Aktuelles

Kontakt

Kontakt

Aktuelles

Kontakt

Kontakt

Tel.: +49 531 2 30 87 – 200

JETZT Beratungstermin vereinbaren!

IT-Grundschutz++: Der nächste Schritt in der Cybersicherheit

von | Jan. 31, 2025 | Unkategorisiert

IT Grundschutz++

Verfasst von: Erick Pocino Llorente

 

Der IT-Grundschutz++ stellt eine umfassende Modernisierung des bewährten IT-Grundschutzes dar, die ab dem 1. Januar 2026 eingeführt werden soll. Diese Weiterentwicklung zielt darauf ab, den IT-Grundschutz anwenderfreundlicher, effizienter und zukunftsorientierter zu gestalten, um den aktuellen Herausforderungen der Cybersicherheit gerecht zu werden.

 

Das Wichtigste auf den Punkt:

  • Einführung des IT-Grundschutz++ am 1. Januar 2026.
  • Berücksichtigung moderner Technologien wie Cloud-Computing, Künstliche Intelligenz und Internet der Dinge.
  • Reaktion auf die zunehmende Quantität und Qualität von Cyberangriffen.
  • Dynamischerer Ansatz mit flexibler Struktur und JSON-basierten Bausteinen.
  • Integration von Automatisierungstools zur Reduktion des administrativen Aufwands.

 

Die historische Entwicklung des IT-Grundschutzes

Bevor wir mit den Neuerungen des IT-Grundschutz++ starten, lohnt sich ein Blick zurück auf die Geschichte des IT-Grundschutzes. Seit seiner Einführung im Jahr 1994 hat er sich kontinuierlich weiterentwickelt, um den steigenden Anforderungen der Cybersicherheit gerecht zu werden.

Im Folgenden ein kleiner Überblick:

  • 1994: Das BSI veröffentlicht das erste IT-Grundschutzhandbuch und legt damit die Basis für strukturierte IT-Sicherheitsmaßnahmen.
  • 2002: Die IT-Grundschutz-Zertifizierung wird eingeführt, wodurch Organisationen ihre Sicherheitsmaßnahmen objektiv bewerten und zertifizieren lassen können.
  • 2005 und 2017: Große Modernisierungen erfolgen mit den Standards 100-1/2/3 und später 200-1/2/3, um den technologischen Fortschritt zu berücksichtigen.
  • 2023: Das letzte IT-Grundschutz-Kompendium erscheint, gefolgt von der Veröffentlichung des BSI-Standards 200-4 für Business Continuity Management.
  • 2024: Der IT-Grundschutz feiert sein 30-jähriges Jubiläum und bereitet die Einführung des IT-Grundschutz++ vor.

Diese Entwicklung verdeutlicht, wie der IT-Grundschutz stets auf technologische Veränderungen und neue Herausforderungen reagiert hat. Kommen wir nun zu den Anforderungen und Neuerungen im IT-Grundschutz++.

 

Anforderungen und Neuerungen im IT-Grundschutz++

In diesem Abschnitt erfahren Sie, wie der IT-Grundschutz++ auf aktuelle technologische Trends und Herausforderungen konkret eingeht.

Cloud Computing

Der IT-Grundschutz++ berücksichtigt die zunehmende Bedeutung von Cloud-Computing-Lösungen. Er integriert spezifische Sicherheitsanforderungen für Cloud-Dienste, einschließlich Datenschutz, Verschlüsselung und Zugriffsmanagement. Die neue Struktur ermöglicht eine flexiblere Anpassung an verschiedene Cloud-Modelle (IaaS, PaaS, SaaS) und adressiert die besonderen Herausforderungen der geteilten Verantwortung zwischen Cloud-Anbietern und -Nutzern.

Künstliche Intelligenz

Mit dem Einzug von KI-Systemen in kritische Infrastrukturen und Geschäftsprozesse werden im IT-Grundschutz++ auch Sicherheitsaspekte für KI-Anwendungen berücksichtigt. Dies umfasst Anforderungen an die Datenintegrität für Trainingssets, die Transparenz von KI-Entscheidungen und den Schutz vor Manipulationen durch adversarial attacks.

Die Herausforderungen der Künstlichen Intelligenz zeigen, wie wichtig eine umfassende Sicherheitsstrategie ist.

Internet der Dinge (IoT)

Der IT-Grundschutz++ adressiert die Sicherheitsherausforderungen des IoT, indem er spezifische Anforderungen für die Absicherung vernetzter Geräte einführt. Dies beinhaltet Maßnahmen zur sicheren Konfiguration, regelmäßigen Updates und der Isolierung von IoT-Netzwerken von kritischen Infrastrukturen.

Anstieg in Quantität und Qualität von Cyberangriffen

Der IT-Grundschutz++ reagiert auf die zunehmende Bedrohungslage durch fortschrittlichere Cyberangriffe. Er integriert aktuelle Erkenntnisse über Angriffsvektoren und -methoden und bietet Strategien zur Erkennung und Abwehr komplexer Bedrohungen wie Advanced Persistent Threats (APTs).

Mit diesem Wissen über Bedrohungen und deren Abwehrmechanismen wenden wir uns nun einem Vergleich des traditionellen IT-Grundschutzes mit dem IT-Grundschutz++ im nächsten Abschnitt zu.

 

Traditioneller IT-Grundschutz vs. IT-Grundschutz++

Erfahren Sie zusammengefasst, wie sich der traditionelle IT-Grundschutz vom modernen IT-Grundschutz++ unterscheidet. Dabei werden sowohl die bisherigen Stärken als auch die Neuerungen hervorgehoben.

IT-Grundschutz

  1. Fokus auf statische Strukturen: Der bisherige IT-Grundschutz basierte auf relativ statischen Strukturen und Bausteinen, die regelmäßig, aber in längeren Zeitabständen aktualisiert wurden.
  2. Bewährte Standards: Er bot bewährte Standards und Vorgehensweisen, die sich über Jahre hinweg als effektiv erwiesen haben und in vielen Organisationen erfolgreich implementiert wurden.

Der traditionelle IT-Grundschutz hat sich bewährt, doch die Welt der Cybersicherheit entwickelt sich weiter. Der IT-Grundschutz++ bringt neue Ansätze mit sich.

IT-Grundschutz++

  1. Dynamischerer Ansatz: Der IT-Grundschutz++ führt einen dynamischeren Ansatz ein, der eine schnellere Anpassung an neue Technologien und Bedrohungen ermöglicht. Die Bausteine werden als JSON-Objekte definiert, was eine einfachere Verbreitung und Aktualisierung ermöglicht.
  2. Integration fortschrittlicher Risikobewertungen: Es werden Punktzahlen in den Kategorien Vertraulichkeit, Integrität und Verfügbarkeit eingeführt, um die Umsetzung des Grundschutzes besser messen zu können. Dies ermöglicht eine differenziertere und genauere Risikobewertung.
  3. Flexible Struktur für branchenspezifische Anforderungen: Der IT-Grundschutz++ bietet eine flexiblere Struktur, die es ermöglicht, branchenspezifische Anforderungen besser zu integrieren. Die Praktiken (früher Bausteine genannt) werden in fünf Stufen unterteilt, von “Kann jeder machen” bis “Erhöhter Schutzbedarf”, was eine bessere Anpassung an die individuellen Bedürfnisse verschiedener Organisationen erlaubt.
  4. Automatisierung durch Tools: Ein Kernaspekt des IT-Grundschutz++ ist die verstärkte Nutzung von Automatisierung. Der neue IT-Grundschutz basiert auf einem digitalen Regelwerk in Form einer JSON-Datei, was die Automatisierung und dynamische Anpassung erleichtert. Dies ermöglicht die Entwicklung von Tools, die den Implementierungs- und Überwachungsprozess unterstützen und beschleunigen.

Der Vergleich hat gezeigt, wie der IT-Grundschutz++ die Schwächen des traditionellen Ansatzes adressiert.

 

Fazit

Der IT-Grundschutz++ zielt darauf ab, den administrativen Aufwand zu reduzieren, die Flexibilität zu erhöhen und eine bessere Anpassung an neue Bedrohungsszenarien zu ermöglichen. Er soll sowohl für kleine und mittlere Unternehmen als auch für große Organisationen geeignet sein und nachhaltige Sicherheitsprozesse fördern. Mit der Einführung des IT-Grundschutz++ wird ein bedeutender Schritt in Richtung einer zukunftssicheren IT-Sicherheitsstrategie gemacht.

 

Sie wünschen eine individuelle Beratung? Dann kontaktieren Sie uns für ein kostenloses Erstgespräch.