IT-Grundschutz und IT-Grundschutz++
Erstellt am: 20. April 2026 | Zuletzt geändert: 11. Mai 2026 | Autor: Matthias (GitLab)
Ziel des Dokuments: Dieses Dokument beschreibt den BSI IT-Grundschutz als verbindliche Sicherheitsvorgabe für die Bundesverwaltung sowie dessen grundlegende Fortentwicklung IT-Grundschutz++. IT-Grundschutz++ definiert insbesondere die Anforderungsprofile für Zero-Trust-Architekturen und ermöglicht erstmals maschinenlesbare, automatisierbare Sicherheitsanforderungen.
IT-Grundschutz++ löst die bisherigen starren Absicherungsstufen durch dynamische Leistungszahlen ab und liefert damit das formale Anforderungsprofil für Zero-Trust-Architekturen. Die maschinenlesbaren Regeln im JSON-Format ermöglichen die direkte Integration in CI/CD-Pipelines und Cloud-Governance-Frameworks.
description Quelldokumentefeedback
| Eigenschaft | Wert |
|---|---|
| Herausgeber | Bundesamt für Sicherheit in der Informationstechnik (BSI) |
| Rahmenwerk | IT-Grundschutz-Kompendium (Edition 2023) |
| Standards | BSI 200-1, 200-2, 200-3, 200-4 |
| Kontakt | it-grundschutz@bsi.bund.de |
shield IT-Grundschutz – Übersichtfeedback
Der IT-Grundschutz ist die verbindliche nationale Umsetzungsnorm für Informationssicherheit in der Bundesverwaltung. Er verfolgt einen ganzheitlichen Ansatz, der neben technischen auch infrastrukturelle, organisatorische und personelle Aspekte betrachtet.
Klassische BSI IT-Grundschutz Standardsfeedback
| Standard | Titel | Inhalt |
|---|---|---|
| BSI 200-1 | Managementsysteme für Informationssicherheit (ISMS) | Allgemeine Anforderungen an ein ISMS, kompatibel zu ISO 27001 |
| BSI 200-2 | IT-Grundschutz-Methodik | Methodik zum Aufbau eines ISMS mit drei Vorgehensweisen |
| BSI 200-3 | Risikomanagement | Risikobezogene Arbeitsschritte bei der IT-Grundschutz-Umsetzung |
| BSI 200-4 | Business Continuity Management (BCM) | Praxisnahe Anleitung zum Aufbau eines BCMS |
Drei Vorgehensweisen (BSI 200-2)feedback
| Vorgehensweise | Beschreibung | Einsatzbereich |
|---|---|---|
| Basis-Absicherung | Grundlegende Sicherheitsmaßnahmen als Minimum | Einstieg, kleine Institutionen |
| Kern-Absicherung | Fokus auf besonders kritische Geschäftsprozesse („Kronjuwelen") | Priorisierte Absicherung |
| Standard-Absicherung | Umfassende Absicherung aller Prozesse bei normalem Schutzbedarf | ISO 27001-Zertifizierung |
IT-Grundschutz-Kompendiumfeedback
Das Kompendium enthält die IT-Grundschutz-Bausteine in zehn Schichten:
| Schicht | Kürzel | Thema |
|---|---|---|
| Sicherheitsmanagement | ISMS | Übergreifendes ISMS |
| Organisation & Personal | ORP | Organisatorische und personelle Maßnahmen |
| Konzepte | CON | Übergreifende Sicherheitskonzepte |
| Betrieb | OPS | Operativer IT-Betrieb |
| Detektion & Reaktion | DER | Sicherheitsvorfälle erkennen und behandeln |
| Anwendungen | APP | Anwendungssicherheit |
| IT-Systeme | SYS | Absicherung von IT-Systemen |
| Industrielle IT | IND | Operational Technology (OT) |
| Netze | NET | Netzwerksicherheit |
| Infrastruktur | INF | Physische und technische Infrastruktur |
Bezug zu ISO 27001feedback
- ISO 27001-Zertifizierung auf Basis von IT-Grundschutz ist möglich und anerkannt
- BSI-Standard 200-1 ist explizit kompatibel zu ISO 27001
- IT-Grundschutz geht über ISO 27001 hinaus durch konkrete, detaillierte Maßnahmenkataloge (statt generischer Controls)
Zero-Trust-Bezug (klassische Bausteine)feedback
Die klassischen IT-Grundschutz-Schichten lassen sich den Zero-Trust-Säulen wie folgt zuordnen:
| Zero-Trust-Säule | IT-Grundschutz-Bezug (klassisch) |
|---|---|
| Identitäten | ORP-Bausteine + APP-Authentifizierung |
| Geräte | SYS-Bausteine + BSI-Mindeststandard MDM |
| Netzwerk | NET-Bausteine + Mikrosegmentierungsregeln |
| Anwendungen | APP-Bausteine + SBOM-Anforderungen |
| Daten | CON-Bausteine + Verschlüsselungsregeln |
| Sichtbarkeit | DER-Bausteine + Protokollierungs-Mindeststandard |
| Automatisierung | OPS-Bausteine + Policy-as-Code-Regeln |
shield BSI IT-Grundschutz Mindeststandards (§ 44 BSIG)feedback
Die BSI-Mindeststandards definieren ein verbindliches Mindestniveau für die Informationssicherheit der Bundesverwaltung. Sie gelten für alle Bundesbehörden, öffentlich-rechtliche IT-Dienstleister des Bundes und weitere Körperschaften auf Bundesebene.
Relevante Mindeststandards:
| Mindeststandard | Relevanz |
|---|---|
| Cloud-Dienste | Direkte Geltung für den Betrieb |
| TLS-Protokoll | Verschlüsselung aller Daten in Transit |
| Webbrowser | Absicherung der Endnutzer-Clients |
| Mobile Device Management | Gerätecompliance |
| Protokollierung & Detektion | Protokollierung und Detektion von Cyberangriffen |
| Videokonferenzen | Absicherung von Kommunikationstools |
shield IT-Grundschutz++ - Die Fortentwicklungfeedback
IT-Grundschutz++ ist die grundlegende Modernisierung des IT-Grundschutzes durch das BSI. Die zentrale Neuerung: Sicherheitsanforderungen werden als maschinenlesbare Regeln formuliert und ermöglichen erstmals automatisierte Compliance-Prüfungen.
Kernneuerungenfeedback
1. Digitales Regelwerk in OSCAL-JSON-Formatfeedback
Das bisherige textbasierte Kompendium (PDF) wird durch ein maschineninterpretierbares Format abgelöst – im OSCAL-Standard (Open Security Controls Assessment Language, NIST, Version 1.1.3).
Quelle des JSON-Katalogs: Der offizielle Grundschutz++-Katalog wird vom BSI im GitHub-Repository BSI-Bund/Stand-der-Technik-Bibliothek publiziert:
- Direktlink:
Grundschutz++-catalog.json - Weitere Anwenderkataloge (z. B. KRITIS, Cloud) im selben Repository unter
Anwenderkataloge/
Den Katalog kann man ohne Installation im Browser durchsuchen: OSCAL Catalog Viewer öffnen, die URL https://raw.githubusercontent.com/BSI-Bund/Stand-der-Technik-Bibliothek/refs/heads/main/Anwenderkataloge/Grundschutz%2B%2B/Grundschutz%2B%2B-catalog.json ins URL-Feld einfügen und auf „Fetch" klicken.
Aufbau des Katalogs: Der Katalog enthält 647 Controls in 20 Praktiken (Top-Level-Gruppen). Die bisherigen 10 Schichten (APP, SYS, NET, …) werden durch handlungsorientierte Praktiken ersetzt:
| Praktik-ID | Titel | Controls |
|---|---|---|
| GC | Governance und Compliance | 14 |
| STM | Strukturmodellierung | 17 |
| UMS | Umsetzung | 11 |
| VRB | Verbesserung | 11 |
| PERF | Monitoring-Evaluation | 8 |
| RISK | Risikomanagement | 4 |
| ASST | Informationen und Assets | 44 |
| PERS | Personal | 19 |
| BES | Beschaffungsmanagement | 54 |
| DLS | Dienstleistersteuerung | 12 |
| TEST | Änderungen und Tests | 16 |
| GEB | Gebäudemanagement | 48 |
| SENS | Sensibilisierung | 73 |
| ARCH | Architektur | 30 |
| BER | Berechtigung | 67 |
| NOT | Notfallplanung | 26 |
| DET | Detektion | 41 |
| REA | Sicherheitsvorfallsbehandlung | 10 |
| KONF | Konfiguration | 113 |
| DEV | Entwicklung | 29 |
Jeder Control hat folgende Struktur (reales Beispiel GC.1.1 – „Errichtung und Aufrechterhaltung eines ISMS"):
{
"id": "GC.1.1",
"class": "BSI-Methodik-Grundschutz-plus-plus",
"title": "Errichtung und Aufrechterhaltung eines ISMS",
"props": [
{ "name": "sec_level", "value": "normal-SdT" },
{ "name": "effort_level", "value": "0" }
],
"parts": [
{
"id": "GC.1.1_stm",
"name": "statement",
"props": [
{ "name": "result", "value": "Verfahren und Regelungen zur Errichtung und Aufrechterhaltung eines ISMS" },
{ "name": "action_word", "value": "verankern" },
{ "name": "modal_verb", "value": "MUSS" }
],
"prose": "Governance und Compliance MUSS Verfahren und Regelungen zur Errichtung und Aufrechterhaltung eines ISMS nach BSI Grundschutz++ verankern."
},
{
"id": "GC.1.1_gdn",
"name": "guidance",
"prose": "Diese Anforderung ist der Ausgangs- und Endpunkt für ein ISMS..."
}
]
}
Zentrale Felder je Control:
| Feld | Bedeutung |
|---|---|
sec_level | Sicherheitsniveau: normal-SdT (normaler Schutzbedarf / Stand der Technik) oder erhöht |
effort_level | Umsetzungsaufwand: Skala 0–5 (0 = geringer Aufwand, 5 = sehr hoher Aufwand) |
modal_verb | Verbindlichkeit: MUSS, SOLL, KANN |
action_word | Erwartete Handlung (z. B. „verankern", „prüfen", „dokumentieren") |
result | Erwartetes Ergebnis der Anforderung |
guidance | Erläuternder Hilfetext zur Umsetzung |
2. Dynamische Leistungszahlen statt starrer Stufenfeedback
Die bisherigen Absicherungsstufen (Basis/Standard/Erhöhter Schutzbedarf) werden durch dynamische Schwellwerte und Leistungszahlen ersetzt. Dies ermöglicht eine flexible, kontextabhängige Bewertung – ein Paradigmenwechsel, der direkt auf Zero-Trust-Architekturen zugeschnitten ist.
3. Zero-Trust-Anforderungsprofilefeedback
IT-Grundschutz++ definiert explizite Anforderungsprofile für Zero Trust, indem die Regeln Metadaten zu den Zero-Trust-Säulen enthalten. Die Zuordnung erfolgt über die neuen Praktiken (statt der klassischen Schichten):
| Zero-Trust-Säule | IT-Grundschutz++-Praktiken |
|---|---|
| Identitäten | BER (Berechtigung) + PERS (Personal), dynamische Leistungszahlen |
| Geräte | KONF (Konfiguration) + ASST (Informationen und Assets) |
| Netzwerk | ARCH (Architektur) + KONF (Konfiguration), Mikrosegmentierung |
| Anwendungen | DEV (Entwicklung) + TEST (Änderungen und Tests), SBOM-Anforderungen |
| Daten | ASST (Informationen und Assets) + KONF (Konfiguration), Verschlüsselung |
| Sichtbarkeit | DET (Detektion) + REA (Sicherheitsvorfallsbehandlung) |
| Automatisierung | KONF (Konfiguration) + GC (Governance und Compliance), Policy-as-Code via OSCAL-JSON |
4. Automatisierung von Sicherheitsprozessenfeedback
ISMS-Systeme können Anforderungen automatisiert modellieren und überwachen. Die maschinenlesbaren Regeln ermöglichen:
- Automatisierte Compliance-Checks in CI/CD-Pipelines
- Dynamische Policy-Generierung für OPA/Gatekeeper/Kyverno
- Echtzeit-Monitoring des Sicherheitsstatus
- Automatisierte Checklisten aus WiBA (Weg in die Basis-Absicherung)
5. Verzahnung mit Mindeststandardsfeedback
BSI-Mindeststandards werden als Metadaten in den Regeln hinterlegt. Verbindliche Anforderungen für Bundeseinrichtungen sind direkt an die jeweiligen Grundschutz-Regeln gekoppelt.
6. Priorisierung und Gewichtungfeedback
Das BSI liefert qualifizierte Empfehlungen zur Reihenfolge der Anforderungsumsetzung. Dies unterstützt insbesondere die iterative Einführung von Zero Trust.
Übergangsphasefeedback
Der aktuelle IT-Grundschutz wird parallel gepflegt und bleibt mehrjährig anwendbar. Bestehende Zertifizierungen behalten ihre Gültigkeit. Die Migration auf IT-Grundschutz++ erfolgt schrittweise.
hub Relevanz für Cloud-native Architekturenfeedback
Das OSCAL-JSON-Format von IT-Grundschutz++ ermöglicht Policy-as-Code-Ansätze: Aus dem Katalog lassen sich automatisiert OPA- oder Kyverno-Policies für Kubernetes-Cluster, CI/CD-Pipelines und Cloud-Governance ableiten.
Die dynamischen Leistungszahlen passen besser zu elastischen Cloud-Infrastrukturen als die bisherigen starren Absicherungsstufen. Der Mindeststandard zur Nutzung externer Cloud-Dienste ist direkt auf den Betrieb in der Deutschen Verwaltungscloud anwendbar und wird in IT-Grundschutz++ als Metadaten in die Cloud-relevanten Praktiken integriert.
info Einordnung im D-Stack-Kontextfeedback
Das folgende Diagramm zeigt, wie IT-Grundschutz++ als zentrale Vorgabenquelle in den D-Stack einfließt:
- Obere Ebene (Vorgaben): IT-Grundschutz++ definiert die Anforderungsprofile, die direkt in die Zero-Trust-Eckpunkte des Bundes münden. Gleichzeitig enthält Grundschutz++ die BSI-Mindeststandards als Metadaten und bleibt kompatibel zur ISO 27001.
- Untere Ebene (Umsetzung): Die Zero-Trust-Eckpunkte werden in eine konkrete technische Architektur (Zero-Trust-Referenzarchitektur) übersetzt, die auf dem D-Stack / der DVC betrieben wird. Parallel generiert das maschinenlesbare Grundschutz++-JSON über Policy-as-Code automatisiert Regeln für OPA/Kyverno, die ebenfalls im D-Stack/DVC durchgesetzt werden.
- Zusammenfluss: Beide Pfade – architektonische Vorgabe und automatisierte Policy – konvergieren im D-Stack/DVC als Zielsystem.
compare_arrows Zusammenspiel: IT-Grundschutz++ und ZT-Eckpunktepapierfeedback
IT-Grundschutz++ und das BSI-Zero-Trust-Eckpunktepapier adressieren dasselbe Ziel aus unterschiedlichen Perspektiven:
| Regelwerk | Adressat | Granularität | Stand |
|---|---|---|---|
| IT-Grundschutz++ | Organisation mit Informationsverbund | 647 Controls in 20 Praktiken (vormals 111 Bausteine in 10 Schichten), bis zu 80 % weniger Anforderungstext | Edition 1.1.2026 (Übergang bis 2029) |
| ZT-Eckpunktepapier | Architektur-Verantwortliche | 5 Eckpunkte + 6 NATO-Prinzipien, kein Bauteil-Katalog | Version 1.0 (August 2025, BMDS/DSI1) |
Die fünf Eckpunkte (Assume Breach, kein implizites Vertrauen, Least Privilege, kontinuierliche Überwachung, Schulung/Kulturwandel) und die sechs NATO-Prinzipien sind im Detail auf der Seite Zero-Trust-Eckpunkte Bund beschrieben.
Verzahnung der Regelwerkefeedback
Die beiden Perspektiven ergänzen sich:
- Grundschutz++ schaut auf die Organisation (Personal, Räume, Lieferanten, Notfallmanagement) und liefert den detaillierten Maßnahmenkatalog im OSCAL-JSON-Format.
- ZT-Eckpunktepapier schaut auf die Architektur-Haltung und definiert die Leitprinzipien, die in Grundschutz++ über ZT-Metadaten eingewoben werden.
- Policy-Engines können über das Mapping auf die Zero-Trust-Säulen automatisiert prüfen, welche ZT-Prinzipien durch welche Praktiken abgedeckt sind.
arrow_forward Weiterführende Dokumentefeedback
- Zero-Trust-Eckpunkte Bund – Regulatorische ZT-Vorgaben des BSI
- Zero-Trust-Referenzarchitektur – Technische Umsetzung im D-Stack
- Sicherheit und Compliance – Übergeordnete Sicherheitsvorgaben
- Digitale Souveränität – Souveränitätsanforderungen
- BSI IT-Grundschutz (extern) – Offizielle BSI-Seite
- BSI-Standards 200-x (extern) – Standards-Download