Thought Leadership
Die Umstellung auf Grundschutz++ beschäftigt derzeit eine Vielzahl von Anwendern, Auditoren, Institutionen, Dienstleistern, Schulungsanbietern und Tool-Herstellern. Viele stehen vor grundlegenden Fragen in Bezug auf Umstellung, Migration und Veränderung für die tägliche Praxis.
Als interessierter Beobachter und aktives Mitglied der Stand-der-Technik-Community möchten wir in diesem Beitrag unsere bisherigen Erkenntnisse, Beobachtungen und Eindrücke zusammenfassen.
Was wissen wir bisher?
In der Vergangenheit erschien jährlich ein überarbeiteter Informationssicherheits-Anforderungskatalog. Seit 2023 veröffentlichte das BSI kein neues Kompendium mehr und präsentierte seine Vision stattdessen auf Fachveranstaltungen. Doch viele Teilnehmende verließen die Events ernüchtert und mit wenigen neuen Informationen sowie ohne konkrete Umsetzungsbeispiele. Die Botschaft des BSI bleibt dennoch klar: ‚Cybersicherheit ist mess- und automatisierbar‘.
Im Zuge dieser Vision rückten Schlagworte wie ‚Kennzahlen, Satzschablonen, Praktiken, Blaupausen, Handlungsworte, Metadaten, OSCAL, JSON, agile Veröffentlichung und Sicherheitsniveau‘ in den Vordergrund. Was zunächst nach mehr Komplexität klingt, soll langfristig für mehr Messbarkeit und Automatisierung sorgen. Aber wie passt das zu den bekannten Konzepten wie Basis-, Standard- oder Kernabsicherung? Was wird aus Strukturanalyse, Schutzbedarfsfeststellung und Modellierung?
Orientierung an ISO/IEC 27001
Ein zentrales Merkmal des Grundschutz++ ist die deutlich stärkere Anlehnung an die ISO/IEC 27001. Damit rückt der Top-down-Ansatz in den Vordergrund. Es soll ein risikoorientiertes Informationssicherheits-Managementsystem (ISMS) eingeführt werden, klar gegliedert in die bekannten PDCA-Phasen (Plan – Do – Check – Act), die sich in entsprechenden ISMS-Praktiken wiederfinden.
Ein Blick ins Detail: Praktiken und Blaupausen
Die Praktiken sind Bestandteil der Kataloge, die vom BSI über GitHub in den maschinenlesbaren OSCAL-Datenformaten JSON und XML veröffentlicht sind. Diese bilden sowohl die Methodik als auch die Sicherheitsanforderungen ab. Zudem erfolgt die Auswahl geeigneter Sicherheitsanforderungen nicht wie bisher durch Modellierung der Bausteine, sondern über die Auswahl der Blaupausen unter Berücksichtigung der ersten Einschätzung des Schutzbedarfs.
Diese grundlegende Einstufung wurde im Zuge der Modernisierung vereinfacht: Anstelle von drei Stufen kann nun zwischen zwei Stufen – ‚normal‘ (entspricht dem allgemeinen Stand der Technik) und ‚erhöht‘ – gewählt werden. Die Blaupausen enthalten eine vordefinierte Auswahl der Praktiken mit entsprechenden Sicherheitsanforderungen. Wer die Praktiken in einem anderen Format als JSON oder XML anzeigen möchte, braucht allerdings einen entsprechenden Konverter.
Fazit
Grundschutz++ ist kein einfaches Update, sondern eine grundlegende Neuausrichtung hin zu mehr Flexibilität, Effizienz und Automatisierung. Derzeit fehlt jedoch ein übergreifendes Gesamtbild sowie konkrete, nachvollziehbare Beispiele für eine Sicherheitskonzeption. Bislang liegen auch kaum Beispiele für eine Transition vom IT-Grundschutz zu Grundschutz++ vor und die angestrebte Messbarkeit bleibt vorerst theoretisch.
Ein frühzeitiger Einstieg in das neue Konzept sowie eine IST-Aufnahme des aktuellen Standes in der eigenen Institution sind dennoch sinnvoll und empfehlenswert. Panik ist jedoch nicht angebracht, denn bis zur vollständigen Einführung bleibt ausreichend Zeit, um sich strukturiert vorzubereiten.
(cm/infodas)
