Mindeststandards (BSI)

Mindeststandards des Bundesamtes für Sicherheit in der Informationstechnik
Dies ist die gesichtete Version, die am 12. Dezember 2021 markiert wurde. Es existiert 1 ausstehende Änderung, die noch gesichtet werden muss.

Mindeststandards des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sind Sicherheitsstandards für die Informationstechnik der deutschen Bundesverwaltung. Die Mindeststandards stellen jeweils Sicherheitsanforderungen zu einzelnen Themenbereichen auf. Ihr Ziel ist es, so ein einheitliches Mindestniveau für die IT-Sicherheit des Bundes zu etablieren. Die Vorgehensweise zur Berücksichtigung höherer Anforderungen an IT-Systeme beschreiben die IT-Grundschutz-Standards des BSI.[1]

Die Erstellung der Mindeststandards wird im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) § 8 Abs. 1 geregelt.[2] Sie gelten für die Bundesverwaltung.

Hintergrund

Bearbeiten

Die Mindeststandards des BSI werden auf Grundlage des § 8 Abs. 1 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) erarbeitet. Der Gesetzestext besagt:

„Das Bundesamt legt im Benehmen mit den Ressorts Mindeststandards für die Sicherheit der Informationstechnik des Bundes fest, die von

  1. Stellen des Bundes,
  2. Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie ihren Vereinigungen ungeachtet ihrer Rechtsform auf Bundesebene, soweit von der jeweils zuständigen obersten Bundesbehörde angeordnet, sowie
  3. öffentlichen Unternehmen, die mehrheitlich im Eigentum des Bundes stehen und die IT-Dienstleistungen für die Bundesverwaltung erbringen,

umzusetzen sind. Abweichungen von den Mindeststandards sind nur in sachlich gerechtfertigten Fällen zulässig und sind zu dokumentieren und zu begründen. Das Bundesamt berät die in Satz 1 genannten Stellen auf Ersuchen bei der Umsetzung und Einhaltung der Mindeststandards. Für die in § 2 Absatz 3 Satz 2 genannten Gerichte und Verfassungsorgane haben die Vorschriften nach Satz 1 empfehlenden Charakter. Für die Verpflichtung nach Satz 1 gilt die Ausnahme nach § 4a Absatz 6 entsprechend.“[3]

Über die gesetzliche Grundlage hinaus, verweisen weitere strategische und konzeptionelle Beschlüsse und Strategien der Bundesregierung auf die Mindeststandards des BSI. Der Umsetzungsplan Bund 2017, als Informationssicherheitsleitlinie des Bundes, fordert die Einhaltung der aus den „Mindeststandards resultierenden Anforderungen an die Informationstechnik“. Er gibt außerdem vor, dass Mindeststandards zur Konkretisierung der im IT-Grundschutz beschriebenen Standardabsicherung, zu den Informationssicherheitsanforderungen zum Anschluss an die Netze des Bundes (Nutzerpflichten) und Mindeststandards zur Protokollierung und Detektion von Cyber-Angriffen zu erarbeiten sind.[4] Die Architekturrichtlinie zur IT des Bundes fordert die Umsetzung der Mindeststandards zu den Themen Cloud-Computing und Protokollierung und Detektion von Cyber-Angriffen.[5] Der Haushaltsausschuss des Deutschen Bundestages hat in seiner 82. Sitzung u. a. beschlossen, dass ein Mindeststandard für die Sicherheit von Rechenzentren des Bundes festzulegen ist. Auch die Konzeption Zivile Verteidigung erwähnt die Mindeststandards des BSI und beschreibt sie als „maßgeblich“ für die IT-Sicherheit in der Bundesverwaltung.[6]

Standardisierte Vorgehensweise

Bearbeiten

Die Mindeststandards des BSI werden durch das Referat Mindeststandards Bund erarbeitet.[7] Die Erarbeitung erfolgt anhand eines standardisierten Prozesses. Dieser besteht aus sieben Phasen:[8]

  • Pre-Alpha (Pre-α): Identifizierung möglicher Themen
  • Alpha (α): Erstellung und Abstimmung eines ersten Entwurfs durch das BSI
  • Beta (β): Konsultationsverfahren, bei dem das BSI externe Rückmeldungen von den Ressorts der Bundesministerien und interessiertem Fachpublikum einholt
  • Release Candidate (RC): Einarbeitung der Rückmeldungen und Finalisierung des Mindeststandards im BSI
  • Release: Veröffentlichung
  • Delta (Δ): Support und Monitoring während der Betriebsphase des Mindeststandards
  • Request for Change (RfC): Änderung oder Aktualisierung eines veröffentlichten Mindeststandards

Veröffentlichte Mindeststandards

Bearbeiten

Das BSI hat Mindeststandards zu den folgenden Themen veröffentlicht:

  • Anwendung des HV-Benchmark kompakt[9]
  • Mobile Device Management[10]
  • Nutzerpflichten Netze des Bundes[11]
  • Nutzung externer Cloud-Dienste[12]
  • Protokollierung und Detektion von Cyber-Angriffen[13]
  • Schnittstellenkontrollen[14]
  • Verwendung des TLS-Protokolls[15]
  • Videokonferenzdienste[16]
  • Web-Browser[17]
Bearbeiten

Einzelnachweise

Bearbeiten
  1. Mindeststandards Bund des BSI
  2. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik
  3. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik
  4. Umsetzungsplan Bund 2017
  5. Architekturrichtlinie zur IT des Bundes (PDF; 3,4 MB)
  6. Konzeption Zivile Verteidigung (PDF; 726 kB)
  7. Organisationsplan des BSI (PDF-Datei)
  8. FAQ - Wie werden Mindeststandards des BSI entwickelt
  9. Mindeststandard des BSI für die Anwendung des HV-Benchmark kompakt
  10. Mindeststandard des BSI für Mobile Device Management
  11. Mindeststandard des BSI zur Nutzung der ressortübergreifenden Kommunikationsnetze des Bundes („Nutzerpflichten NdB“)
  12. Mindeststandard des BSI zur Nutzung und Mitnutzung externer Cloud-Dienste
  13. Protokollierung und Detektion von Cyber-Angriffen
  14. Mindeststandard des BSI für Schnittstellenkontrollen
  15. Mindeststandard des BSI zur Verwendung von Transport Layer Security (TLS)
  16. Mindeststandard des BSI für Videokonferenzdienste
  17. Mindeststandard des BSI für Web-Browser