IT-Grundschutz++ und OSCAL
Vom PDF-Kompendium zu strukturierten Daten
Jahrzehntelang war der IT-Grundschutz vor allem ein Textwerk: Kompendium, Standards und Umsetzungshinweise als PDF, gepflegt in Dokumenten, ausgewertet in Tabellen. Ende September 2025 hat das BSI diesen Zustand offiziell beendet und die Stand-der-Technik-Bibliothek auf GitHub veröffentlicht – mit IT-Grundschutz++ als maschinenlesbarem Anwenderkatalog.
Das ist mehr als ein neues Ablageformat. Die Anforderungen liegen als OSCAL-Katalog in XML, JSON und YAML vor. Werkzeuge können sie direkt einlesen, referenzieren und mit der eigenen Umsetzung verknüpfen – ohne Abtippen, ohne Versionsraten, ohne Seitenzahlen.
- Anforderungen erhalten stabile, maschinenlesbare Identifier
- Aktualisierungen erscheinen nachvollziehbar in einem öffentlichen Repository
- ISMS-Werkzeuge lesen den Katalog direkt statt einer Nacherfassung von Hand
Warum das BSI auf OSCAL setzt
Bemerkenswert ist die Formatentscheidung. Das BSI hätte ein eigenes, nationales Datenformat definieren können – und hat sich bewusst dagegen entschieden. OSCAL ist ein international etablierter Standard des US-amerikanischen NIST; wer ihn nutzt, bleibt anschlussfähig an internationale Regelwerke und an ein schnell wachsendes Werkzeug-Ökosystem.
Damit reiht sich Deutschland in eine größere Bewegung ein: In den USA verlangt FedRAMP künftig maschinenlesbare Autorisierungspakete, und die Werkzeuglandschaft rund um den Standard wächst in hohem Tempo. Wie OSCAL grundsätzlich aufgebaut ist, erklärt unser Beitrag Was ist OSCAL?
Was sich für die Grundschutz-Praxis ändert
Für die tägliche ISMS-Arbeit ist der Formatwechsel spürbarer, als er zunächst klingt. Heute besteht ein erheblicher Teil der Grundschutz-Arbeit darin, Anforderungen aus Dokumenten in die eigene Struktur zu übertragen: in Tabellen, in GRC-Werkzeuge, in Sicherheitskonzepte. Jede Kompendium-Ausgabe löst dieselbe Übung erneut aus.
Mit einem maschinenlesbaren Katalog dreht sich die Logik. Das Werkzeug kennt die Anforderungen bereits, und die eigentliche Arbeit verlagert sich dorthin, wo sie hingehört: auf Zuordnung, Umsetzung, Nachweise und Entscheidungen.
- Soll-Ist-Vergleiche lassen sich automatisiert erzeugen statt manuell pflegen
- Änderungen zwischen Katalogversionen werden diff-bar und erklärbar
- Nachweise und Begründungen verknüpfen sich mit stabilen Anforderungs-IDs
Übergang mit Augenmaß
Bestehende Sicherheitskonzepte auf Basis der Edition 23 verlieren nicht über Nacht ihren Wert – die Modernisierung ist ein Übergang, den das BSI schrittweise konkretisiert. Die Richtung ist allerdings eindeutig, und Teams, die ihre Struktur früh ordnen, profitieren doppelt: Die heutige Arbeit wird sauberer, und der spätere Umstieg wird kleiner.
Drei Vorbereitungen haben sich aus unserer Sicht bewährt. Sie lohnen sich unabhängig davon, wann eine Organisation formal auf IT-Grundschutz++ wechselt – unser Leitfaden zum pragmatischen Grundschutz-Einstieg beschreibt die Grundlagen dazu.
- Bestehende Umsetzungen und Nachweise so strukturieren, dass sie Anforderungen eindeutig zugeordnet sind
- Die eigenen Werkzeuge prüfen: Können sie OSCAL-Kataloge nativ lesen – oder nur importieren und vergessen?
- Erste Erfahrung mit dem Format sammeln, etwa indem man einen Katalog im OSCAL Validator öffnet und prüft
Unser Blick darauf
Wir haben Secani von Beginn an OSCAL-nativ gebaut – aus der Überzeugung, dass Compliance-Inhalte strukturierte Daten sein sollten, lange bevor Regulierer es verlangen. Dass das BSI den IT-Grundschutz jetzt genau dorthin entwickelt, bestätigt diesen Weg. Wenn Sie den Übergang zu IT-Grundschutz++ vorbereiten und dabei nicht bei einer schöneren Ablage stehen bleiben wollen, sprechen Sie mit uns.
Compliance-Workflows prüfbar aufbauen
Secani verbindet Scopes, Nachweise, Aufgaben und KI-Agenten in einem gemeinsamen Arbeitskontext.
Weiterführende Beiträge
Alle BeiträgeSo wird IT-Grundschutz vom Dokumentationsprojekt zu einem nachvollziehbaren Arbeitsmodell für Sicherheitsverantwortliche, Fachbereiche und Auditoren.
Nur gut ein Drittel der betroffenen Unternehmen hat sich fristgerecht beim BSI registriert. Bis Ende Juli 2026 lässt sich das nachholen – danach wird es teuer.
Mit RFC-0024 und den Consolidated Rules 2026 macht FedRAMP strukturierte Autorisierungsdaten zur Pflicht. Die Fristen sind gestaffelt – die Richtung ist eindeutig.