Above C Level: Compliance-as-Code
Wie das BSI mit OSCAL und KI den Papiertiger zähmte
Der IT-Grundschutz des BSI gilt als sicher, aber auch als bürokratisches Monster. In einer Episode unseres Podcasts „Above C Level“ erklärt Christoph Puppe, Principal Enterprise Security Architect bei NTT DATA und Autor u. a. des NTT-Audit-Automators, warum wir uns 2026 am Wendepunkt zur maschinenlesbaren Informationssicherheit befinden – und warum KI dabei weit mehr ist als nur Hype.
In der IT-Welt von 2026 geben Cloud-Native-Strukturen, DevOps und KI-Agenten den Takt vor. Compliance hinkte diesem Tempo lange hinterher. Christoph Puppe, selbst Auditor und Kopf hinter der automatisierten Konvertierungspipeline BSI-Grundschutz zu OSCAL, räumt mit dem alten Image des Grundschutzes auf. Sein Credo: Informationssicherheit muss skalierbar sein.
Das Problem: Veraltete Strukturen und PDF-Wüsten
Der klassische Grundschutz litt laut Puppe unter einem Ressourcenproblem beim BSI, wodurch Bausteine für moderne Technologien wie NoSQL, CICD oder KI fehlten. Ein zentrales Hindernis war das Format: Während früher HTML-Versionen noch auslesbar waren, machten textlastige PDFs die Digitalisierung zur Qual. „Man brauchte kommerzielle Tools, wo jemand wahrscheinlich einen Praktikanten herangesetzt hat, um das per Cut & Paste in eine Datenbank zu verwandeln“, so Puppe.
Die Lösung: Grundschutz++ und OSCAL
Mit Grundschutz++ wagt das BSI nun den radikalen Neuanfang. Die wichtigsten Neuerungen im Überblick:
- Maschinenlesbarkeit: Weg von PDFs, hin zum OSCAL-Format (Open Security Controls Assessment Language).
- Generische Maßnahmen: Statt starrer Bausteine für jedes Einzelobjekt gibt es nun einen Katalog mit knapp 1000 Maßnahmen, aufgeteilt in 21 Praktiken.
- Dynamische Vererbung: Über Zielobjektkategorien lassen sich Maßnahmen (z. B. für „Host-Systeme“) dynamisch zusammenführen.
Puppe selbst hat diesen Prozess beschleunigt, indem er die bestehende Edition 2023 mittels KI in das OSCAL-Format übersetzte – inklusive Erweiterungen wie Reifegradmodellen und Übersetzungen in 14 Sprachen.
Die Rolle der KI: Präzision statt „Vibe-Coding“
Interessant ist Puppes Ansatz beim Einsatz von Künstlicher Intelligenz. Er warnt vor einem „hemdsärmeligen“ Ansatz, bei dem man Dokumente einfach einer KI „über den Zaun wirft“.
Ich brauche nicht nur interessante Ergebnisse, ich brauche präzise Ergebnisse und die Ergebnisse müssen wiederholbar sein.
Die KI fungiert dabei als mächtiger Datenverarbeiter innerhalb einer fest definierten Pipeline, um beispielsweise die Prüftiefe in Zertifizierungsaudits massiv zu erhöhen. Dennoch bleibt der „Human in the Loop“ essenziell.
Continuous Auditing als Ziel
Die Vision ist klar: Weg vom punktuellen Audit alle zwei Jahre, hin zum Continuous Auditing. Compliance wird zu Code, der automatisiert gegen APIs von Hyperscalern geprüft werden kann.
Puppes Rat an CISO-Teams im Papierchaos: „Chancen sehen, an die Zukunft glauben und ganz viel KI benutzen – aber die KI präzise steuern.“
Seine Erfahrungen und Erkenntnisse “aus der Werkstatt der IT-Sicherheit" hat Christoph Puppe in einem Buch veröffentlicht, das seit heute bei Amazon erhältlich ist.