Objektorientiert und weniger redundant: Das BSI stellt den IT-Grundschutz++ vor
Das BSI hat sich das Ziel gesetzt, den IT-Grundschutz anwenderfreundlicher zu machen. Dafür setzt man auf Maschinenlesbarkeit und eine schlankere Dokumentation.
Beim Event "30 Jahre IT-Grundschutz: Gestern, heute, morgen" auf der it-sa 2024 erklärte Sandro Amendola, was die überarbeitete Version des IT-Grundschutzes ausmacht: mehr Anwenderfreundlichkeit, eine maschinenlesbare Syntax, ein Punktesystem für die Fortschrittsmessung und das Ziel, den Aufwand beim Umsetzen erheblich zu reduzieren.
(Bild: NuernbergMesse / Frank Boxler)
Auf der IT-Sicherheitsmesse it-sa hat das BSI erstmals die Neuauflage des IT-Grundschutzes vorgestellt: BSI-Präsidentin Claudia Plattner kündigte die Revision in der Pressekonferenz zur Messe an und bei einer Extraveranstaltung im Rahmen der Messe stellten die Mitarbeiter des IT-Grundschutz-Teams die Details des IT-Grundschutz++ vor. Die Kompendien des IT-Grundschutzes bietet Behörden und Unternehmen einen Leitfaden für den Aufbau eines Informationssicherheits-Managementsystems (ISMS), womit Unternehmen und Behörden ihre Sicherheitsbemühungen strukturiert angehen. Ein auditiertes ISMS ist dabei eine Grundlage für Sicherheitszertifizierungen wie die ISO 27001. Stichtag für die Neuauflage ist der 1. Januar 2026.
Ziel des BSI ist es, den Grundschutz anwenderfreundlicher zu machen und insbesondere bei der Dokumentation Aufwand und Redundanz zu verringern. Dafür setzt das BSI beim IT-Grundschutz++ auf eine maschinenlesbare Syntax der Bausteine des Grundschutzes als JSON-Objekte, die man dann zum Beispiel auch über Git einfacher verbreiten oder aktualisieren kann. Für eine Messbarkeit der Umsetzung des Grundschutzes arbeitet der IT-Grundschutz++ mit Punktzahlen in den Kategorien Vertraulichkeit, Integrität und Verfügbarkeit für die Bausteine, die in Zukunft Praktiken heißen. Wichtig sind hierbei die Priorität und die Wertigkeit der Maßnahmen. Die Praktiken selbst fallen in fünf Stufen, die sich in "Kann jeder machen" bis "Erhöhter Schutzbedarf" unterteilen. IT-Sicherheit auf dem "Stand der Technik" ist dabei die vierte Stufe. Auf jeder dieser Stufen können Behörden und Unternehmen dann ihren Fortschritt messen, für die Zertifizierung will das BSI noch Schwellenwerte erarbeiten.
Vorbild: Weg in die Basissicherung (WiBA)
Beim aktuellen Grundschutzkompendium arbeitet das BSI derzeit noch an Erweiterungen für KI- und Cloudanwendungen. Diese sollen ebenfalls bis 2026 in den Leitfaden des BSI einfließen. Behörden und Unternehmen, die den Grundschutz aktuell umsetzen, können den dann alten Grundschutz jedoch erst einmal parallel zur neuen Version weiterverfolgen: Das BSI verspricht hier eine mehrjährige Übergangsfrist.
Vorbild für das vereinfachte Umsetzen des IT-Grundschutz++ ist das Projekt Weg in die Basissicherung (WiBA), das seit 2023 Kommunen helfen soll, die nicht durch die Anforderungen des IT-Grundschutzes durchsteigen. Der WiBA soll sukzessiv zum Grundschutz führen und reduziert die aktuell 111 Bausteine auf 67 Bausteine in 19 Checklisten, die eine Aufwandsschätzung für Quick-Wins enthält – der Anspruch ist "Wenig Aufwand, viel Effekt". Dafür bietet der WiBA eine Erklärung der Vorgehensweise, eine empfohlene Reihenfolge, ein Management Summary, das der Institutsleitung die Konzepte und die Relevanz erläutert, und Excel-Listen sowie ein Tool, damit man nicht ausschließlich mit Word-Listen arbeiten muss. Auch eine Lightvariante für Feuerwehren existiert mittlerweile.
Maschinenlesbarkeit und verschlankte Doku
Ähnlich wie die Mappingtabelle und das Excel-Tool zum WiBA ist der IT-Grundschutz++ strukturiert, nur dass alle Praktiken (ehemals Bausteine) nun nicht mehr als Fließtext beschrieben sind, sondern aus einem kurzen Satz mit Handlungsworten, dessen Komponenten sich alle als JSON-Objekte zusammenfügen lassen. Basis hiervon ist beim BSI das Requirements-Engineering. Die Praktiken lassen sich damit strukturiert als Excel-Tabelle abbilden, aber auch per Git teilen und überarbeiten – das BSI will hierfür ein GitHub-Repository anbieten. Es soll dann auch Toolherstellern helfen, die Apps zum Nachverfolgen oder Umsetzen des IT-Grundschutzes anbieten. Die Kreuzreferenztabellen des aktuellen Grundschutzes sind mit dieser neuen Variante dann allerdings wohl nicht kompatibel.
(Bild: BSI)
Das BSI ist sich bewusst, dass der aktuelle Dokumentationsaufwand des IT-Grundschutzes kompliziert, verschachtelt und in einigen Teilen redundant ist. Daher soll der Grundschutz++ die Informationen zur Dokumentation direkt in den Praktiken enthalten. Die thematische Gliederung der Dokumentationsaufwände orientiert sich an einer Dokumentenpyramide, die das BSI als Hilfsmittel bereitstellt. Eine Excelübersicht für den zu erwartenden Umfang der Dokumentation des aktuellen IT-Grundschutzes legt das BSI derzeit als Community Draft vor.
(Bild: BSI)
Feedback erwünscht!
Das Konzept des IT-Grundschutz++ ist noch nicht fixiert. Nach der ersten Vorstellung auf der it-sa will das BSI nun mit Partnern und der Sicherheitscommunity ins Gespräch gehen, am Punktesystem und den Schwellenwerten arbeiten und sich generell noch Feedback für eine praxistaugliche Umsetzung einholen. Das Publikum der Informationsveranstaltung bei der it-sa zeigte sich direkt diskussionsfreudig – grundsätzlich schien die Neuausrichtung des IT-Grundschutzes jedoch auf Wohlwollen der Zuhörer aus Behörden, Versicherungen und der Wirtschaft zu treffen. Offizieller Startschuss für den IT-Grundschutz++ ist der 1. Januar 2026 – an diesem Datum ist das BSI nach dem kommenden NIS2UmsuCG verpflichtet, den Grundschutz offiziell zu überarbeiten. Der IT-Grundschutz++ wird damit die Grundlage für die IT-Sicherheit der Bundesverwaltung bilden.
Weitere Informationen zum IT-Grundschutz++ finden sich in der Pressemitteilung und auf der Webseite des BSI.
(pst)
