Grundschutz++: Evolution statt Bruch
Warum der BSI‑Standard ein Update brauchte – und was KI damit zu tun hat
Der IT‑Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) gilt seit Jahren als solides Fundament für Informationssicherheits-Managementsysteme (ISMS) in Deutschland. Er ist kompatibel zur ISO 27001, stark strukturiert und besonders im öffentlichen Sektor sowie bei KRITIS‑Organisationen weit verbreitet. Doch die IT‑Realität hat sich schneller verändert als das Regelwerk.
Cloud‑Infrastrukturen, hochdynamische IT‑Landschaften, kontinuierliche Compliance‑Anforderungen und neue Bedrohungslagen haben die Grenzen eines stark dokumenten‑ und stichprobenbasierten Ansatzes offengelegt. Genau hier setzt Grundschutz++ an – und erklärt, warum Automatisierung und KI auch im Audit‑Umfeld an Bedeutung gewinnen.
Was ist IT‑Grundschutz – und warum war eine Grundschutz-Automatisierung praktisch erforderlich?
Der klassische IT-Grundschutz des BSI bietet einen methodischen Rahmen, mit dem Organisationen ein definiertes Sicherheitsniveau aufbauen können. Im Zentrum stehen:
- eine strukturierte Modellierung des Informationsverbunds,
- eine Schutzbedarfsfeststellung,
- standardisierte Sicherheitsanforderungen (Bausteine),
- sowie regelmäßige Prüfungen und Audits.
Dieses Vorgehen ist nachvollziehbar und auditierbar – aber in der Praxis oft sehr aufwendig und wenig flexibel. Vor allem drei Punkte wurden zunehmend problematisch:
- Hoher manueller Dokumentationsaufwand: Nachweise werden häufig punktuell, kurz vor Audits, zusammengesucht.
- Statische Betrachtung: Momentaufnahmen statt kontinuierlicher Bewertung.
- Begrenzte Automatisierbarkeit: Der Standard war nur eingeschränkt maschinenlesbar und schwer in GRC‑ oder Monitoring‑Tools integrierbar.
Christoph Puppe, Principal Enterprise Security Architect bei NTT DATA Europe & Latam, weiß aus eigener Praxis: “Wer sich regelmäßig mit dem BSI IT-Grundschutz und seinem Nachfolger Grundschutz++ befasst, weiß, wie komplex und ressourcenintensiv die Umsetzung sein kann. “
Mit Grundschutz++ reagierte das BSI auf diese Defizite. Der neue Ansatz ist ausdrücklich als Weiterentwicklung gedacht und bleibt ISO‑27001‑kompatibel.
Zentrale Neuerungen sind:
- Prozessorientierung statt Bausteinlogik: Sicherheitsanforderungen werden stärker entlang von Prozessen, Informationen und Assets betrachtet.
- Reduktion und Modularisierung: Weniger Redundanz, klarere Strukturen.
- Maschinenlesbarkeit: Anforderungen werden so formuliert, dass sie automatisiert ausgewertet und gemessen werden können.
- Kontinuierliche Bewertung: Weg vom „Audit‑Stichtag“, hin zu laufender Transparenz über den Sicherheitsstatus.
Perspektivisch soll Grundschutz++ den klassischen IT‑Grundschutz ablösen; bis mindestens 2029 sind beide Standards parallel anwendbar.
Ein zentraler Gedanke von Grundschutz++ ist die Mess‑ und Nachweisbarkeit von Sicherheitsanforderungen in Echtzeit. Damit verschiebt sich der Fokus zwangsläufig von stichprobenartigen Prüfungen hin zu einer vollständigen, kontinuierlichen Analyse aller relevanten Nachweise.
Das ist manuell kaum leistbar – insbesondere in großen oder dynamischen IT‑Umgebungen. An dieser Stelle kommen KI‑gestützte Audit‑Werkzeuge ins Spiel.
KI‑gestützte Audits auf Basis des IT‑Grundschutzes
NTT DATA adressiert genau dieses Spannungsfeld mit dem Audit Automator. Das Tool analysiert vollständige Dokumentationen mithilfe von KI und nicht nur Auszüge oder Stichproben. Ziel ist eine präzisere, schnellere und reproduzierbare Nachweisführung für ISO‑27001‑Audits – aufbauend auf dem BSI‑IT‑Grundschutz.
Laut NTT DATA basiert der Ansatz auf drei Kernelementen:
- Vollständige Dokumentenanalyse statt selektiver Prüfung,
- Kontinuierliches Monitoring mit Echtzeit‑Einblicken,
- Verlagerung der Auditorenrolle hin zu Risikoanalyse und strategischer Bewertung komplexer Sachverhalte.
Ein erstes Überwachungsaudit wurde gemeinsam mit HiSolutions durchgeführt, nachdem das Unternehmen der Verarbeitung seiner Audit‑Daten in einer sicheren Cloud‑Umgebung zugestimmt hatte.
Von der Audit‑Pflicht zur strategischen Sicherheitsfunktion
Damit zeigt sich ein grundlegender Wandel, der weit über ein einzelnes Tool hinausgeht. Grundschutz++ und KI‑basierte Audit‑Automatisierung verfolgen dasselbe Ziel: Informationssicherheit als laufenden, messbaren Prozess zu etablieren – nicht als jährliche Dokumentationsübung.
Für Organisationen bedeutet das:
- weniger manueller Aufwand,
- höhere Prüfqualität,
- bessere Vergleichbarkeit über Zeiträume hinweg,
und mehr Raum für die eigentliche Aufgabe von Sicherheitsverantwortlichen: Risiken verstehen, priorisieren und steuern.
“IT-Sicherheit ist das Rückgrat unserer digitalen Infrastruktur – und sie muss in der Praxis handhabbar bleiben”, mahnt Puppe.
Fazit
Grundschutz++ ist die Antwort des BSI auf eine IT‑Welt, die zu dynamisch für klassische Audit‑Logiken geworden ist. Seine Stärken – Prozessfokus, Maschinenlesbarkeit und kontinuierliche Bewertung – entfalten ihr Potenzial erst in Kombination mit Automatisierung und KI. Lösungen wie der Audit Automator von NTT DATA zeigen, wie sich dieser Anspruch praktisch umsetzen lässt: weg von dröger Pflicht, hin zu belastbarer Sicherheitssteuerung.