BSI-Update: Grundschutz++ wird 2028 Pflicht – Warum du jetzt schon handeln solltest
1007744
wp-singular,post-template-default,single,single-post,postid-1007744,single-format-standard,wp-theme-bridge,wp-child-theme-bridge-child,bridge-core-3.3.4.7,metaslider-plugin,,qode-title-hidden,qode-child-theme-ver-1.0.0,qode-theme-ver-30.8.8.7,qode-theme-bridge,disabled_footer_top,qode_header_in_grid,qode-wpml-enabled,wpb-js-composer js-comp-ver-8.7.2,vc_responsive
teal blog on prem safe header

29 Apr. BSI-Update: Grundschutz++ wird 2028 Pflicht – Warum du jetzt schon handeln solltest

Posted at 17:08h in SAE by

Das Warten hat ein Ende: Das BSI hat den ersten Leitfaden für den Grundschutz++ veröffentlicht. Was auf den ersten Blick nach bürokratischem Mehraufwand aussieht, ist in Wahrheit der neue „Stand der Technik“ für NIS2.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat geliefert. Pünktlich zur NIS2-Umsetzungsverordnung ist der Leitfaden zur Methodik des Grundschutzes++ (GSpp) erschienen. Damit ist klar: Der Weg von statischen PDF-Bausteinen hin zu einem dynamischen, maschinenlesbaren Sicherheitsmanagement ist unumkehrbar.

Doch Vorsicht: Wer sich kopflos in die Migration stürzt, verbrennt wertvolle Ressourcen. Wir zeigen dir, was der neue Standard für dich bedeutet und warum er die perfekte Steilvorlage für echte IT-Härtung ist.

Compliance-Druck trifft auf veraltete Methoden

Bisher war IT-Grundschutz oft eine Fleißarbeit in Excel und Word. Mit NIS2 verschärfen sich die Anforderungen massiv. Wenn deine Organisation als „wichtig“ oder „besonders wichtig“ eingestuft wird, musst du einen Sicherheitsstatus nachweisen, der dem aktuellen Stand der Technik entspricht.

Die Krux: Viele Unternehmen arbeiten noch mit Architekturen, die gegen moderne Angriffsvektoren (wie Ransomware oder Identitätsdiebstahl) kaum Schutz bieten. Die bisherige Grundschutz-Edition 2023 gilt zwar noch bis Ende 2028, aber wenn du heute ein neues ISMS aufbaust, kommst du am GSpp nicht mehr vorbei.

Grundschutz++ als technischer Wegweiser

Der neue Grundschutz++ ist radikal anders. Er setzt auf den OSCAL-Standard (NIST), was bedeutet: Sicherheitsanforderungen werden maschinenlesbar. Das spart dir langfristig Zeit bei Audits und der Verwaltung. Aber der eigentliche Clou liegt in den Inhalten des Anwenderkatalogs.

Das BSI definiert hier präzise Anforderungen, die weit über das bloße „Häkchensetzen“ hinausgehen. Für uns bei TEAL ist klar: GSpp ist die regulatorische Bestätigung dessen, was wir seit Jahren predigen.

Unsere These: GSpp ist der Turbo für dein Tiering und PAW

Der Grundschutz++ rückt die Absicherung des „Kernels“, also deiner kritischsten Infrastrukturkomponenten, konsequent in den Fokus. Wir sind davon überzeugt: Ein erfolgreiches GSpp-Audit wird ohne ein striktes Tiering-Modell, den Einsatz von Privileged Access Workstations (PAW) und konsequente Systemhärtung nicht möglich sein.

Warum das so ist?

    • Systemhärtung: GSpp verlangt spezifische Maßnahmen für Hostsysteme. Ohne automatisierte Härtung verlierst du im neuen Anwenderkatalog schlicht den Überblick.
    • Tiering & PAW: Wenn der „Stand der Technik“ gefordert ist, ist die Trennung von administrativen Ebenen (Tiering) und der Schutz deiner Admin-Identitäten über gehärtete Endgeräte (PAW) absolut alternativlos.

„Interessant aus meiner Sicht ist, dass das BSI mit dem Grundschutz++ seiner Pflicht aus der NIS2-Umsetzungsverordnung nachkommt, einen verbindlichen ‚Stand der Technik‘ zu definieren. Das ist kein unverbindlicher Ratgeber mehr, für wichtige Organisationen ist das ab sofort die gesetzliche Messlatte. Wer hier bestehen will, muss seine Hausaufgaben in Sachen Identitätsschutz und Infrastruktur-Härtung gemacht haben.“ – Fabian Böhm, Security Architekt und Geschäftsführer bei TEAL

Fazit: Vorbereiten statt Überstürzen

Der Leitfaden ist aktuell explizit für Pilotprojekte gedacht. Das BSI nutzt die Zeit bis 2028, um das Auditierungsschema zu verfeinern. Das ist deine Chance, dich ohne Zeitdruck aufzustellen.

Unsere Empfehlung für dich:

      1. Status-Quo prüfen: Entspricht deine aktuelle Architektur (Active Directory, Cloud-Identitäten) bereits einem modernen Tiering-Modell?
      2. Pilotieren: Nutze die OSCAL-Kataloge, um erste Informationsverbünde nach GSpp-Methodik zu modellieren.
      3. Härtung forcieren: Beginne jetzt damit, Privileged Access Workstations einzuführen und deine Systeme zu härten, um für die kommenden Audits gerüstet zu sein.

Zusammenfassend lässt sich sagen: Der Grundschutz++ ist der notwendige digitale Sprung für die deutsche IT-Sicherheit. Er macht Schluss mit Papier-Compliance und zwingt uns alle dazu, das Thema Systemhärtung und Identitätsisolierung endlich ernst zu nehmen.

Willst du wissen, ob deine IT-Infrastruktur schon „Grundschutz++ ready“ ist? Lass uns drüber schauen. Wir unterstützen dich bei der Architektur-Prüfung!

Du möchtest mehr zum Blogbeitrag erfahren und dich mit einem Experten von TEAL dazu austauschen, dann buche hier ein Beratungsgespräch!

<< Zurück

LATEST POSTS



× Melde dich jetzt zu unserem Security-Newsletter an!
Tavi Maskottchen