Vom IT-Grundschutz 2023 zu IT-Grundschutz++ ab 2026

Der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik befindet sich ab 2026 in einer Phase struktureller Weiterentwicklung, die in der öffentlichen Debatte häufig verkürzt als „neuer IT-Grundschutz“ bezeichnet wird. Diese Darstellung ist fachlich unpräzise. Es existieren weder zwei parallele Normen noch konkurrierende Grundschutz-Versionen mit den Jahreszahlen 2023 und 2026. Was sich verändert, ist nicht der normative Anspruch des Grundschutzes, sondern seine strukturelle Ausprägung, seine technische Anschlussfähigkeit und – implizit – das Sicherheitsverständnis, das ihm zugrunde liegt.

Ein belastbarer Vergleich zwischen dem bis 2025 gültigen IT-Grundschutz-Stand 2023 und der Reform IT-Grundschutz++ ab 2026 zeigt daher keinen Bruch, sondern eine klare Verschiebung der Perspektive: weg von der ausschließlichen Betrachtung sicherer Zustände hin zur Frage der Wirksamkeit unter realen Angriffsszenarien.

Der IT-Grundschutz 2023 als Referenzrahmen

Bis einschließlich 2025 bildet der IT-Grundschutz in der Edition 2023 den verbindlichen Referenzrahmen für Informationssicherheit in Verwaltung, KRITIS und regulierten Industrien. Er basiert auf dem IT-Grundschutz-Kompendium 2023 mit seinen systematisch aufgebauten Bausteinen und Anforderungen sowie auf den BSI-Standards der 200-Serie, die die methodische Grundlage für Informationssicherheitsmanagement, Risikoanalyse und Business-Continuity-Management definieren.

Der IT-Grundschutz 2023 ist bewusst zustandsorientiert konzipiert. Sein zentrales Sicherheitsversprechen lautet, dass Informationssicherheit beherrschbar wird, wenn Schutzbedarfe korrekt ermittelt und die vorgesehenen Maßnahmen vollständig, nachvollziehbar und dokumentiert umgesetzt sind. Sicherheit wird damit als Ergebnis eines strukturierten Soll-Zustands verstanden, der sich prüfen, vergleichen und auditieren lässt. Dieses Modell ist auf Ordnung, Nachweisbarkeit und Reproduzierbarkeit ausgelegt und erfüllt exakt das Mandat, für das der Grundschutz geschaffen wurde: die Definition eines belastbaren, rechtssicheren Mindeststandards.

Gleichzeitig impliziert dieser Ansatz eine Annahme, die zunehmend unter Druck gerät. Er setzt voraus, dass es einen klar definierbaren, stabilen Ausgangszustand gibt, zu dem ein System nach einem Sicherheitsvorfall zurückkehren kann. Genau diese Vorstellung stößt in modernen, hochvernetzten und identitätsgetriebenen IT-Landschaften immer häufiger an ihre Grenzen.

Die veränderte Bedrohungsrealität als Treiber der Reform

Zwischen 2023 und 2026 hat sich weniger der IT-Grundschutz selbst verändert als vielmehr die operative Realität, in der er wirksam sein muss. Moderne Cyberangriffe sind zunehmend identitätsbasiert, bedienen sich legitimer Zugänge und verlaufen häufig über lange Zeiträume, ohne als klassisches Einzelereignis erkennbar zu sein. Sie nutzen bestehende Berechtigungen, administrative Werkzeuge und reguläre Kommunikationspfade und entziehen sich damit der traditionellen Ereignis- und Störfalllogik.

Gleichzeitig haben Cloud-Infrastrukturen, Software-as-a-Service-Modelle und hochgradig vernetzte Lieferketten die Abhängigkeiten zwischen Systemen weiter verdichtet. Sicherheitsarchitekturen sind nicht mehr klar abgrenzbar, Zuständigkeiten fragmentiert, technische und organisatorische Perimeter zunehmend durchlässig. Das bislang tragende Konzept eines klar definierten Sicherheitsrandes verliert damit zunehmend an praktischer Bedeutung.

Parallel zu dieser technischen Entwicklung verschiebt sich der regulatorische und haftungsrechtliche Fokus. Mit NIS2, neuen Bewertungsmaßstäben von Cyber-Versicherern und einer wachsenden gerichtlichen Auseinandersetzung mit Organisationsverschulden reicht es nicht mehr aus, die formale Umsetzung von Maßnahmen nachzuweisen. Zunehmend wird gefragt, ob Sicherheitsmaßnahmen unter realen Angriffsbedingungen tatsächlich wirksam waren und ob Organisationen in der Lage waren, Sicherheitsvorfälle nicht nur zu dokumentieren, sondern operativ zu beherrschen. Informationssicherheit wird damit weniger als Zustand, sondern zunehmend als Fähigkeit zur Kontrolle unter Unsicherheit verstanden.

IT-Grundschutz++ ab 2026 als strukturelle Weiterentwicklung

Mit IT-Grundschutz++ ersetzt das BSI den bestehenden IT-Grundschutz nicht, sondern entwickelt ihn strukturell weiter. Ziel dieser Reform ist kein inhaltlicher Paradigmenwechsel, sondern eine Anpassung der Form, in der Sicherheitsanforderungen beschrieben, gepflegt und angewendet werden. Die sichtbarste Veränderung besteht im Übergang von einem primär dokumentenzentrierten Kompendium hin zu einem digital strukturierten, maschinenlesbaren Regelwerk.

Diese Neuausrichtung verfolgt mehrere Ziele zugleich. Sicherheitsanforderungen sollen konsistenter strukturiert, Redundanzen reduziert und die Integration in Werkzeuge und Prozesse erleichtert werden. Der IT-Grundschutz++ ist damit stärker auf kontinuierliche, prozessorientierte Sicherheitsmodelle ausgerichtet, ohne seinen Charakter als normativer Ordnungsrahmen aufzugeben. Der Fokus verschiebt sich von der reinen Dokumentation hin zur praktischen Anwendbarkeit in laufenden Sicherheits- und Governance-Prozessen.

Im technischen Hintergrund spiegeln sich dabei Entwicklungen wider, wie sie auch in Initiativen zu Grundschutz-Strukturdaten oder in standardisierten Austauschformaten wie dem Common Security Advisory Framework angelegt sind. Sicherheitsanforderungen werden nicht neu definiert, sondern in eine Form überführt, die Automatisierung, Auswertung und kontinuierliche Pflege erleichtert.

Gleichzeitig steigt mit dieser Digitalisierung die Abhängigkeit von geeigneten Werkzeugen und Kompetenzen. Während größere Organisationen und KRITIS-Betreiber von der stärkeren Automatisierbarkeit profitieren, kann die Einstiegshürde für kleinere Organisationen steigen. Die praktische Wirksamkeit von IT-Grundschutz++ wird daher auch davon abhängen, ob Übergangsmodelle und niedrigschwellige Implementierungswege etabliert werden, die normativen Anspruch und operative Umsetzbarkeit sinnvoll verbinden.

Die Verschiebung der Bewertungslogik von Maßnahme zu Wirkung

Der zentrale Unterschied zwischen dem IT-Grundschutz 2023 und IT-Grundschutz++ ab 2026 liegt nicht in neuen Inhalten, sondern in der zugrunde liegenden Bewertungslogik. Während der Grundschutz 2023 primär danach fragt, ob Maßnahmen umgesetzt und dokumentiert sind, erweitert der reformierte Grundschutz diese Perspektive um die Frage, ob diese Maßnahmen angemessen sind und unter realen Bedingungen tatsächlich wirken. Dies gilt insbesondere für Szenarien, in denen nicht technische Schwachstellen, sondern kompromittierte privilegierte Konten, legitime Administrationswerkzeuge oder bestehende Berechtigungen den primären Angriffsvektor darstellen.

Sicherheit wird damit nicht mehr ausschließlich über Vollständigkeit und formale Erfüllung definiert, sondern über die Fähigkeit, Risiken wirksam zu begrenzen. Der Fokus verschiebt sich von der Existenz einzelner Kontrollen hin zu ihrer tatsächlichen Wirkung im konkreten Kontext. Informationssicherheit wird weniger als statischer Soll-Zustand verstanden, sondern zunehmend als fortlaufende Fähigkeit zur Beherrschung von Unsicherheit.

Diese Entwicklung entspricht internationalen Tendenzen, wie sie etwa auch im NIST Cybersecurity Framework 2.0 sichtbar werden, das Resilienz, Reaktionsfähigkeit und Wirksamkeit stärker gewichtet als reine Maßnahmenerfüllung. Entscheidend ist nicht mehr allein, ob Maßnahmen vorgesehen waren, sondern ob sie geeignet waren, Schaden unter realen Angriffsbedingungen zu verhindern oder zumindest wirksam zu begrenzen.

Vom Wiederherstellungsdenken zur Betriebsfähigkeit unter Druck

Auch im Umgang mit Sicherheitsvorfällen wird diese Perspektivverschiebung deutlich. Der IT-Grundschutz 2023 denkt Incident Management implizit linear. Ein Sicherheitsvorfall wird erkannt, bewertet, behandelt und dokumentiert, mit dem Ziel, den definierten Normalzustand möglichst schnell wiederherzustellen.

Mit IT-Grundschutz++ verschiebt sich diese Betrachtung. Zwar bleibt das klassische Incident-Management-Modell bestehen, doch rückt stärker die Frage in den Vordergrund, wie kritische Funktionen während eines laufenden Vorfalls aufrechterhalten werden können. Schadensbegrenzung, Priorisierung essenzieller Prozesse und die Fähigkeit zur kontrollierten Degradation gewinnen an Bedeutung. Systeme sollen nicht mehr ausschließlich auf Wiederherstellung optimiert sein, sondern darauf, unter Belastung handlungsfähig zu bleiben.

Damit nähert sich der Grundschutz konzeptionell einem Resilienzverständnis an, das Sicherheit nicht nur als Zustand, sondern als Belastbarkeit begreift. Gleichzeitig bleibt er bewusst unterhalb der Schwelle eines operativen Verteidigungs- oder Gefechtsmodells.

Warum IT-Grundschutz++ operative Containment-Konzepte benötigt

An dieser Stelle wird die bewusste Grenze des IT-Grundschutzes deutlich sichtbar. Auch in seiner reformierten Ausprägung beschreibt der Grundschutz primär, wie Informationssicherheit strukturell aufgebaut, organisiert und bewertet werden soll. Er definiert Anforderungen, ordnet Verantwortlichkeiten zu und schafft einen überprüfbaren Rahmen. Was er jedoch auch in der Fassung IT-Grundschutz++ nicht beschreibt, ist die operative Durchsetzung von Sicherheit im laufenden Angriff. Diese Lücke ist kein Versäumnis, sondern die konsequente Folge seines normativen Mandats.

Der IT-Grundschutz regelt Ordnung, Mindeststandards und Sorgfalt. Operative Containment-Konzepte regeln Wirkung. Sie setzen dort an, wo formale Maßnahmen an ihre Grenze stoßen, und beantworten die Fragen, die im Ernstfall entscheidend werden: Wie weit darf sich ein Angreifer innerhalb einer Umgebung bewegen, bevor seine Wirkung begrenzt wird? Welche Systeme müssen unter allen Umständen vor Eskalation geschützt bleiben? Welche technischen Eingriffe müssen unmittelbar möglich sein, wenn dokumentierte Prozesse zu langsam greifen?

Containment verschiebt den Fokus damit von der Existenz von Kontrollen hin zu ihrer Durchsetzungsfähigkeit unter Druck. Es entscheidet nicht, ob Maßnahmen vorgesehen sind, sondern ob sie verhindern, dass ein lokaler Vorfall strategische Reichweite entwickelt. Diese Ebene bleibt im IT-Grundschutz bewusst unmodelliert – und wird mit zunehmender Angriffsdauer und -komplexität immer relevanter.

Diese Denkweise ist international nicht neu. In proaktiven Cyber-Defense-Modellen, wie sie insbesondere in Israel etabliert sind, bildet die bewusste Annahme der Kompromittierung („Assume Breach“), einschließlich privilegierter Konten und zentraler Steuerungskomponenten, die Grundlage jeder belastbaren Sicherheitsarchitektur. Sicherheit wird dort nicht als Abwesenheit von Angriffen verstanden, sondern als Fähigkeit, deren Wirkung systematisch zu begrenzen. Containment übersetzt dieses Prinzip in eine operative Praxis, ohne den IT-Grundschutz zu ersetzen oder zu relativieren.

Containment steht damit nicht im Widerspruch zum IT-Grundschutz++, sondern schließt dessen Wirksamkeitslücke. Während der Grundschutz fordert, dass Maßnahmen existieren und nachvollziehbar umgesetzt sind, entscheidet Containment darüber, ob diese Maßnahmen im Ernstfall tatsächlich verhindern, dass ein Sicherheitsvorfall strategische Wirkung entfaltet.

Die bewussten Grenzen des IT-Grundschutzes bleiben bestehen

Trotz aller Weiterentwicklung bleibt der IT-Grundschutz auch ab 2026 klar in seiner Rolle verortet. Er ist weder als militärisches Verteidigungsmodell konzipiert noch als taktisches Incident-Response-Framework oder Instrument permanenter Gegnersimulation gedacht. Sein Anspruch liegt nicht in der operativen Abwehr laufender Angriffe, sondern in der Definition eines strukturierten, überprüfbaren Sorgfaltsmaßstabs.

Der IT-Grundschutz bleibt damit ein Ordnungsrahmen, der Mindeststandards festlegt, Verantwortlichkeiten zuweist und Vergleichbarkeit herstellt. Er beschreibt, wie Informationssicherheit organisatorisch, technisch und prozessual zu gestalten ist, nicht jedoch, wie ein Angriff im Detail taktisch geführt oder abgewehrt wird. Diese Abgrenzung ist bewusst gewählt und integraler Bestandteil seines Mandats.

Entsprechend gehört die explizite Modellierung gegnerischer Bewegungen, Eskalationspfade oder die gezielte Wirkungsbegrenzung unter fortdauernder Kompromittierung nicht zum Aufgabenbereich des Grundschutzes. Diese Grenze stellt kein Defizit dar, sondern notwendige Klarheit. Sie schafft Raum für ergänzende operative Konzepte, ohne den normativen Charakter des IT-Grundschutzes zu verwässern.

Fazit

Der IT-Grundschutz 2023 beantwortet die Frage, ob Sicherheitsarchitekturen korrekt aufgebaut und formal beherrschbar sind. Der IT-Grundschutz++ ab 2026 erweitert diese Perspektive um eine zweite, entscheidende Dimension: ob diese Architekturen unter realen Angriffsszenarien tatsächlich tragen. Operative Containment-Konzepte liefern die Antwort auf genau diese Frage.

Grundschutz und Containment stehen dabei nicht in Konkurrenz, sondern in einem komplementären Verhältnis. Der IT-Grundschutz schafft Ordnung, Vergleichbarkeit und Nachweisbarkeit. Containment sorgt für Durchsetzungsfähigkeit unter Druck und begrenzt die Wirkung eines Angriffs dort, wo formale Maßnahmen an ihre Grenze stoßen. Erst im Zusammenspiel beider Ansätze entsteht eine Sicherheitsarchitektur, die sowohl korrekt konzipiert als auch operativ belastbar ist.

Der IT-Grundschutz stellt sicher, dass Sicherheit richtig gedacht und verantwortbar umgesetzt ist.
Containment stellt sicher, dass sie im Angriff nicht versagt.