Grundschutz++: Evolution statt Bruch

Warum der BSI‑Standard ein Update brauchte – und was KI damit zu tun hat

Bild: Getty Images / Credits: Vertigo3d

Der ITGrundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) gilt seit Jahren als solides Fundament für Informationssicherheits-Managementsysteme (ISMS) in Deutschland. Er ist kompatibel zur ISO 27001, stark strukturiert und besonders im öffentlichen Sektor sowie bei KRITISOrganisationen weit verbreitet. Doch die ITRealität hat sich schneller verändert als das Regelwerk.

Cloud‑Infrastrukturen, hochdynamische IT‑Landschaften, kontinuierliche Compliance‑Anforderungen und neue Bedrohungslagen haben die Grenzen eines stark dokumenten‑ und stichprobenbasierten Ansatzes offengelegt. Genau hier setzt Grundschutz++ an – und erklärt, warum Automatisierung und KI auch im Audit‑Umfeld an Bedeutung gewinnen.

Was ist IT‑Grundschutz – und warum war eine Grundschutz-Automatisierung praktisch erforderlich?

Der klassische IT-Grundschutz des BSI bietet einen methodischen Rahmen, mit dem Organisationen ein definiertes Sicherheitsniveau aufbauen können. Im Zentrum stehen:

Dieses Vorgehen ist nachvollziehbar und auditierbar – aber in der Praxis oft sehr aufwendig und wenig flexibel. Vor allem drei Punkte wurden zunehmend problematisch:

Christoph Puppe, Principal Enterprise Security Architect bei NTT DATA Europe & Latam, weiß aus eigener Praxis: “Wer sich regelmäßig mit dem BSI IT-Grundschutz und seinem Nachfolger Grundschutz++ befasst, weiß, wie komplex und ressourcenintensiv die Umsetzung sein kann. “

Mit Grundschutz++ reagierte das BSI auf diese Defizite. Der neue Ansatz ist ausdrücklich als Weiterentwicklung gedacht und bleibt ISO‑27001‑kompatibel.

Zentrale Neuerungen sind:

Perspektivisch soll Grundschutz++ den klassischen IT‑Grundschutz ablösen; bis mindestens 2029 sind beide Standards parallel anwendbar.

Ein zentraler Gedanke von Grundschutz++ ist die Mess‑ und Nachweisbarkeit von Sicherheitsanforderungen in Echtzeit. Damit verschiebt sich der Fokus zwangsläufig von stichprobenartigen Prüfungen hin zu einer vollständigen, kontinuierlichen Analyse aller relevanten Nachweise.

Das ist manuell kaum leistbar – insbesondere in großen oder dynamischen IT‑Umgebungen. An dieser Stelle kommen KI‑gestützte Audit‑Werkzeuge ins Spiel.

KI‑gestützte Audits auf Basis des IT‑Grundschutzes

NTT DATA adressiert genau dieses Spannungsfeld mit dem Audit Automator. Das Tool analysiert vollständige Dokumentationen mithilfe von KI und nicht nur Auszüge oder Stichproben. Ziel ist eine präzisere, schnellere und reproduzierbare Nachweisführung für ISO‑27001‑Audits – aufbauend auf dem BSI‑IT‑Grundschutz.

Laut NTT DATA basiert der Ansatz auf drei Kernelementen:

Ein erstes Überwachungsaudit wurde gemeinsam mit HiSolutions durchgeführt, nachdem das Unternehmen der Verarbeitung seiner Audit‑Daten in einer sicheren Cloud‑Umgebung zugestimmt hatte.

Von der Audit‑Pflicht zur strategischen Sicherheitsfunktion

Damit zeigt sich ein grundlegender Wandel, der weit über ein einzelnes Tool hinausgeht. Grundschutz++ und KI‑basierte Audit‑Automatisierung verfolgen dasselbe Ziel: Informationssicherheit als laufenden, messbaren Prozess zu etablieren – nicht als jährliche Dokumentationsübung.

Für Organisationen bedeutet das:

und mehr Raum für die eigentliche Aufgabe von Sicherheitsverantwortlichen: Risiken verstehen, priorisieren und steuern.

“IT-Sicherheit ist das Rückgrat unserer digitalen Infrastruktur – und sie muss in der Praxis handhabbar bleiben”, mahnt Puppe.

Image
Description
Christoph Puppe ist Autor der automatisierten Konvertierungspipeline BSI-Grundschutz zu OSCAL sowie des NTT-Audit-Automators.

Fazit

Grundschutz++ ist die Antwort des BSI auf eine IT‑Welt, die zu dynamisch für klassische Audit‑Logiken geworden ist. Seine Stärken – Prozessfokus, Maschinenlesbarkeit und kontinuierliche Bewertung – entfalten ihr Potenzial erst in Kombination mit Automatisierung und KI. Lösungen wie der Audit Automator von NTT DATA zeigen, wie sich dieser Anspruch praktisch umsetzen lässt: weg von dröger Pflicht, hin zu belastbarer Sicherheitssteuerung.