Bild: Generiert mit Gemini Flash

IT-Grundschutz++: maschinenlesbar als zentrale Designentscheidung

Das BSI hat im April 2026 das Methoden-Kapitel zu IT-Grundschutz++ veröffentlicht. Die Anforderungen werden in maschinenlesbarer OSCAL-Form geliefert; der Kompendiums-Text schrumpft, die Verantwortung für die technische Konkretisierung wandert zum Anwender.

Inhalt dieses Beitrags
  1. Problem
  2. Kurze Antwort
  3. Tiefgang
  4. Was OSCAL ist und warum es passt
  5. Was sich für den Anwender ändert
  6. Mapping auf andere Standards
  7. Was sich bei der Zertifizierung ändert
  8. Abgelehnte Alternativen
  9. Was Sie jetzt tun sollten
  10. Wie Dernium hier hilft
  11. Offene Punkte
  12. Häufige Fragen
  13. Was ist OSCAL und warum nutzt das BSI ausgerechnet ein NIST-Format?
  14. Muss ich jetzt sofort von der alten Grundschutz-Version migrieren?
  15. Wird ein Grundschutz-Audit durch IT-Grundschutz++ einfacher oder schwerer?
  16. Brauche ich für IT-Grundschutz++ eine spezielle Software?
  17. Verifikation

Problem

Der IT-Grundschutz (das Methoden- und Maßnahmenwerk des BSI für Informationssicherheit) ist seit den 1990er Jahren das deutsche Standardwerk für strukturierte Informations-Sicherheit. BSI steht für Bundesamt für Sicherheit in der Informationstechnik. Über drei Jahrzehnte ist das Kompendium auf etwa 5000 Seiten angewachsen. Anwender klagen seit Jahren über zwei Eigenschaften: erstens vermengen die Bausteine Anforderungen und Erläuterungen so, dass eine eindeutige Pflichten-Liste schwer abzuleiten ist; zweitens ist das ganze Werk ein PDF-Text-Korpus, also schwer maschinell weiter zu verarbeiten.

Für wen ist das? Für IT-Grundschutz-Anwender und Werkzeug-Hersteller, die auf maschinenlesbare Vorgaben umstellen.

Kurze Antwort

Mit der Modernisierung zu IT-Grundschutz++ ändert das BSI nicht den Inhalt im Kern, sondern die Form, in der die Anforderungen ausgeliefert werden. Das Wesentliche:

  • Maschinenlesbares Format: Anforderungen liegen jetzt im offenen OSCAL-Format der NIST vor (Open Security Controls Assessment Language; NIST = das US-Normungsinstitut), als JSON und XML (zwei verbreitete maschinenlesbare Datenformate) serialisiert.
  • Anforderung und Erläuterung getrennt: Begründungen und Beispiele stehen nicht mehr im selben Fließtext wie die eigentliche Pflicht.
  • Schlankeres Werk: Das Kompendium schrumpft dadurch auf etwa 1400 Seiten.
  • Schrittweise Einführung: Das BSI hat das Methoden-Kapitel im April 2026 veröffentlicht; die vollständigen Bausteine folgen über mehrere Releases.
  • Verschobene Last: Die Umsetzung in konkrete technische Maßnahmen liegt stärker beim Anwender als bisher.

Tiefgang

IT-Grundschutz++ liefert dieselben Pflichten statt als PDF-Fließtext nun als maschinenlesbaren OSCAL-Katalog mit getrennter Anforderung.
IT-Grundschutz++ liefert dieselben Pflichten statt als PDF-Fließtext nun als maschinenlesbaren OSCAL-Katalog mit getrennter Anforderung.

Was OSCAL ist und warum es passt

OSCAL ist eine vom NIST entwickelte, offene Spezifikation, um Sicherheits-Kataloge, -Profile, Implementierungs-Beschreibungen und Bewertungs-Ergebnisse in maschinenlesbarer Form auszutauschen. Ein OSCAL-Katalog enthält Controls und Control Groups (einzelne Sicherheits-Anforderungen und ihre Gruppen) in einer Baumstruktur mit eindeutigen IDs, formalen Beziehungen und maschinenlesbaren Anforderungs-Texten.

Warum das passt: ein klassisches Grundschutz-Audit (eine Prüfung der Informationssicherheit gegen das Grundschutz-Werk) erfordert, jede Anforderung mit dem konkreten Umsetzungs-Stand der eigenen Organisation in Verbindung zu setzen. Heute geschieht das in Excel-Tabellen, Word-Anhängen und ISMS-spezifischen Datenbanken (ISMS = Information Security Management System, das gelebte Steuerungssystem für Informationssicherheit). Mit OSCAL kann ein ISMS die BSI-Kontrollen direkt importieren und mit den eigenen Profile- und Component-Beschreibungen verknüpfen.

Was sich für den Anwender ändert

Der Reform-Effekt ist zweischneidig. Auf der einen Seite werden Anforderungen klarer formuliert, nicht mehr mit Begründungen, Beispielen und Querbezügen in einem Fließtext-Block verschmolzen. Auf der anderen Seite verschiebt sich die Konkretisierungs-Last: wo das alte Kompendium die "Standard-Anforderungen" mit umfangreichen Hinweisen begleitete, steht jetzt die Anforderung; die Umsetzung in konkrete technische Maßnahmen liegt beim Anwender.

Praktisch heißt das: ein Grundschutz-Audit nach der neuen Methode setzt voraus, dass die Organisation ein eigenes, dokumentiertes Umsetzungs-Modell hat (oder es bei einem Dienstleister einkauft). Die Zeit, in der ein Bausteins-Text-Auszug als Nachweis genügt, ist vorbei.

Mapping auf andere Standards

Die OSCAL-Form erlaubt formale Mappings (maschinenlesbare Zuordnungen, welche Anforderung welcher anderen entspricht) auf ISO/IEC 27001 Annex A (internationale Norm für Informationssicherheits-Management), BSI C5 (Cloud Computing Compliance Criteria Catalogue des BSI), NIS-2 (EU-Richtlinie zur Netz- und Informationssicherheit), DORA (EU-Verordnung zur digitalen Betriebsstabilität im Finanzsektor) und SOC 2 (ein US-Prüfstandard für Dienstleister). Wer in mehreren Compliance-Welten unterwegs ist (typisch im KRITIS-Sektor, den Kritischen Infrastrukturen: Grundschutz plus ISO 27001 plus C5 plus NIS-2), kann erstmals die Doppel-Pflege auf eine maschinell unterstützte Mapping-Schicht heben.

Was sich bei der Zertifizierung ändert

Die Zertifizierungs-Grundlage BSI-Standards 200-1 / 200-2 / 200-3 (die Methodik-Dokumente zu Managementsystem, Vorgehensweise und Risikoanalyse) bleibt bestehen, wird aber an die maschinenlesbare Auslieferung angepasst. Geprüft wird weiterhin nach Bausteinen, aber die Beweis-Führung erfolgt zunehmend gegen die OSCAL-Modelle, die der Anwender selbst zusammensetzt.

Abgelehnte Alternativen

Den alten Grundschutz weiter betreiben. Geht eine Zeit lang, ist aber kein nachhaltiger Pfad. Sobald Prüfer-Tools auf OSCAL umstellen, wird die parallele Pflege eines manuellen Modells teurer als die Migration.

Eigene Mapping-Schicht zwischen IT-Grundschutz, ISO 27001 und C5 weiterhin in Excel pflegen. Skaliert nicht. Wer drei oder mehr Standards bedient, läuft auf eine Tool-gestützte Compliance-Datenbank zu, die genau das ist, was OSCAL erleichtert.

Was Sie jetzt tun sollten

  1. Methoden-Kapitel sichten: Lesen Sie das im April 2026 veröffentlichte Methoden-Kapitel und verschaffen Sie sich einen Überblick, welche Bausteine bereits in OSCAL-Form vorliegen und welche noch als PDF.
  2. ISMS-Werkzeug auf OSCAL prüfen: Klären Sie mit Ihrem ISMS-Anbieter, ob das Werkzeug OSCAL-Kataloge importieren kann - das ist die Voraussetzung, um die BSI-Kontrollen direkt zu übernehmen.
  3. Umsetzungs-Modell aufbauen: Dokumentieren Sie für die Anforderungen ein eigenes Modell konkreter technischer Maßnahmen, da der bloße Baustein-Text künftig nicht mehr als Nachweis genügt.
  4. Mappings konsolidieren: Wenn Sie mehrere Standards bedienen, lösen Sie sich von der Excel-Doppelpflege und verlagern Sie die Zuordnungen schrittweise in eine maschinell unterstützte Mapping-Schicht.
  5. Versions-Frage mit dem Prüfer klären: Wenn Sie 2026 oder 2027 zertifizieren, vereinbaren Sie früh mit Ihrem Prüfer, gegen welche Baustein-Version (alt oder OSCAL) geprüft wird.

Wie Dernium hier hilft

Dernium liefert die operative Antwort auf einen Teil der Grundschutz-Anforderungen direkt aus der Architektur: Identitäts-Verwaltung, Audit-Protokolle (revisionssichere Nachweisaufzeichnungen), Verschlüsselungs-Pfade, getrennte Netze, dokumentierte Schlüssel-Custody (nachvollziehbare Verwahrung der kryptografischen Schlüssel). Für Kunden, die einen IT-Grundschutz++-Audit vorbereiten, sind die zugehörigen TechTalks und die Architektur-Übersichten unserer Produkte (Watch, Desk) so geschrieben, dass sie als Belege in der eigenen ISMS-Dokumentation referenzierbar sind. Wir liefern keine ISMS-Software; das Werkzeug bringt der Kunde mit.

Offene Punkte

Der vollständige Baustein-Bestand in OSCAL-Form wird über mehrere Releases hinweg ausgeliefert. Bis dahin existieren beide Welten parallel: alte PDF-Bausteine und neue OSCAL-Bausteine. Wer 2026 oder 2027 zertifiziert, sollte mit dem Prüfer die Versions-Frage explizit klären.

Häufige Fragen

Was ist OSCAL und warum nutzt das BSI ausgerechnet ein NIST-Format?

OSCAL (Open Security Controls Assessment Language) ist eine offene, vom US-Normungsinstitut NIST entwickelte Spezifikation, um Sicherheits-Anforderungen und ihre Bewertung in maschinenlesbarer Form (als JSON oder XML) auszutauschen. Das BSI nutzt es, weil es ein etabliertes, herstellerneutrales Format ist, das sich direkt in ISMS-Werkzeuge importieren lässt und formale Zuordnungen zu anderen Standards erlaubt. So muss niemand ein neues, rein deutsches Format einführen, und die Anbindung an internationale Normen wird einfacher.

Muss ich jetzt sofort von der alten Grundschutz-Version migrieren?

Nein, nicht überstürzt. Bis der vollständige Baustein-Bestand in OSCAL-Form vorliegt, existieren beide Welten parallel, und das alte Werk bleibt eine Zeit lang nutzbar. Sinnvoll ist aber, frühzeitig zu planen: Sobald Prüfer-Werkzeuge auf OSCAL umstellen, wird die parallele Pflege eines manuellen Modells teurer als die Migration. Wer 2026 oder 2027 zertifiziert, sollte mit dem Prüfer klären, welche Version maßgeblich ist.

Wird ein Grundschutz-Audit durch IT-Grundschutz++ einfacher oder schwerer?

Beides, je nach Blickwinkel. Die Anforderungen werden klarer, weil sie nicht mehr mit Begründungen und Beispielen in einem Fließtext verschmolzen sind, und mehrere Standards lassen sich über Mappings gemeinsam pflegen. Zugleich verschiebt sich die Last: Ein bloßer Baustein-Auszug genügt nicht mehr als Nachweis. Sie müssen ein eigenes, dokumentiertes Modell zeigen, wie Sie jede Anforderung konkret technisch umsetzen.

Brauche ich für IT-Grundschutz++ eine spezielle Software?

Eine OSCAL-fähige Unterstützung ist sehr hilfreich, aber nicht zwingend. Sie können OSCAL-Kataloge grundsätzlich auch manuell verarbeiten, verschenken damit jedoch den Hauptvorteil. Ein ISMS-Werkzeug, das OSCAL importieren kann, übernimmt die BSI-Kontrollen direkt und verknüpft sie mit Ihren eigenen Beschreibungen und Mappings. Klären Sie daher mit Ihrem ISMS-Anbieter, ob und ab wann er OSCAL unterstützt.

Verifikation

Verlinkt im Fließtext. Das BSI-Methoden-Kapitel ist über die IT-Grundschutz-Seite verlinkt.