Secani
Secani
  • Unternehmen
  • Roadmap
Demo anfragen

Mit KI zusammenfassen

In ChatGPT öffnenIn Claude öffnenIn Perplexity öffnenIn Mistral öffnenIn Grok öffnen
SIBB Startups
Berlin
Kofinanziert von der Europäischen Union
Secani

Jonathan Bezdek

Wörther Straße 9

10435 Berlin


hello@secani.com

Produkt

  • Sicherheit
  • Roadmap
  • Dokumentation
  • OSCAL

Rechtliches

  • Datenschutzerklärung
  • AGB
  • Cookie-Einstellungen
  • Impressum

Unternehmen

  • Unternehmen
  • Kontakt
  • Blog

Support

  • Hilfe
    Blog

    IT-Grundschutz++ und OSCAL

    Derya AltinayCEO
    7 Min. Lesezeit
    17. Juli 2026

    Mit KI erkunden

    In ChatGPT öffnenIn Claude öffnenIn Perplexity öffnenIn Mistral öffnenIn Grok öffnen

    Auf dieser Seite

    Vom PDF-Kompendium zu strukturierten DatenWarum das BSI auf OSCAL setztWas sich für die Grundschutz-Praxis ändertÜbergang mit AugenmaßUnser Blick darauf

    Vom PDF-Kompendium zu strukturierten Daten

    Jahrzehntelang war der IT-Grundschutz vor allem ein Textwerk: Kompendium, Standards und Umsetzungshinweise als PDF, gepflegt in Dokumenten, ausgewertet in Tabellen. Ende September 2025 hat das BSI diesen Zustand offiziell beendet und die Stand-der-Technik-Bibliothek auf GitHub veröffentlicht – mit IT-Grundschutz++ als maschinenlesbarem Anwenderkatalog.

    Das ist mehr als ein neues Ablageformat. Die Anforderungen liegen als OSCAL-Katalog in XML, JSON und YAML vor. Werkzeuge können sie direkt einlesen, referenzieren und mit der eigenen Umsetzung verknüpfen – ohne Abtippen, ohne Versionsraten, ohne Seitenzahlen.

    • Anforderungen erhalten stabile, maschinenlesbare Identifier
    • Aktualisierungen erscheinen nachvollziehbar in einem öffentlichen Repository
    • ISMS-Werkzeuge lesen den Katalog direkt statt einer Nacherfassung von Hand

    Warum das BSI auf OSCAL setzt

    Bemerkenswert ist die Formatentscheidung. Das BSI hätte ein eigenes, nationales Datenformat definieren können – und hat sich bewusst dagegen entschieden. OSCAL ist ein international etablierter Standard des US-amerikanischen NIST; wer ihn nutzt, bleibt anschlussfähig an internationale Regelwerke und an ein schnell wachsendes Werkzeug-Ökosystem.

    Damit reiht sich Deutschland in eine größere Bewegung ein: In den USA verlangt FedRAMP künftig maschinenlesbare Autorisierungspakete, und die Werkzeuglandschaft rund um den Standard wächst in hohem Tempo. Wie OSCAL grundsätzlich aufgebaut ist, erklärt unser Beitrag Was ist OSCAL?

    Was sich für die Grundschutz-Praxis ändert

    Für die tägliche ISMS-Arbeit ist der Formatwechsel spürbarer, als er zunächst klingt. Heute besteht ein erheblicher Teil der Grundschutz-Arbeit darin, Anforderungen aus Dokumenten in die eigene Struktur zu übertragen: in Tabellen, in GRC-Werkzeuge, in Sicherheitskonzepte. Jede Kompendium-Ausgabe löst dieselbe Übung erneut aus.

    Mit einem maschinenlesbaren Katalog dreht sich die Logik. Das Werkzeug kennt die Anforderungen bereits, und die eigentliche Arbeit verlagert sich dorthin, wo sie hingehört: auf Zuordnung, Umsetzung, Nachweise und Entscheidungen.

    • Soll-Ist-Vergleiche lassen sich automatisiert erzeugen statt manuell pflegen
    • Änderungen zwischen Katalogversionen werden diff-bar und erklärbar
    • Nachweise und Begründungen verknüpfen sich mit stabilen Anforderungs-IDs

    Maschinenlesbar heißt nicht automatisch konform

    Ein OSCAL-Katalog nimmt niemandem die Sicherheitsarbeit ab. Er macht sie strukturierbar: Wer Anforderungen, Umsetzung und Nachweise sauber verknüpft, gewinnt Prüfbarkeit und Geschwindigkeit. Wer nur das Format wechselt, hat erst eine schönere Ablage.

    Übergang mit Augenmaß

    Bestehende Sicherheitskonzepte auf Basis der Edition 23 verlieren nicht über Nacht ihren Wert – die Modernisierung ist ein Übergang, den das BSI schrittweise konkretisiert. Die Richtung ist allerdings eindeutig, und Teams, die ihre Struktur früh ordnen, profitieren doppelt: Die heutige Arbeit wird sauberer, und der spätere Umstieg wird kleiner.

    Drei Vorbereitungen haben sich aus unserer Sicht bewährt. Sie lohnen sich unabhängig davon, wann eine Organisation formal auf IT-Grundschutz++ wechselt – unser Leitfaden zum pragmatischen Grundschutz-Einstieg beschreibt die Grundlagen dazu.

    • Bestehende Umsetzungen und Nachweise so strukturieren, dass sie Anforderungen eindeutig zugeordnet sind
    • Die eigenen Werkzeuge prüfen: Können sie OSCAL-Kataloge nativ lesen – oder nur importieren und vergessen?
    • Erste Erfahrung mit dem Format sammeln, etwa indem man einen Katalog im OSCAL Validator öffnet und prüft

    Unser Blick darauf

    Wir haben Secani von Beginn an OSCAL-nativ gebaut – aus der Überzeugung, dass Compliance-Inhalte strukturierte Daten sein sollten, lange bevor Regulierer es verlangen. Dass das BSI den IT-Grundschutz jetzt genau dorthin entwickelt, bestätigt diesen Weg. Wenn Sie den Übergang zu IT-Grundschutz++ vorbereiten und dabei nicht bei einer schöneren Ablage stehen bleiben wollen, sprechen Sie mit uns.

    Compliance-Workflows prüfbar aufbauen

    Secani verbindet Scopes, Nachweise, Aufgaben und KI-Agenten in einem gemeinsamen Arbeitskontext.

    Demo anfragen

    Weiterführende Beiträge

    Alle Beiträge
    IT-Grundschutz
    Grundschutz pragmatisch

    So wird IT-Grundschutz vom Dokumentationsprojekt zu einem nachvollziehbaren Arbeitsmodell für Sicherheitsverantwortliche, Fachbereiche und Auditoren.

    Lesen
    Regulatorik
    NIS2: Die Nachfrist läuft ab

    Nur gut ein Drittel der betroffenen Unternehmen hat sich fristgerecht beim BSI registriert. Bis Ende Juli 2026 lässt sich das nachholen – danach wird es teuer.

    Lesen
    OSCAL
    FedRAMP wird maschinenlesbar

    Mit RFC-0024 und den Consolidated Rules 2026 macht FedRAMP strukturierte Autorisierungsdaten zur Pflicht. Die Fristen sind gestaffelt – die Richtung ist eindeutig.

    Lesen