Above C Level: Compliance-as-Code

Wie das BSI mit OSCAL und KI den Papiertiger zähmte

Bild: KI / Motiv: BSI

Der IT-Grundschutz des BSI gilt als sicher, aber auch als bürokratisches Monster. In einer Episode unseres Podcasts „Above C Level“ erklärt Christoph Puppe, Principal Enterprise Security Architect bei NTT DATA und Autor u. a. des NTT-Audit-Automators, warum wir uns 2026 am Wendepunkt zur maschinenlesbaren Informationssicherheit befinden – und warum KI dabei weit mehr ist als nur Hype.

In der IT-Welt von 2026 geben Cloud-Native-Strukturen, DevOps und KI-Agenten den Takt vor. Compliance hinkte diesem Tempo lange hinterher. Christoph Puppe, selbst Auditor und Kopf hinter der automatisierten Konvertierungspipeline BSI-Grundschutz zu OSCAL, räumt mit dem alten Image des Grundschutzes auf. Sein Credo: Informationssicherheit muss skalierbar sein.

Das Problem: Veraltete Strukturen und PDF-Wüsten

Der klassische Grundschutz litt laut Puppe unter einem Ressourcenproblem beim BSI, wodurch Bausteine für moderne Technologien wie NoSQL, CICD oder KI fehlten. Ein zentrales Hindernis war das Format: Während früher HTML-Versionen noch auslesbar waren, machten textlastige PDFs die Digitalisierung zur Qual. „Man brauchte kommerzielle Tools, wo jemand wahrscheinlich einen Praktikanten herangesetzt hat, um das per Cut & Paste in eine Datenbank zu verwandeln“, so Puppe.

Die Lösung: Grundschutz++ und OSCAL

Mit Grundschutz++ wagt das BSI nun den radikalen Neuanfang. Die wichtigsten Neuerungen im Überblick:

Puppe selbst hat diesen Prozess beschleunigt, indem er die bestehende Edition 2023 mittels KI in das OSCAL-Format übersetzte – inklusive Erweiterungen wie Reifegradmodellen und Übersetzungen in 14 Sprachen.

Die Rolle der KI: Präzision statt „Vibe-Coding“

Interessant ist Puppes Ansatz beim Einsatz von Künstlicher Intelligenz. Er warnt vor einem „hemdsärmeligen“ Ansatz, bei dem man Dokumente einfach einer KI „über den Zaun wirft“.

Ich brauche nicht nur interessante Ergebnisse, ich brauche präzise Ergebnisse und die Ergebnisse müssen wiederholbar sein.

Die KI fungiert dabei als mächtiger Datenverarbeiter innerhalb einer fest definierten Pipeline, um beispielsweise die Prüftiefe in Zertifizierungsaudits massiv zu erhöhen. Dennoch bleibt der „Human in the Loop“ essenziell.

Continuous Auditing als Ziel

Die Vision ist klar: Weg vom punktuellen Audit alle zwei Jahre, hin zum Continuous Auditing. Compliance wird zu Code, der automatisiert gegen APIs von Hyperscalern geprüft werden kann.

Puppes Rat an CISO-Teams im Papierchaos: „Chancen sehen, an die Zukunft glauben und ganz viel KI benutzen – aber die KI präzise steuern.“

https://player.simplecast.com/d6a13301-599e-41e7-857e-af906fe27d15?dark=false

Seine Erfahrungen und Erkenntnisse “aus der Werkstatt der IT-Sicherheit" hat Christoph Puppe in einem Buch veröffentlicht, das seit heute bei Amazon erhältlich ist.

Image
Description
1 Jahr Mitarbeit am BSI Grundschutz++: Erfahrungen, Erkenntnisse und Ausblicke aus der Werkstatt der IT-Sicherheit