Grundschutz++ OSCAL-Katalog: Was das BSI wirklich über Pentests fordert

Grundschutz++ ist da. Aber was steht wirklich drin?

Am 1. April 2026 hat das Bundesamt für Sicherheit in der Informationstechnik den Methodik-Leitfaden für Grundschutz++ veröffentlicht. Dazu drei maschinenlesbare OSCAL-Katalogdateien, frei zugänglich auf GitHub. Der gesamte Katalog liegt als JSON vor, 4 MB groß, lizenziert unter CC-BY-SA 4.0. Jeder kann ihn herunterladen, parsen und auswerten.

Genau das haben wir getan. In diesem Artikel zeigen wir, was der Anwenderkatalog Grundschutz++ konkret enthält, wie die Anforderungen strukturiert sind und was das für Unternehmen bedeutet, die unter die NIS-2-Umsetzungsverordnung fallen.

Aufbau des OSCAL-Katalogs

Der Katalog basiert auf dem OSCAL-Standard (Open Security Controls Assessment Language) des NIST, einem Framework zur maschinenlesbaren Beschreibung von Sicherheitsanforderungen. Das BSI verwendet die OSCAL-Version 1.1.3 und stellt den Katalog sowohl im JSON- als auch im XML-Format bereit.

Insgesamt enthält der Anwenderkatalog 998 Anforderungen, verteilt auf 20 sogenannte Praktiken. Diese Praktiken decken das gesamte Spektrum der Informationssicherheit ab: von Governance und Compliance über Risikomanagement und Gebäudemanagement bis hin zu Detektion, Konfiguration und Softwareentwicklung.

Jede einzelne Anforderung ist mit strukturierten Metadaten versehen. Dazu gehören ein Sicherheitsniveau (normal oder erhöht), eine Aufwandsstufe von 0 bis 5, sowie ein Modalverb, das den Verbindlichkeitsgrad festlegt.

MUSS, SOLLTE, KANN: Die Verbindlichkeitsstufen

Die drei Modalverben im Katalog folgen der aus dem BSI bekannten Systematik. MUSS bedeutet: verpflichtend, ohne Ausnahme. SOLLTE heißt: dringend empfohlen, Abweichungen müssen begründet werden. KANN steht für: optional, bei erhöhtem Schutzbedarf sinnvoll.

Die Verteilung über alle 998 Anforderungen ist aufschlussreich:

• 152 Anforderungen sind mit MUSS gekennzeichnet
• 620 Anforderungen tragen SOLLTE
• 226 Anforderungen sind KANN

Weniger als ein Sechstel aller Anforderungen ist also tatsächlich verpflichtend. Der überwiegende Teil bewegt sich im Bereich der Empfehlung oder der optionalen Maßnahme. Für Organisationen, die einen pragmatischen Einstieg suchen, mag das eine Erleichterung sein. Für die tatsächliche Sicherheitslage wirft es Fragen auf.

Was der Katalog über Penetrationstests sagt

Die Praktik „Detektion" (DET) ist für technische Sicherheitsprüfungen zuständig. Hier finden sich fünf Untergruppen, darunter Schwachstellenmanagement und Angriffserkennung. Penetrationstests sind unter DET.5.4 aufgeführt, mit dem Titel „Regelmäßige Penetrationstests".

Die Metadaten dieser Anforderung sprechen eine deutliche Sprache:

Das Modalverb lautet KANN. Das Sicherheitsniveau ist auf erhöht gesetzt, die Anforderung greift also nur bei Organisationen mit erhöhtem Schutzbedarf. Die Aufwandsstufe liegt bei 5, der höchsten im gesamten Katalog. Im Klartext: Penetrationstests sind optional, nur für einen Teil der Organisationen vorgesehen und als die aufwändigste Maßnahme eingestuft.

Die zugehörige Guidance im Katalog ist dabei inhaltlich solide. Sie beschreibt Pentests als simulierte Cyberattacken, verweist auf anerkannte Vorgehensweisen wie den BSI Praxis-Leitfaden für IS-Penetrationstests, OWASP, PTES und NIST SP 800-115. Auch die Qualifikation der durchführenden Personen wird als entscheidend hervorgehoben.

Schwachstellenscans (DET.5.3) liegen eine Stufe höher bei SOLLTE. Automatisierte Angriffserkennung (DET.4.2) ebenfalls. Der eigentliche Test durch einen Menschen, der versucht in ein System einzudringen, bleibt dagegen freiwillig.

Was das für NIS-2-pflichtige Unternehmen bedeutet

Grundschutz++ ist nicht irgendein Framework. Er wurde im Rahmen des NIS-2-Umsetzungsgesetzes (§ 44 Abs. 1 BSIG) als verbindlicher Stand der Technik definiert. Alle wichtigen und besonders wichtigen Einrichtungen müssen sich daran messen lassen.

Wenn ein Unternehmen ausschließlich die MUSS-Anforderungen umsetzt, hat es formal den Mindeststandard erfüllt. Pentests gehören nicht dazu. Schwachstellenscans als SOLLTE-Maßnahme müssten bei Abweichung begründet werden. Aber eine aktive Überprüfung der Abwehrfähigkeit durch qualifizierte Tester? Optional.

Das ist kein Versäumnis des BSI. Die Einstufung als KANN bei erhöhtem Schutzniveau spiegelt die Realität wider, dass Pentests Aufwand, Expertise und Budget erfordern. Nicht jede kleine Organisation kann oder muss regelmäßige Pentests durchführen. Für Unternehmen mit kritischer Infrastruktur, sensiblen Daten oder einer ernstzunehmenden Bedrohungslage ist die Einstufung als optional allerdings schwer nachzuvollziehen.

Automatisierte Compliance ersetzt keine Sicherheitstests

Der Paradigmenwechsel von Grundschutz++ liegt in der Maschinenlesbarkeit. OSCAL ermöglicht es, Anforderungen automatisiert gegen den Ist-Zustand einer Organisation zu prüfen. Toolhersteller werden in den kommenden Monaten OSCAL-fähige Compliance-Lösungen auf den Markt bringen. Grüne Dashboards, automatische Reports, Echtzeit-Compliance-Monitoring.

Das ist ein Fortschritt für die Dokumentation und Nachweisführung. Aber es hat Grenzen. Kein OSCAL-Check findet eine SQL-Injection in einer Webanwendung. Kein JSON-Katalog entdeckt, dass ein Administrator schwache Passwörter verwendet. Kein automatisiertes Tool erkennt, ob Social Engineering bei Mitarbeitenden funktioniert.

Die Gefahr liegt darin, dass Organisationen automatisierte Compliance mit tatsächlicher Sicherheit verwechseln. Ein grünes Dashboard bedeutet, dass Prozesse dokumentiert und Richtlinien vorhanden sind. Es bedeutet nicht, dass ein Angreifer draußen bleibt.

Einordnung und Empfehlung

Grundschutz++ ist ein wichtiger Modernisierungsschritt. Die Reduktion auf knapp 1.000 Anforderungen, das maschinenlesbare Format und die offene Entwicklung auf GitHub machen den Standard zugänglicher und praxistauglicher als seinen Vorgänger.

Gleichzeitig sollte kein Unternehmen den Fehler machen, sich auf die Minimalanforderungen zu beschränken. Wer NIS-2-pflichtig ist und mit sensiblen Daten oder kritischen Systemen arbeitet, sollte Penetrationstests nicht als KANN behandeln. Die Erfahrung aus hunderten Erstprüfungen zeigt: Organisationen, die ihre Systeme nie aktiv testen lassen, überschätzen ihre Sicherheitslage systematisch.

Der OSCAL-Katalog ist ein gutes Werkzeug für Compliance. Für tatsächliche Sicherheit braucht es weiterhin Menschen, die Systeme auf die Probe stellen.