BSI Grundschutz++: Was sich für Backup & Archivierung ändert
Seit dem 1. Januar 2026 gilt das überarbeitete BSI‑Rahmenwerk Grundschutz++. Aus über 6.500 Einzelanforderungen wurden 921 Anforderungen in 19 Prozess‑Praktiken, die maschinenlesbar im OSCAL‑JSON‑Format vorliegen. Für IT‑Sicherheit, Notfallplanung und NIS2‑Compliance ist das ein klarer Shit‑act: Weg von statischen Bausteinen, hin zu messbaren Sicherheitsprozessen.
Warum ist das für Backup so wichtig?
Grundschutz++ verknüpft seine Anforderungen direkt mit NIS2, KRITIS‑Rahmen und modernen Resilienzstandards. Wer Backup‑ und Archivierungssysteme betreibt, muss sich insbesondere mit drei Praktiken auseinandersetzen:
- NOT (Notfallplanung) – mit klarer Forderung nach Offline‑Kopie („Air‑Gap‑Backup“, NOT.4.14).
- ASST (Informationen und Assets) – mit Fokus auf Langzeit‑ und revisionssichere Archivierung.
- BES (Beschaffungsmanagement) – inkl. Pflichten bei Cloud‑Backups und Dienstleistermodellen.
Die Kernnachricht ist:
- Backup muss dokumentiert, getestet und nachvollziehbar sein.
- Mindestens eine Kopie sollte physisch oder logisch vom Netzwerk getrennt sein.
- Archivierung muss die Aufbewahrungs‑ und Löschfristen (z. B. HGB, DSGVO) technisch unterstützen.
Die wichtigsten Punkte im Kurzüberblick
NOT.4.14 „Offline‑Kopie“
Backup, das physisch oder logisch von laufenden Systemen und Netzwerk getrennt ist – ein klarer Schritt gegen Ransomware.Automatisierung, Verschlüsselung, Versionierung
Regelmäßige, automatisierte Datensicherungen, Verschlüsselung at rest, versionierte Backups und wiederherstellbare Restores sind zentrale Vorgaben.Langzeitarchivierung (ASST.7.2.1)
Gesetzliche Aufbewahrungsfristen müssen technisch nachvollziehbar eingehalten werden; Archivlösungen sollten Unveränderlichkeit und Nachweisbarkeit unterstützen.NIS2‑Verknüpfung
Wer seine Grundschutz++‑Anforderungen für Backup, Notfallplanung und Archivierung umsetzt, baut gleichzeitig einen wesentlichen Teil seines NIS2‑Compliance‑Nachweises auf.
Wenn Sie tiefer in die Details gehen möchten
Der obige Artikel liefert eine kompakte, aber inhaltlich abgeschlossene Einordnung der wichtigsten Auswirkungen von BSI Grundschutz++ auf Backup und Archivierung. Für alle, die sich mit den Anforderungen auf tieferer Ebene auseinandersetzen möchten, haben wir eine ausführliche Ergänzung zusammengestellt, inklusive:
- vollständiger Übersicht der relevanten Praktiken (NOT.4.x, ASST.7.x, BES.5.x)
- konkreter Auslegung von Anforderungen wie NOT.4.14 (Offline‑Kopie), ASST.7.2.1 (Langzeitarchivierung), BES.5.13 (Backup bei Dienstleistern)
- Verknüpfung mit NIS2‑Anforderungen
- Praxisempfehlungen (z. B. 3‑2‑1‑Backup‑Modell, Wiederherstellungstests, Archivstrategien)
Erfahren Sie in der ausführlichen Version, wie Sie die Grundschutz++‑Anforderungen für Backup und Archivierung systematisch in Ihr Konzept integrieren – als Basis für Ihre eigene Umsetzung, Ausschreibung und NIS2‑Dokumentation.
Häufige Fragen (FAQ)
Was unterscheidet Grundschutz++ grundlegend vom alten IT-Grundschutz-Kompendium?
Das alte Kompendium war ein Baustein-Katalog mit über 6.500 Einzelanforderungen – umfangreich, textuell und schwer operationalisierbar. Grundschutz++ strukturiert Informationssicherheit als Prozess: 921 Anforderungen in 19 Praktiken, maschinenlesbar im JSON-Format, mit definierten Priorisierungsstufen (0 – 5). Das Ergebnis ist ein Framework, das sich in GRC-Tools importieren und automatisiert prüfen lässt – statt manueller Dokumentenarbeit.
Gilt Grundschutz++ nur für Behörden – oder auch für Unternehmen?
Das Framework ist technisch für alle Organisationen nutzbar. Verpflichtend ist es vor allem für Bundesbehörden und KRITIS-Betreiber. Gleichzeitig gilt es als anerkannter Nachweisrahmen für NIS2 in Deutschland – damit ist es faktisch auch für regulierte Unternehmen in kritischen Sektoren (Energie, Gesundheit, Finanz, Transport) relevant, die NIS2-Compliance belegen müssen.
Was fordert NOT.4.14 genau – und reicht eine logische Netzwerktrennung?
NOT.4.14 definiert eine Offline-Kopie als Datensicherung, die „physisch oder logisch” vom Produktivnetz getrennt ist. Das BSI formuliert die physische Trennung jedoch explizit als eigenständige Option – und sie ist die robustere. Logische Isolation (z.B. per VLAN oder Software-Richtlinie) ist durch kompromittierte Administratoren, Ransomware oder Konfigurationsfehler angreifbar. Eine physische Trennung wie bei Silent Brick Max Air und Silent Brick Pro ist das nicht.
Was ist der Unterschied zwischen Hardware-WORM und Software-WORM?
Software-WORM schützt Daten durch Zugriffsrechte und Richtlinien – das ist konfigurierbar und damit theoretisch umkehrbar (durch Admins, Angriffe oder Softwareupdates). Hardware-WORM verankert die Unveränderlichkeit in der Hardware selbst: Einmal geschriebene Daten lassen sich nicht überschreiben, unabhängig davon, wer auf das System zugreift oder welche Software läuft. Silent Cubes arbeiten mit Hardware-WORM – die Integrität der Daten ist physikalisch gesichert, nicht nur organisatorisch.
Kann ich bestehende Backup-Software wie Veeam oder Commvault mit Silent Bricks einsetzen?
Ja. Silent Bricks integrieren sich über standardisierte Protokolle (S3, SMB, NFS, VTL) in gängige Backup-Lösungen. Veeam, Commvault, Rubrik, Cohesity und andere führende Produkte sind zertifiziert oder qualifiziert unterstützt. Sie behalten Ihre bestehende Backup-Software und gewinnen die physische Air-Gap-Funktionalität hinzu.
Wie verhält sich Grundschutz++ zu NIS2 – muss ich beides separat umsetzen?
Nein. Grundschutz++ ist als Nachweisrahmen für NIS2 in Deutschland konzipiert. Wer die relevanten Grundschutz++-Praktiken umsetzt – insbesondere NOT (Notfallplanung), GC (Governance und Compliance) und REA (Sicherheitsvorfallsbehandlung) – erbringt damit gleichzeitig Nachweise für die entsprechenden NIS2-Anforderungen an Risikomanagement, Business Continuity und Incident Response. Eine Doppeldokumentation ist nicht erforderlich.
Ab wann gilt Grundschutz++, und was ist mit bestehenden Grundschutz-Zertifizierungen?
Grundschutz++ ist seit dem 1. Januar 2026 in Kraft. Das BSI hat eine Übergangsphase kommuniziert: Bestehende IT-Grundschutz-Zertifizierungen behalten vorübergehend ihre Gültigkeit. Neue Vorhaben sollten direkt nach Grundschutz++ aufgesetzt werden. Für konkrete Übergangsfristen und Zertifizierungsfragen ist das BSI die verbindliche Auskunftsstelle.
