Das BSI hat am 4. Juni 2025 in Berlin einen BSI im Dialog zum Thema „Fortentwicklung des IT-Grundschutz++: Methodik und Kennzahlen im Fokus“ veranstaltet.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 4. Juni 2025 in Berlin einen BSI im Dialog zum Thema „Fortentwicklung des IT-Grundschutz++: Methodik und Kennzahlen im Fokus“ veranstaltet. Der IT-Grundschutz muss mit den Herausforderungen durch neue Technologien Schritt halten, wie zum Beispiel Künstlicher Intelligenz (KI) und einem immer stärkeren Einsatz von Cloud-Lösungen. Außerdem ist es ein Anliegen des BSI, die Anforderungen der Anwendenden einzubeziehen. Hierzu zählen, dass sich der IT-Grundschutz flexibler umsetzen lässt und gleichzeitig das etablierte Mindestsicherheitsniveau aufrecht erhalten bleibt. Flexibler in der Umsetzung bedeutet in diesem Kontext, dass der IT-Grundschutz die heterogenen Einsatzumgebungen stärker berücksichtigt und die zu erfüllenden Anforderungen weniger starr sind. Aus diesen Gründen werden das Produkt und die BSI-Standards weiterentwickelt.
Die Modernisierung ist ein fortlaufender Prozess, den das BSI kontinuierlich vorantreibt. In den vergangenen Monaten wurden bereits auf verschiedenen Veranstaltungen zusammen mit der Fach-Community Ansätze für den neuen IT-Grundschutz++ erarbeitet, diskutiert und präsentiert. Hierbei wurden jedoch einige Aspekte hinsichtlich der IT-Grundschutz-Methodik bisher zurückgestellt. Daher hat das BSI vier wesentliche Neuerungen im Kontext der IT-Grundschutz Methodik präsentiert und mit den Teilnehmerinnen und Teilnehmern im Rahmen von vier Gruppen intensiv diskutiert:
Zukünftig soll jede Anforderung des IT-Grundschutz über drei Kennzahlen verfügen. Die Kennzahl gibt an, wie stark das mit der Anforderung verbundene Risiko in den Kategorien Verfügbarkeit, Integrität und Vertraulichkeit herabgesenkt wird. Dies ermöglicht zukünftig das Umsetzungsniveau verschiedener Managementsysteme für Informationssicherheit (ISMS) besser zu vergleichen. Außerdem wird hierdurch eine feinere Steuerung durch die Leitungsebene und eine größere Flexibilität in der Umsetzung möglich. Die Strukturanalyse beinhaltet die systematische Erfassung der eigenen Infrastruktur im Rahmen des ISMS. Sie soll stärker an moderne IT-Infrastrukturen angepasst und insbesondere Cloud-Lösungen besser abgebildet werden. Die Risiko-Analyse umfasst die Identifikation und Bewertung eigener Risiken im Kontext der Informationssicherheit. Sie wird auf einen prozessorientierten Ansatz umgestellt. Dies rückt die wesentlichen Informationen in den Fokus und verhindert eine zu starke Einzelfallbetrachtung einzelner Zielobjekte.
Ebenso wurde ein Ansatz diskutiert, die Anforderungen des IT-Grundschutz++ Kompendiums mit der ISO 27001 umzusetzen, um die Möglichkeit einer alternativen oder parallelen Methodik mit Fokus auf die Bedürfnisse der Wirtschaft auszuloten.