in der organisatorischen Verankerung. Insbesondere das erweiterte Rollenmodell, etwa mit Rollen wie Risikoeigentümer, Asset-Owner oder Process-Owner, erfordert eine klare Zuordnung von Verantwortlichkeiten über bestehende Organisationsstrukturen hinweg und eine stärkere Integration der Informationssicherheit in operative Prozesse.

Damit verlagert sich Informationssicherheit zunehmend aus der klassischen Zuständigkeit einzelner Funktionen – wie des Informationssicherheitsbeauftragten – in die Breite der Organisation. Die Einführung und Etablierung dieser Rollen betrifft daher häufig die gesamte Organisation und ist in vielen Fällen als organisationsweites Vorhaben zu verstehen.

Diese Entwicklung geht insbesondere mit einer stärkeren Integration von Governance-, Compliance- und Management-Aspekten sowie der Einbindung der Institutionsleitung als verantwortliche Instanz für Informationssicherheit einher. Dies steht im Einklang mit regulatorischen Entwicklungen, die zunehmend Vorgaben zur Informationssicherheit beinhalten.

Unterstützung durch die IMTB

Die IMTB beschäftigt sich bereits seit 2025 mit Grundschutz++ und bringt praktische Erfahrungen aus Projekten in die Bewertung und Umsetzung ein.

Wir unterstützen Organisationen insbesondere bei der Erstellung und Weiterentwicklung von IT-Sicherheitskonzepten, der Durchführung von Risikoanalysen sowie bei strukturierten Sicherheits- und Grundschutz-Checks, um den Umsetzungsstand Ihrer Maßnahmen transparent zu bewerten und gezielt weiterzuentwickeln.

Darüber hinaus erstellen wir erforderliche Dokumentationen, wie bspw. Betriebskonzepte, Rechte- und Rollenkonzepte, Schulungskonzepte, welche im Rahmen der Einführung von Fachverfahren erforderlich sind und durch das IT-Sicherheitskonzept referenziert werden.

Weitere Beiträge

Jobs bei der IMTB

Leistungen

Digitalisierung und KI
Organisationberatung
Vergabeberatung
Projektbegleitung
Alle Leistungen von A-Z

Kontakt

E-Mail: info@imtb.de
Telefon: +49 30 440 483 24
Kontakte aller IMTB-Standorte

Impressum
Datenschutz