Stand: Mai 2026 · Autor: Jens Hagel · Lesezeit: 8 Minuten
Wer 2026 BSI-IT-Grundschutz im Einsatz hat oder neu einführen will, hat seit Januar einen zweiten Standard auf dem Tisch: Grundschutz++. Es ist nicht nur ein Versions-Update, sondern eine fundamentale strukturelle Reform. Dieser Artikel erklärt, was sich ändert, wie der Migrations-Pfad realistisch aussieht und was KMU jetzt schon vorbereiten sollten.
Das klassische BSI-IT-Grundschutz-Kompendium ist ein PDF mit 100+ Bausteinen, Maßnahmenkatalogen und Querverweisen. Es funktioniert — aber:
Die Antwort: OSCAL als Datenformat, JSON als Output, „Praktiken” statt „Bausteine”, agilere Update-Zyklen, KMU-Schnellstart-Pfad. Das ist Grundschutz++.
OSCAL — Open Security Controls Assessment Language — ist ein vom NIST entwickeltes XML/JSON-Standardformat für Sicherheits-Controls. Die Idee: Compliance-Anforderungen aus verschiedenen Standards (NIST SP 800-53, FedRAMP, ISO 27001, jetzt auch BSI Grundschutz++) in einem einheitlichen, maschinenlesbaren Format austauschen.
Ein OSCAL-Dokument für ein BSI-Praktikum sieht (vereinfacht) so aus:
{
"control": {
"id": "ORP.1.A1",
"title": "Sicherheitsleitlinie der Institution",
"props": [
{"name": "category", "value": "ORP — Organisation und Personal"},
{"name": "requirement-level", "value": "Basis"}
],
"parts": [
{"name": "statement", "prose": "Die Leitung muss eine Sicherheitsleitlinie verabschieden ..."}
]
}
}Tools, die OSCAL nativ verstehen (Hugo, verinice ab 2027-Beta, US-Tools wie Tugboat Logic), können diese JSON-Dokumente direkt verarbeiten — Maßnahmen verfolgen, Status pro Control automatisch berechnen, Compliance-Berichte ohne manuelles Mapping erzeugen.
Stand der wichtigsten DACH-ISMS-Tools im Mai 2026:
| Tool | Aktueller Stand | Grundschutz++-Roadmap |
|---|---|---|
| verinice | klassische Edition 2023, OSCAL-Beta angekündigt | 2027 erste Beta, 2028 Production |
| opus i (kronsoft) | Edition 2023 nativ, OSCAL geplant | 2028 |
| HiScout | Edition 2023 + erste Grundschutz++-Module | 2027 vollständig |
| DocSetMinder | Edition 2023 | 2028 in Planung |
| Hugo ISMS | Edition 2023 mit OSCAL-Bridge | 2027 native Grundschutz++-Conformance |
| Drata / Vanta (US) | ISO 27001 + SOC 2 — kein BSI | keine Grundschutz++-Pläne |
Wer ein BSI-zentriertes Tool nutzt, sollte den Roadmap-Stand zur Grundschutz++-Migration im Hersteller-Gespräch klären — bevor neue Verträge unterschrieben werden.
Für KMU mit aktivem ISMS (50–250 MA) ist 2026 die Zeit für die Vorbereitung — nicht für die Migration. Vier konkrete Schritte:
Wer 2026 ein neues ISMS-Tool kauft, sollte explizit nach OSCAL-Unterstützung fragen. Tools ohne OSCAL-Roadmap werden zwischen 2027 und 2029 zum Migrations-Engpass. Hugo, HiScout und ein paar US-Anbieter sind hier vorn — siehe KMU-ISMS-Software-Vergleich 2026.
Hugo plant die Native-Grundschutz++-Konformität in drei Schritten:
Das macht Hugo Stand Mai 2026 zu einer der ersten DACH-DSGVO-Plattformen mit klarem Grundschutz++-Pfad.
Es trifft auch die kleineren Unternehmen, die nicht direkt unter BSI-Pflicht fallen – aber aufgrund der Lieferkette ein wichtiger Bestandteil sind. Wer einem KRITIS-Konzern zuliefert, bekommt die Sicherheits-Anforderungen 1:1 weitergereicht — und muss auch über Grundschutz++ sprechen können.
Nils OehmichenDatenschutzberater bei frag.hugo
| Aspekt | Edition 2023 | Grundschutz++ |
|---|---|---|
| Format | PDF + DOCX | JSON (OSCAL) + HTML |
| Strukturelement | Baustein (z. B. ORP.1) | Praktik (z. B. ORP.1.A1) |
| Maschinenlesbarkeit | nein | ja |
| Update-Zyklus | 1× pro Jahr | rolling (kontinuierlich) |
| KMU-Schnellstart | nein | ja, Mini-Praktikenset für KMU |
| NIST/ISO-Mapping | manuell | OSCAL-nativ |
| Tool-Verbreitung 2026 | 100 % | <30 % |
Quelle: BSI Stand-der-Technik-Bibliothek auf GitHub · ISMS-Ratgeber Wiki Grundschutz++ · HiSolutions Research zu Grundschutz++ · comconsult Kompendium-Preview.
Grundschutz++ ist die strukturelle Basis für mehrere parallele Anforderungen:
Wer also 2027 in einer dieser Welten lebt, wird automatisch in Grundschutz++ landen.
Grundschutz++ ist die größte BSI-Reform seit dem Standard-Setup. Wer ein ISMS hat, sollte 2026 die Tool-Roadmap klären, 2027 hybrid testen und 2028 migrieren. Wer neu aufbaut, startet direkt in Grundschutz++ — alles andere ist verschwendete Lebenszeit.
Hugo ISMS mit Grundschutz++-Roadmap
Im Hugo-DSB-Pro+ (449 €/Mo) ist das ISMS-Modul mit Edition-2023-Bausteinen, OSCAL-Bridge und Grundschutz++-Roadmap enthalten. Wir migrieren mit Ihnen — kein Big-Bang, sondern hybrider Pfad. 15-Minuten-Erstgespräch zur Roadmap-Diskussion.
Erstgespräch buchen →Grundschutz++ ist die digitale Reform des BSI IT-Grundschutz-Kompendiums. Seit Januar 2026 in Kraft, läuft parallel zur klassischen Edition 2023 bis ca. 2029/2030. Kernunterschied: Inhalte sind in OSCAL-konformem JSON-Format maschinenlesbar — Tools können Anforderungen automatisiert lesen, Maßnahmen tracken und Compliance-Berichte generieren.
OSCAL steht für Open Security Controls Assessment Language. Es ist ein NIST-getragenes XML/JSON-Standardformat für Sicherheits-Controls und Compliance-Daten. Tools, die OSCAL sprechen, können Standards wie NIST 800-53, ISO 27001 und jetzt auch BSI Grundschutz++ in einem einheitlichen Format austauschen — die Voraussetzung für interoperable ISMS-Tools.
Es gibt keine harte Migrationsfrist 2026. Beide Standards laufen parallel bis ca. 2029/2030 — danach soll Grundschutz++ alleinverbindlich werden. KMU mit aktivem ISMS sollten 2027 mit der Vorbereitung beginnen, 2028 die Migration starten, um 2029 fertig zu sein. Wer 2026 ein neues ISMS aufbaut, kann direkt in Grundschutz++ einsteigen.
Nein. Eine vollständig automatische Migration ist nicht möglich, weil sich die Struktur grundlegend ändert (Bausteine → Praktiken). Tools wie verinice, opus i und Hugo bieten Migrations-Wizards, die einen Großteil maschinell mappen, aber rund 30–40 % bleibt manuelle Anpassung. Frühzeitige Vorbereitung ist Pflicht.
Tools, die OSCAL nicht unterstützen, sind langfristig raus. Klassische BSI-Tools (verinice, opus i, HiScout) haben Roadmaps für 2027–2029. DACH-SaaS wie Hugo plant native Grundschutz++-Konformität in der Roadmap. US-Compliance-Tools (Drata, Vanta) interessieren sich kaum für BSI — wer Grundschutz++ braucht, sollte auf DACH-Tools setzen.
Konkurrenz-Recherche-Stand: Reform-Stand verifiziert am 8. Mai 2026 über BSI Stand-der-Technik-Bibliothek auf GitHub, ISMS-Ratgeber-Wiki Grundschutz++, HiSolutions Research-Artikel März 2026 und comconsult-Analyse. Die Tool-Roadmap-Daten basieren auf öffentlich kommunizierten Hersteller-Plänen Stand Mai 2026.
Inhaltsverzeichnis
Welche ISMS-Software passt für 50–250-MA-Mittelstand? verinice (Open Source), opus i (BSI), secjur (Premium), Hugo (Sweet-Spot). Praxis-Vergleich + Pricing.
Weiterlesen
IT-Sicherheitskonzept für KMU in Hamburg erstellen: Schritt-für-Schritt-Anleitung mit BSI-Grundschutz-Basis und Praxis-Checkliste.
Weiterlesen
VS-NfD = Verschluss-Sache niedrigster Geheimhaltungsgrad. Wer betroffen ist, was BSI CON.11.1 verlangt, wie ein KMU das umsetzt — Komplett-Anleitung 2026.
WeiterlesenÜber den Autor
Mitgründer & IT-Unternehmer
Jens führt seit Dezember 2004 die hagel IT-Services GmbH in Hamburg, heute 35+ Mitarbeitende. Mitgründer von frag.hugo Informationssicherheit und der SYNAPSE KI-Agentur. Mehrfach als „Deutschlands beste IT-Dienstleister" (statista / brand eins) ausgezeichnet.
15 Minuten am Telefon mit Nils oder Jens — kostenlos, ohne Verkaufsdruck. Wir hören zu, sortieren Ihr Thema und sagen Ihnen ehrlich, ob wir helfen können.
Lieber erstmal schreiben? Kontaktformular
