Mit der Einführung von Grundschutz++ arbeitet das BSI an der größten Modernisierung des IT‑Grundschutzes seit dessen Bestehen. Das Ziel ist ambitioniert: Ein Standard, den wirklich alle Organisationen erfolgreich anwenden können – von Bundesbehörden über KRITIS‑Unternehmen bis hin zu Kommunen und privatwirtschaftlichen Organisationen.

Für HiScout ist dieser Prozess nicht nur ein Thema von außen. Als aktiver Teil einer Arbeitsgruppe begleiten wir die Entwicklung eng und geben Feedback, das unmittelbar aus der Praxis stammt. Damit sind wir in der Lage, die kommenden Anforderungen methodisch zu verstehen und in solide Softwarekonzepte zu übersetzen.

Warum ein Grundschutz++ notwendig
geworden ist

Viele Organisationen, insbesondere Kommunen, stehen seit Jahren an derselben Stelle: Sie wissen, dass Informationssicherheit zentral ist, schaffen jedoch die Umsetzung nicht. Fakt ist: nur rund ein Drittel der Kommunen verfügt über ein vollständiges Sicherheitskonzept. Grundschutz++ soll diese Lücke schließen.

Mit Grundschutz++ entsteht ein Standard, der nicht nur präziser und moderner sein soll, sondern vor allem eines leisten muss: endlich auch Organisationen erreichen, die bislang an den Hürden von Zeit, Budget oder Komplexität gescheitert sind. Nicht zu vergessen die wachsenden regulatorischen Anforderungen wie das NIS2UmsuG.

Das Ziel ist ein Ansatz, der sich an jede Organisationsgröße anpasst: niedrigschwellig für den Einstieg, skalierbar für komplexe Institutionen und gleichzeitig deutlich weniger bürokratisch. Ein Standard, der für die Bundesverwaltung ebenso funktioniert wie für KRITIS-Organisationen und für Unternehmen jeder Größe – ohne Abstriche bei Qualität oder Tiefe.

Ein Standard im Wandel:
vom PDF zum Datenmodell

Eine der radikalsten Veränderungen liegt nicht im Inhalt, sondern im Medium. Wo bisher ein textgetriebenes PDF‑Kompendium bestand, arbeitet Grundschutz++ künftig mit einem strukturierten, maschinenlesbaren Format (OSCAL). Das hat weitreichende Folgen:

  • Wo bislang viel Interpretationsspielraum blieb, soll nun mehr Präzision entstehen: Die Anforderungen sind atomar, klar abgegrenzt und dank eindeutiger IDs dauerhaft eindeutig identifizierbar. Redundanzen werden aufgehoben durch eindeutige Zuordnungen, eine klare Struktur und die Einführung von Vererbung. Verschiedene Modalverben für das gleiche Ziel gehören der Vergangenheit an.
  • Automatisierung wird möglich: Anforderungen werden nicht länger „übertragen“, sondern verarbeitet. Tools können sie lesen, verknüpfen und kontextbezogen auswerten.
  • Versionen werden über Git gesteuert: eine weitere Reduzierung des Pflegeaufwandes gegenüber der bisherigen statischen Versionierung.
  • Moderne Bedrohungsszenarien können adressiert werden.

Damit entsteht ein Standard, der sich schneller aktualisieren lässt und gleichzeitig präziser wird. Es geht weniger um große Veröffentlichungszyklen und mehr um kontinuierliche Weiterentwicklung. Aus dem früheren „Buch“ wird ein lebendiges Regelwerk.

Vergleich Grundschutz und Grundschutz++
Vergleich von IT-Grundschutz und Grundschutz++

Von Bausteinen zu Praktiken und
von Profilen zu Blaupausen

Inhaltlich verabschiedet sich Grundschutz++ von den bisherigen Bausteinen. An ihre Stelle treten 19 Praktiken, welche in drei Praktik-Kategorien unterteilt werden:

  • ISMS
  • Organisatorisch
  • Technisch

Jede Praktik orientiert sich an Prozessen und adressiert nicht nur technische Komponenten, sondern Rollen, Abläufe und Verantwortlichkeiten einer Organisation. Der Blick wechselt also von Systemen hin zu Prozessen und orientiert die Anforderungen näher an der Realität.

Blaupausen werden die bisherigen Grundschutzprofile ablösen. Sie sollen festlegen, wie Anforderungen in konkreten Szenarien angewendet werden, etwa in bestimmten Branchen, Geschäftsprozessen oder regulatorischen Umfeldern. Besonders wichtig: Blaupausen können künftig nicht nur vom BSI kommen, sondern auch von Organisationen selbst erstellt werden. Das eröffnet Raum für Anpassbarkeit und sorgt dafür, dass der Standard näher an der Praxis bleibt.


Vergleich Grundschutzprofile und Blaupausen

Ein klarer Prozess – moderner am PDCA ausgerichtet

Auch methodisch wird der Grundschutz weiterentwickelt. Das neue Prozessmodell setzt stärker auf Orientierung, Priorisierung und kontinuierliche Verbesserung. In der Erhebungs‑ und Planungsphase entsteht zunächst das Fundament der Informationssicherheit: Strategie, Governance, Rollen, Scope und Risikokriterien. Der organisatorische und strategische Rahmen ist gesetzt, und die Institution kennt die kritischen Werte. Risiken werden aktiv verwaltet und die notwendigen Strukturen für eine operative Umsetzung von Anforderungen sind vorhanden.

Darauf folgt die Anforderungsanalyse, die bewusst pragmatischer gestaltet ist. Kritische Prozesse werden identifiziert, Assets werden erfasst, zerlegt und analysiert (einfache Strukturanalyse) gefolgt von der Modellierung, also dem Mapping der Assets auf Zielobjektkategorien innerhalb relevanter Praktiken. Am Ende entsteht ein individuelles Anforderungspaket, das die Grundlage der Umsetzung bildet.

Die Realisierung legt den Fokus auf Transparenz: Soll‑Ist‑Abgleich, Priorisierung und Maßnahmenplanung anhand von Risiko, Aufwand und Ressourcenlage, sowie der Festlegung von Zuständigkeiten und Fristen. Ein wichtiges Augenmerk liegt auf der Steuerung: Freigabeprozesse und Dokumentation sind essenziell für eine kontinuierliche Fortschrittsverfolgung. Monitoring, Audits und KPI‑basierte Betrachtungen schließen den Kreis, bevor Korrekturen und kontinuierliche Verbesserungen den Zyklus wieder öffnen.

Es geht also darum, ein Managementsystem etablieren und nicht darum, einen Katalog abzuarbeiten.

Was bedeutet das für HiScout?

Auch wenn Grundschutz++ noch in Arbeit ist, bereitet sich HiScout intensiv auf die kommenden Änderungen vor. Wir stehen in engem Austausch mit unserer Muttergesellschaft, der HiSolutions AG, welche ebenfalls an Arbeitsgruppen beteiligt ist. Dadurch können Erkenntnisse frühzeitig in die Produktentwicklung einfließen.

Es geht vor allem darum, die kommenden Strukturen methodisch vorzudenken:

  • Wie lassen sich atomare Anforderungen sinnvoll modellieren?
  • Wie funktionieren Praktiken und Zielobjektkategorien im Toolkontext?
  • Wie können Blaupausen flexibel, aber konsistent abgebildet werden?
  • Und wie wird der neue PDCA‑Prozess in Workflows übersetzt, die bei der täglichen Arbeit wirklich helfen?

Das Ziel ist klar: Sobald das BSI einen stabilen Stand veröffentlicht, soll HiScout ein Werkzeug bieten, das Organisationen sicher durch den neuen Prozess führt. Eine fertige Umsetzung in HiScout ist jedoch erst möglich, wenn das BSI selbst einen finalen und stabilen Stand veröffentlicht.

Ausblick

Der geplante Zeitplan des BSI sieht vor, dass Grundschutz++ im Laufe des Jahres 2026 zunächst in einer Version 1.0 erscheint und Pilotprojekte starten, bevor ab 2027 Zertifizierungen möglich werden. Bis dahin bleibt vieles in Bewegung, aber die Richtung ist deutlich: Der neue Grundschutz wird modularer, moderner und praxistauglicher.

HiScout begleitet diesen Weg Schritt für Schritt. Unser Ziel ist es, Organisationen den Übergang so leicht wie möglich zu machen – mit einer Software, die das neue Vorgehen nicht nur unterstützt, sondern seine Stärken sichtbar und nutzbar macht.

 

Wichtig: Grundschutz++ befindet sich derzeit in der Entwicklung. Weder das BSI noch HiScout haben einen finalen Stand veröffentlicht. Alle hier beschriebenen Inhalte basieren auf dem aktuellen Informationsstand der Arbeitsgruppen.

Der fachliche Input zu diesem Beitrag basiert auf dem Wissensfrühstück „Know-how to go“ von HiSolutions zum Thema Grundschutz++. Die dort vorgestellten Inhalte aus den BSI‑Arbeitsgruppen, insbesondere Risikoanalyse und Blaupausen, waren Grundlage für die Einordnung und Analyse in diesem Blog. Am 20. März 2026 bietet die HiSolutions AG eine Remote-Veranstaltung zum Grundschutz++ an: Anmeldelink.

Informationen zum Modul HiScout Grundschutz finden Sie hier: HiScout Grundschutz

Verwandte Artikel

  • NIS2 Symbolbild
    Blog

    NIS2 2026: Von Pflicht-Compliance zu gelebter Cyber-Resilienz

    NIS2 ist kein Zukunftsthema mehr, sondern operative Realität. Worauf es jetzt ankommt, welche typischen Stolpersteine vermieden werden und wie Unternehmen NIS2 als Chance für nachhaltige Cyber-Resilienz nutzen können.

    Blog ansehen
  • Auditreport mit HiScout
    ©
    Tashatuvango – stock.adobe.com
    Blog

    Auditmanagement neu gedacht:
    Effiziente, transparente und wirksame Prüfprozesse

    Mit digitalem Auditmanagement lassen sich Prüfprozesse effizienter gestalten, Risiken gezielter steuern und die Organisation nachhaltig stärken. Auditmanagement als wichtiger Bestandteil moderner Unternehmenssteuerung statt lästiger Pflicht

    Blog ansehen
  • Grundschutz++
    Blog

    Grundschutz++:
    Die Zukunft des BSI IT-Grundschutz für mehr Effizienz im ISMS

    Grundschutz++ modernisiert den BSI IT-Grundschutz. Erfahren Sie, wie Automatisierung, 5-Stufen-System und ISO-Verknüpfung mehr Effizienz ins ISMS bringen – mit HiScout.

    Blog ansehen
    • Auf der HiScout Webseite werden keine zustimmungspflichtigen Cookies verwendet. Wenn Sie auf der Seite weitersurfen, stimmen Sie der Nutzung sonstiger Cookies zu. Die Auswertung der Webseitenbesuche erfolgt anonymisiert und datenschutzkonform mit dem Webanalysetool Matomo. Weitere Informationen finden Sie in unserer Datenschutzerklärung.