Home/Insights/Grundschutz++: Der neue Maßstab für Informationssicherheit ist da
Veröffentlicht am 29. Mai 2026
Lesedauer ca. 4 Minuten
Advisory & IT

Grundschutz++: Der neue Maßstab für Informationssicherheit ist da

  • Leitfaden als zentraler Meilenstein für den künftigen „Stand der Technik“
  • Wie Unternehmen auf den Leitfaden reagieren sollten
  • Ausblick auf die zukünftige Entwicklung des Leitfadens
Daniel Adamek
T +49 221 949909 277
Anfrage senden
Felix Friebis
T +49 911 9193 1742
Anfrage senden
Mit dem neuen Leitfaden zur Methodik Grundschutz++ hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im April 2026 einen zentralen Meilenstein für den künftigen „Stand der Technik“ veröffentlicht. Damit reagiert das BSI auf die sich stetig wandelnde Informationssicherheitslandschaft. Der Leitfaden beschreibt, wie Informationssicherheit asset- und prozessorientiert, geschäftsnah und digital unterstützt umgesetzt werden soll und welche Handlungsfelder Unternehmen haben.

Ein Paradigmenwechsel in der Informationssicherheit

Grundschutz++ ist keine einfache Fortschreibung des bekannten IT‑Grundschutz‑Kompendiums. Stattdessen verfolgt das BSI einen grundlegend neuen Ansatz: Methodik, Anforderungen und Maßnahmen werden konsequent voneinander getrennt.

Eine der wichtigsten Neuerungen von Grundschutz++ ist der konsequente Wechsel von einem bausteinorientierten hin zu einem asset‑ und prozessorientierten Modell. Anforderungen werden nicht mehr pauschal auf Systeme angewendet, sondern gezielt dort, wo sie für den Geschäftsbetrieb relevant sind. Ausgangspunkt sind die kritischen Geschäftsprozesse und die Informationen, die in ihnen verarbeitet werden. Daraus ergibt sich, welche Assets besonders schutzbedürftig sind und welches Sicherheitsniveau erforderlich ist. Die Informationssicherheit wird hierbei ausdrücklich als dauerhafte Managementaufgabe verstanden und nicht als einmaliges Projekt.

Sicherheitsanforderungen liegen zudem nicht mehr primär als statische Textdokumente vor, sondern in einem maschinenlesbaren Format (OSCAL/JSON), das Automatisierung und Tool‑Unterstützung ermöglicht. Damit reagiert das BSI auf eine zunehmend dynamische IT‑Landschaft, steigende regulatorische Anforderungen (u. a. NIS2) und den wachsenden Bedarf an kontinuierlicher Nachweisführung.

Wesentliche Kernaspekte des neuen Leitfadens

  1. Erhebung und Planung – Governance, Compliance, Management‑Commitment:
    In dieser Phase sollten die organisatorischen Rahmenbedingungen, inklusive Sicherheitsziele, Verantwortlichkeiten und Compliance Anforderungen, definiert werden. Die Unterstützung durch das Management muss hierbei sichergestellt sein, um den Sicherheitsprozess in allen Bereichen verbindlich zu implementieren und zu steuern.
  2. Anforderungsanalyse – Asset‑ und Strukturmodellierung:
    In dieser Phase sollten die relevanten Assets identifiziert und bewertet sowie in einem strukturierten Modell abgebildet werden. Auf Basis dieser Modellierung lassen sich dann konkrete Sicherheitsanforderungen und -maßnahmen ableiten.
  3. Realisierung – Umsetzung, Priorisierung und Nachverfolgung:
    In dieser Phase sollten die ermittelten Sicherheitsmaßnahmen umgesetzt, priorisiert und systematisch überwacht werden. Fortschritte und Abweichungen sind zu dokumentieren, um die Zielerreichung sicherzustellen.
  4. Überwachung – Monitoring, Audits und Managementbewertung:
    In dieser Phase sollten die Sicherheitsmaßnahmen und Systeme kontinuierlich überwacht und auditiert werden. Die Ergebnisse fließen in regelmäßige Managementbewertungen ein, mit deren Hilfe die Wirksamkeit des Sicherheitsprozesses geprüft wird.
  5. Kontinuierliche Verbesserung – systematische Weiterentwicklung:
    In dieser Phase sollten die Erkenntnisse aus Monitoring und Audits dafür genutzt werden, um den ganzheitlichen Sicherheitsprozess stetig zu optimieren. Ziel ist eine nachhaltige Verbesserung der Informationssicherheit durch regelmäßige Anpassungen und das erneute Durchlaufen des PDCA-Zyklus.

Diese Struktur ist ISO‑27001‑kompatibel, geht aber in ihrer Detailtiefe und Prozessorientierung bewusst darüber hinaus.

Eine der zentralen Neuerungen im Leitfaden zur Methodik Grundschutz++ ist die Asset‑basierte Modellierung. Hiernach werden Anforderungen gezielt auf Geschäftsprozesse, Informationen und technische wie organisatorische Assets angewendet. Zielobjektkategorien sorgen dafür, dass Anforderungen sinnvoll vererbt, konsolidiert und priorisiert werden können.

Wie Unternehmen jetzt vorgehen sollten

Auch, wenn sich der Grundschutz++ noch in der Einführungs‑ und Pilotphase befindet, empfiehlt sich unternehmensseitig bereits ein frühzeitiges Handeln: Der Leitfaden macht deutlich, dass einige Voraussetzungen unabhängig von einer späteren Migration sinnvoll sind.

Konkret bedeutet das:

  1. Managementverantwortung sichern:
    Informationssicherheit muss sichtbar auf Management- und Geschäftsführungsebene verankert sein, inklusive Festlegung klarer Verantwortlichkeiten, Entscheidungswege und Rollen, wie beispielsweise eines unabhängigen ISB.
  2. Geschäftsprozesse priorisieren:
    Unternehmen sollten sich frühzeitig mit der Frage beschäftigen, welche Geschäftsprozesse kritisch sind, welche Informationen dort verarbeitet werden und welche Abhängigkeiten bestehen. Diese sollten identifiziert und priorisiert werden.
  3. Aufbau oder die Konsolidierung eines strukturierten Asset Inventars:
    Unternehmen sollten sich mit ihren kritischen Assets auseinandersetzen und ein konsolidiertes Asset‑Register aufbauen, sowie eindeutige Verantwortlichkeiten festlegen. Eine strukturierte Datenbasis spielt eine zentrale Rolle bei der Umsetzung einer erfolgreichen Informationssicherheit.
  4. Kritische Prüfung der eingesetzten ISMS-Werkzeuge:
    Unternehmen sollten ihre bestehenden ISMS- und GRC-Werkzeuge kritisch betrachten und bewerten. Da der Grundschutz++ konsequent „digital gedacht“ wird, stoßen Unternehmen, die heute noch stark mit manuellen Listen und Excel basierten Lösungen arbeiten, mittelfristig an Grenzen.

Ausblick: Wie das BSI den Grundschutz++ weiterentwickeln will

Das BSI plant, den Grundschutz++ in den kommenden Jahren schrittweise auszubauen. Zentrale Elemente sind die Weiterentwicklung der „Stand‑der‑Technik‑Bibliothek“, zusätzliche thematische Layer (bspw. zu Technik, Audits und Risikobetrachtung), sowie die enge Einbindung von Pilotprojekten und der Fachcommunity. Bis 2028 soll so ein belastbarer, praxisgerechter und zertifizierbarer Rahmen entstehen.

Fazit

Der bisherige IT‑Grundschutz bleibt bis Ende 2028 bestehen und gültig. Das BSI hat eine Übergangsphase für Zertifizierungen nach dem neuen Grundschutz++ bis 2029 festgelegt. Somit ist der Leitfaden zur Methodik Grundschutz++ explizit für Pilot‑ und Erprobungsprojekte gedacht, nicht für eine sofortige Migration bestehender Zertifizierungen.

Von daher gilt: Unternehmen sollten sich zwar frühzeitig mit den Handlungsfeldern des Grundschutz++ befassen, aber nicht unbedacht handeln.

Der große Vorteil des neuen Grundschutz++ ist: Weniger Redundanzen, höhere Transparenz und ein Sicherheitsniveau, das sich direkt an der Kritikalität der Geschäftsprozesse orientiert, nicht an pauschalen IT‑Klassifizierungen. Dieser durchgängige Prozess verbindet strategische Steuerung mit operativer Umsetzung und macht Informationssicherheit messbar und steuerbar.

Sollten Sie Unterstützung bei der Implementierung eines ISMS oder den Handlungsfeldern des Grundschutz++ benötigen, stehen wir Ihnen gerne zur Verfügung.

Aus dem Newsletter
„Gesundheits- und Sozialwirtschaft“ Hier Newsletter
abonnieren

Ähnliche Beiträge

Alle Beiträge zu diesem Thema
29.05.2026

OLG Hamm, 12.5.2026, I 4 UKl 3/25: Wettbewerbsverstoß durch KI-Chatbot

Das in kürzester Zeit viel beachtete Verfahren betrifft die Frage, wem Falschangaben eines KI-Chatbots zuzurechnen sind. Auf der Webseite der...
Rechtsberatung
29.05.2026

BFH zur Gemeinnützigkeit: Neugründungen gemeinnütziger Körperschaften brauchen präzise Satzungen

Der BFH stellt klar: Bei der erstmaligen Anerkennung der Gemeinnützigkeit reicht eine pauschale Satzung nicht aus. Gerade neu gegründete gGmbHs,...
Rechtsberatung
29.05.2026

Medizinalcannabis: Grenzen für Werbung und Versand

Medizinalcannabis bleibt ein sensibles Thema für Werbung, Verordnung und Abgabe. Der BGH stellt klar: Wer Patientinnen und Patienten online über...
Rechtsberatung
29.05.2026

Hochschulkliniken und Krankenhausplanung – was gilt?

Das BVerwG hat mit Urteil vom 4.12.2025 geklärt, dass es mit dem Grundrecht der Wissenschaftsfreiheit nach Art. 5 Abs. 3...
Rechtsberatung