Inhaltsverzeichnis
Das BSI Grundschutz Kompendium ist das zentrale Standardwerk für Informationssicherheit in Deutschland. Herausgegeben vom Bundesamt für Sicherheit in der Informationstechnik (BSI), bietet es Unternehmen, Behörden und Organisationen einen systematischen Rahmen, um ihre IT-Infrastruktur und Informationswerte wirksam zu schützen. Mit dem Stichtag 1. Januar 2026 hat das BSI mit der Einführung von IT-Grundschutz++ den bisher größten Meilenstein seit der Modernisierung 2017 gesetzt und das Kompendium grundlegend digitalisiert und verschlankt.
Für Unternehmen im DACH-Raum bleibt das BSI IT-Grundschutz Kompendium auch 2026 der Maßstab schlechthin: Es dient als eigenständiges Sicherheitsframework und bildet die Basis für die Zertifizierung nach „ISO 27001 auf der Basis von IT-Grundschutz”. Dieser Artikel erklärt den Aufbau des Kompendiums, die massiven Änderungen durch IT-Grundschutz++ und zeigt, wie Unternehmen das Werk in der aktuellen Übergangsphase in der Praxis nutzen können.
Das Wichtigste in Kürze:
- Das BSI Grundschutz Kompendium wandelt sich ab 2026 mit IT-Grundschutz++ von einem statischen PDF-Dokument zu einem agilen, prozessorientierten und digitalen Regelwerk (JSON-Format).
- Die Edition 2024/2025 bleibt in einer mehrjährigen Übergangsphase (bis voraussichtlich 2029) für bestehende Zertifizierungen gültig.
- IT-Grundschutz++ bringt eine Verschlankung der Anforderungen um bis zu 80 % sowie ein neues, effizienteres Punktesystem für Schutzziele.
- Unternehmen können das Kompendium weiterhin für die Basis-, Standard- und Kern-Absicherung nutzen, um schrittweise ein angemessenes Schutzniveau zu erreichen.
- Das Framework lässt sich nahtlos auf die aktuelle ISO 27001:2022 Controls mappen – ideal zur Erfüllung von NIS-2-Vorgaben.
Was ist das BSI Grundschutz Kompendium?
Das BSI Grundschutz Kompendium ist eine umfassende Sammlung von Sicherheitsanforderungen und Empfehlungen. Es löste 2017 die früheren IT-Grundschutz-Kataloge ab und verfolgt einen modularen, maßnahmenorientierten Ansatz. Das Kompendium bildet zusammen mit den BSI-Standards 200-1 bis 200-4 das Gesamtframework des IT-Grundschutzes.
Abgrenzung zu den BSI-Standards
Während die BSI-Standards die methodische Grundlage liefern – also beschreiben, wie ein ISMS aufgebaut wird (BSI-Standard 200-1), wie die IT-Grundschutz-Methodik angewendet wird (BSI-Standard 200-2), wie eine Risikoanalyse durchgeführt wird (BSI-Standard 200-3) und wie Business Continuity Management funktioniert (BSI-Standard 200-4) – enthält das BSI Grundschutz Kompendium die konkreten Sicherheitsanforderungen in Form von Bausteinen.
Diese Arbeitsteilung bedeutet: Die BSI-Standards sagen Ihnen wie Sie vorgehen, das Kompendium sagt Ihnen was Sie umsetzen müssen.
Adressaten des Kompendiums
Das BSI Grundschutz Kompendium richtet sich an ein breites Spektrum von Organisationen:
- Bundesbehörden: Für sie ist die Anwendung des IT-Grundschutzes verpflichtend.
- KRITIS-Betreiber & NIS-2-relevante Einrichtungen: Betreiber kritischer und wichtiger Infrastrukturen nutzen den IT-Grundschutz als robusten Nachweis für angemessene Sicherheitsmaßnahmen.
- Unternehmen: Privatwirtschaftliche Unternehmen jeder Größe profitieren von den konkreten, nun verschlankten Handlungsempfehlungen.
- Dienstleister: IT-Dienstleister und Berater nutzen das Kompendium als Referenzrahmen für ihre Sicherheitskonzepte.
Aufbau und Struktur des BSI Grundschutz Kompendiums
Trotz der Transformation zu IT-Grundschutz++ bleibt die systematische Architektur in Form von Bausteinen erhalten, die in thematischen Schichten organisiert sind. Das Herzstück bilden diese Bausteine, die nun jedoch deutlich kompakter und objektorientierter aufgebaut sind.
Die 10 Schichten im Überblick
Die grundlegende Schichten-Struktur adressiert weiterhin die wesentlichen Bereiche der Informationssicherheit:
| Schicht | Kürzel | Themenbereich | Beispiel-Bausteine |
|---|---|---|---|
| 1 | ISMS | Sicherheitsmanagement | ISMS.1 Sicherheitsmanagement |
| 2 | ORP | Organisation und Personal | ORP.1 Organisation, ORP.4 Identitätsmanagement |
| 3 | CON | Konzepte und Vorgehensweisen | CON.1 Kryptokonzept, CON.3 Datensicherungskonzept |
| 4 | OPS | Betrieb | OPS.1.1.3 Patch-Management, OPS.1.2.5 Fernwartung |
| 5 | DER | Detektion und Reaktion | DER.1 Detektion, DER.2.1 Incident Management |
| 6 | APP | Anwendungen | APP.1.1 Office-Produkte, APP.5.3 E-Mail/Groupware |
| 7 | SYS | IT-Systeme | SYS.1.1 Allgemeiner Server, SYS.2.1 Allgemeiner Client |
| 8 | IND | Industrielle IT | IND.1 Prozessleit- und Automatisierungstechnik |
| 9 | NET | Netze und Kommunikation | NET.1.1 Netzarchitektur, NET.3.2 Firewall |
| 10 | INF | Infrastruktur | INF.1 Allgemeines Gebäude, INF.2 Rechenzentrum |
Aufbau eines einzelnen Bausteins (Neues Format)
Mit der Umstellung auf IT-Grundschutz++ im Jahr 2026 hat sich der Aufbau innerhalb der Bausteine deutlich verschlankt:
- Objektorientierte Beschreibung: Klare Definition des Gegenstands ohne redundante Begleittexte.
- Zielsetzung & Neues Punktesystem: Welches Schutzziel wird verfolgt? Das neue Punktesystem für Vertraulichkeit, Integrität und Verfügbarkeit löst hierbei veraltete, starre Kategorien ab.
- Gefährdungslage: Stark gestraffte Typisierung von Bedrohungen.
- Anforderungen: Die konkreten Sicherheitsanforderungen (Basis, Standard, Erhöhter Schutzbedarf) wurden massiv reduziert (teilweise um bis zu 80 %), um die Umsetzbarkeit in der Praxis zu beschleunigen.
- Digitale Kreuzreferenzen (JSON): Native, maschinenlesbare Mappings zu den Controls der ISO 27001:2022 und NIS-2-Vorgaben für den Import in ISMS-Tools.
Wichtige Neuerungen 2026: Die Ära von IT-Grundschutz++
Das BSI hat den Ruf nach mehr Agilität und weniger Bürokratie erhört. Das Jahr 2026 markiert das Ende der rein statischen, jährlichen PDF-Wälzer und den Beginn einer neuen, digitalen Methodik.
1. “Digital First” und Prozessorientierung
Das Kompendium wird nun primär als maschinenlesbares Format (JSON) bereitgestellt. Dies ermöglicht eine nahtlose Integration in ISMS- und GRC-Software. Updates können dynamischer ausgerollt werden, und die manuelle Pflege von Excel-Listen entfällt für moderne Unternehmen nahezu vollständig.
2. Drastische Reduzierung der Anforderungen
Die wohl wichtigste Neuerung für die Praxis: Das BSI hat die Menge der Einzelanforderungen radikal gekürzt. Durch die Zusammenlegung von Redundanzen und den Fokus auf essenzielle Sicherheitsmaßnahmen sinkt der Implementierungs- und Prüfaufwand erheblich, ohne das Sicherheitsniveau zu kompromittieren.
3. Die Übergangsphase (2026 – 2029)
Keine Panik bei laufenden Zertifizierungen: Organisationen, die ihr ISMS auf Basis der Edition 2024 oder 2025 aufgebaut haben, können diese Struktur während der Übergangsphase (bis voraussichtlich 2029) beibehalten und rezertifizieren. Ein methodischer Migrationsplan auf die neue Grundschutz++-Struktur sollte jedoch zeitnah erarbeitet werden.
4. Stärkere Berücksichtigung aktueller Trends
- Cloud-Sicherheit & Containerisierung: Vollständig in die neuen digitalen Bausteine integriert.
- Zero-Trust-Architekturen: Als Standardparadigma in den Netzwerk- und Identitätsbausteinen verankert.
- KI & Automatisierung: Neue Guidelines zum sicheren Betrieb und Einsatz von KI-gestützten Tools im Unternehmenskontext.
Die drei Vorgehensweisen: Basis-, Standard- und Kern-Absicherung
Trotz der methodischen Neuerungen bleiben die bewährten Vorgehensweisen des BSI-Standard 200-2 erhalten.
Basis-Absicherung
Die Basis-Absicherung ist der schnellste Einstieg. Unternehmen setzen zunächst nur die als „Basis” gekennzeichneten Anforderungen aller relevanten Bausteine um. Ideal für den schnellen Aufbau eines Mindestschutzniveaus.
Standard-Absicherung
Die Standard-Absicherung umfasst alle Basis- und Standard-Anforderungen und entspricht dem vom BSI empfohlenen Sicherheitsniveau. Sie ist die Voraussetzung für eine Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz.
Kern-Absicherung
Hier steht der Schutz der „Kronjuwelen” im Vordergrund. Anstatt alle Assets gleichmäßig abzusichern, werden die kritischsten Geschäftsprozesse identifiziert und sofort mit dem höchsten Schutzniveau versehen.
Praktische Umsetzung: So nutzen Unternehmen das Kompendium 2026
Die praktische Anwendung folgt einem bewährten, aber durch digitale Tools nun stark beschleunigten Prozess:
Phase 1: Strukturanalyse
Systematische Erfassung der IT-Landschaft. Durch automatisierte Asset-Discovery-Tools lässt sich diese Phase heute deutlich effizienter gestalten als noch vor wenigen Jahren.
Phase 2: Schutzbedarfsfeststellung
Ermittlung des Schutzbedarfs. Hier greift künftig das neue, feinere Punktesystem von IT-Grundschutz++, das eine präzisere und realistischere Bewertung von Vertraulichkeit, Integrität und Verfügbarkeit zulässt.
Phase 3 & 4: Modellierung und IT-Grundschutz-Check
Zuordnung der (nun digitalen) Bausteine zu den Assets und Durchführung des Soll-Ist-Vergleichs. Die Gap-Analyse zeigt exakt, welche Anforderungen der verschlankten Bausteine noch fehlen.
Phase 5 & 6: Risikoanalyse und Umsetzung
Bei erhöhtem Schutzbedarf greift die Risikoanalyse (BSI-Standard 200-3). Anschließend werden Maßnahmen priorisiert, umgesetzt und auditsicher dokumentiert.
BSI Grundschutz und ISO 27001: NIS-2 konform werden
Besonders durch die seit Ende 2024 europaweit verbindliche NIS-2-Richtlinie hat die Kombination aus ISO 27001 und IT-Grundschutz enorm an Bedeutung gewonnen.
ISO 27001 auf der Basis von IT-Grundschutz
Diese Zertifizierung vereint das international anerkannte Rahmenwerk der ISO 27001:2022 mit den extrem konkreten (und nun verschlankten) Handlungsanweisungen des BSI.
Vorteile der integrierten Umsetzung
- Vermeidung von Doppelarbeit: Dank der maschinenlesbaren Kreuzreferenzen im IT-Grundschutz++ wird das Mapping auf die 93 Controls der ISO 27001:2022 automatisiert.
- Regulatorische Sicherheit: Das Kompendium liefert den perfekten “State of the Art” (Stand der Technik) Nachweis, der von Gesetzgebern im Rahmen von NIS-2 oder DORA gefordert wird.
- Konkrete Umsetzungshilfe: Wo die ISO 27001 abstrakt bleibt (“Sie müssen ein Backup-Konzept haben”), sagt das BSI genau, wie dieses technisch sicher auszugestalten ist.
Häufige Fehler bei der aktuellen Anwendung
Trotz der Vereinfachungen durch das BSI gibt es Stolpersteine:
1. Die Migration verschlafen
Zwar gelten alte Editionen in der Übergangsphase bis 2029 weiter, doch wer neue Projekte noch klassisch auf Papier oder in Excel mit der Edition 2024 startet, baut technische Schulden auf. Nutzen Sie für Neuaufbauten direkt digitale Tools und die neue Methodik.
2. Unvollständige Strukturanalyse (Stichwort: Cloud & SaaS)
Moderne IT findet in der Cloud statt. Wer Schatten-IT und SaaS-Lösungen nicht in die Strukturanalyse einbezieht, riskiert massive Compliance-Lücken.
3. Isolierte Betrachtung von Bausteinen
Auch die neuen, verschlankten Bausteine haben Abhängigkeiten. Identitätsmanagement (ORP.4) und Netzwerkarchitektur (NET.1.1) müssen beispielsweise ineinandergreifen, um Zero-Trust-Konzepte umzusetzen.
Fazit: Das BSI Grundschutz Kompendium 2026 als Fundament
Mit der Einführung von IT-Grundschutz++ am 1. Januar 2026 hat das BSI genau den Schritt gemacht, den die Wirtschaft gefordert hat: Weg vom bürokratischen Papiertiger, hin zu einem agilen, maschinenlesbaren und deutlich verschlankten Framework.
Das BSI Grundschutz Kompendium bietet Unternehmen im DACH-Raum mehr denn je den Vorteil einer perfekten Symbiose aus internationaler ISO 27001-Kompatibilität und extrem konkreten, praktisch anwendbaren Sicherheitsmaßnahmen. Wer die aktuelle Übergangsphase nutzt, um sein ISMS mit modernen Tools zu digitalisieren, schafft ein zukunftssicheres Fundament gegen Cyber-Bedrohungen und für aktuelle Compliance-Anforderungen wie NIS-2.
Sie möchten Ihr ISMS auf das neue IT-Grundschutz++ migrieren oder neu aufbauen? TrustSpace unterstützt Sie bei jedem Schritt: Mit TrustSpaceOS steuern Sie Ihre IT-Grundschutz-Umsetzung zentral, nutzen automatisierte Mappings zur ISO 27001:2022 und verarbeiten die neuen BSI-Datenformate mühelos. Unsere erfahrenen InfoSec-Berater begleiten Sie durch die Umstellungsphase bis zur erfolgreichen ISO 27001 Zertifizierung.
Autor
