Navigation und Service

BSI - Bundesamt für Sicherheit in der Informationstechnik (Link zur Startseite)

Änderungsübersicht zum Mindeststandard des BSI zum HV-Benchmark kompakt

Hier werden die wesentlichen Änderungen des aktualisierten Mindeststandards gegenüber der jeweiligen Vorgängerversion aufgeführt. Um die Liste übersichtlich zu halten und einen Abgleich zu erleichtern, werden dabei nur größere inhaltliche Änderungen aufgelistet. Strukturelle und sprachliche Anpassungen sowie kleinere Aktualisierungen (z. B. Versionsänderung bei referenzierten Dokumenten) werden daher nicht oder nur zusammengefasst beschrieben.

Version 2.0 vom 29.11.2023

Allgemein

  • Änderung des Titels
  • Präzisierung der Beschreibung inkl. Hintergründe des Mindeststandards
  • Aktualisierung der Änderungshistorie
  • Neues standardisiertes Vorwort

  • Änderung des strukturellen Aufbaus

    • Folgende Unterkapitel zum bestehenden Kapitel 1 Beschreibung hinzugefügt:

      • „1.1 Einleitung und Abgrenzung“ (vorher 1.1 Zielgruppe des Mindeststandards)
      • „1.1.1 Rechenzentrum“ (vorher 1.2.1 Rechenzentrum)
      • „1.1.2 Domänen und Indikatoren“ (vorher 1.2.2 Domänen und Indikatoren)
      • „1.2 Modalverben in Anlehnung an den IT-Grundschutz“ (neu)

    • Umbenennung „Kapitel 2 Sicherheitsanforderungen (Mindestwerte)“ (vorher Mindestwerte)

      • Nummerierung der Sicherheitsanforderungen neu hinzugefügt
        Sicherheitsanforderungen sind durch eine Identifikationsnummer nummeriert und somit einfacher referenzierbar.
  • Aktualisierung von Verweisen
  • Anpassung/Aktualisierung des Literatur- und Abkürzungsverzeichnisses
  • Neue Anlage "Sollwertermittlung" aufgenommen

Sicherheitsanforderungen

  • Anhebung der Mindestwerte mit einer Orientierung nicht mehr am Niveau der Basis-Absicherung, sondern am Niveau der Standard-Absicherung nach IT-Grundschutz

    • UP Bund 2017 fordert die Absicherung auf Standard-Niveau; der Mindeststandard HV-Benchmark in der Version 1.1 orientierte sich am Niveau der Basis-Absicherung nach IT-Grundschutz.
    • Maßgabebeschluss des Haushaltsausschusses des deutschen Bundestages vom 10.11.2022 (Ausschussdrucksache Nr. 20(8)2851) fordert, die Mindestwerte im HV-Benchmark kompakt auf Niveau der Standard-Absicherung nach IT-Grundschutz anzuheben.
  • Änderung der Indikatorbezeichnung (aus B.b.x wird I.x) in den Tabellen, da diese Nomenklatur auch im HVB kompakt angepasst worden ist..

Anlagen zum MST-HVB-kompakt:

Anlage 1: HVB-kompakt

  • Zahlreiche redaktionelle Änderungen und einige inhaltliche Änderungen
  • Die einzige substanzielle Anpassung bei den Indikatorstufen erfolgte beim Indikator 29 (Schutz gegen Einbruch und Sabotage). Hier ist die technische Anforderung „RC4“ von Stufe 3 nach Stufe 4 verschoben worden. Dadurch ist die technische Anforderung „EMA“ auf Stufe 3, dem neuen Mindestwert verblieben. Eine EMA gehört zur Standard-Absicherung nach IT-Grundschutz, RC4 hingegen nicht.
  • Die Rückwärtskompatibiliät zu früheren Versionen des HV-Benchmark kompakt ist weitgehend erhalten geblieben, um die Vergleichbarkeit der Ergebnisse zwischen aktuellen und zurückliegenden RZ-Sicherheitsanalysen in der Bundesverwaltung weitgehend erhalten zu können.

  • Überschriften

    • Aus B.b.x wird I.x, um eine Verwechselungsgefahr der Indikatoren der Kompaktversion des HV-Benchmark mit denen der (noch zu veröffentlichen) Vollversion zu vermeiden.
  • Entfernung des Bezugs zum HV-Kompendium, da ein Großteil der Bände in vielen Teilen nicht mehr dem Stand der Technik entsprach und deshalb zurückgezogen wurde.

Anlage 2: Sollwertermittlung

  • Neu

Version 1.1 vom 19.06.2018

Allgemein

Der Mindeststandard des BSI zur Anwendung des HV-Benchmark kompakt 3.01 wurde am 26.05.2017 in der Version 1.0 veröffentlicht. Er legt Mindestwerte fest, die Rechenzentren des Bundes bei der Anwendung des HV-Benchmark kompakt (HVB-kompakt) 3.0 erreichen müssen, um ein einheitliches Sicherheitsniveau zu erreichen.
Im Februar 2018 wurde der HVB-kompakt auf die Version 4.0 aktualisiert. Aus diesem Anlass wurde auch eine angepasste Version des entsprechenden Mindeststandards veröffentlicht (Version 1.1)2. Um die Anwendung zu erleichtern, stellt die vorliegende Übersicht dar, an welchen Stellen sich im HVB-kompakt Änderungen von der Version 3.0 zur Version 4.0 ergeben haben (rein formale Änderungen werden nicht aufgeführt)

Sicherheitsanforderungen

Die vom Mindeststandard geforderten Reifegrade und Potenzialstufen haben sich nicht verändert. Bei der Aktualisierung des HVB-kompakt wurden jedoch teilweise die entsprechenden Fragen zur Stufenbestimmung angepasst. Daraus ergeben sich auch Anpassungen für die Umsetzung des Mindeststandards. Im Folgenden werden daher die aktualisierten Stellen aufgeführt.

B.b.4 Einhaltung rechtlicher und organisatorischer Vorgaben durch das Personal

  • Mindestwert: Stufe 2
  • Folgende Frage (ursprünglich zu Stufe 3) wurde in Stufe 2 aufgenommen, wodurch sich eine weitere
    Anforderung zur Erfüllung des Mindeststandards ergibt:
    Erfolgt anlassabhängig (z. B. bei Änderung von Gesetzen, Vorschriften und Regelungen) eine Neuverpflichtung der betroffenen Mitarbeiter? Sind auch hierfür die entsprechenden Prozesse dokumentiert, kommuniziert und umgesetzt?
  • Für Maßnahmen, die über den Mindeststandard hinausgehen, ist zu beachten, dass zusätzlich Stufe 4 geändert wurde.

B.b.5 Infrastruktur, Grundlagen und Planung

  • Mindestwert: Stufe 1
  • Der Indikator (ursprünglich aus der Domäne IT-Steuerung) wurde der Domäne Management zugeordnet. Hieraus ergeben sich keine inhaltlichen Änderungen zur Erfüllung des Mindeststandards.
  • Für Maßnahmen, die über den Mindeststandard hinausgehen, ist zu beachten, dass zusätzlich Stufen 2 und 3 geändert wurden.

B.b.6 Availability Management

  • Mindestwert: Stufe 1
  • Für Maßnahmen, die über den Mindeststandard hinausgehen, ist zu beachten, dass Stufe 3 geändert wurde.

B.b.13 IT-Sicherheitskonzepte: Sichere Datenlöschung und Aussonderung

  • Mindestwert: Stufe 1
  • Für Maßnahmen, die über den Mindeststandard hinausgehen, ist zu beachten, dass Stufen 2, 3 und 5
    geändert wurde.

B.b.15 Incident Management: Sicherheitsvorfallbehandlung

  • Mindestwert: Stufe 2

  • Folgende Frage wurde in Stufe 1 aufgenommen, wodurch sich eine weitere Anforderung zur Erfüllung des
    Mindeststandards ergibt:

    • Wird den erfassten und dokumentierten Sicherheitsvorfällen in geeigneter Weise
      nachgegangen?

B.b.16 Patch- und Releasemanagement (Software)

  • Mindestwert: Stufe 2

  • Folgende Begriffe (fett gedruckt) wurden in Stufen 1 bzw. 2 ergänzt, wodurch sich eine Anpassung der
    Anforderung zur Erfüllung des Mindeststandards ergibt:

    • Werden alle Patches, Updates und Releases von mindestens einem Verantwortlichen
      entsprechend der Sicherheitsvorgaben identifiziert, gesteuert und kontrolliert?
    • Werden Patches oder Updates mit hoher Priorität (Notfall-Changes, z. B. sicherheitsrelevante
      Patches, die eine kritische Sicherheitslücke schließen) vorrangig bearbeitet? Ist dies im Prozess
      eindeutig definiert und wird dies dokumentiert?
  • Für Maßnahmen, die über den Mindeststandard hinausgehen, ist zu beachten, dass zusätzlich Stufe 4
    geändert wurde.

B.b.17 Trennung von Entwicklungs-, Test- und Produktionsumgebungen

  • Mindestwert: Stufe 1

  • Folgende Begriffe (fett gedruckt) wurden in Stufe 1 ergänzt, wodurch sich eine Anpassung der Anforderung
    zur Erfüllung des Mindeststandards ergibt:

    • Werden separate (vom Produktionsbetrieb – mindestens virtuell – getrennte) Systeme für Tests
      von Patches, Updates, Releases, Konfigurationsänderungen etc. einerseits und die Entwicklung
      andererseits eingesetzt?
  • Für Maßnahmen, die über den Mindeststandard hinausgehen, ist zu beachten, dass zusätzlich Stufe 2
    geändert wurde.
  • B.b.18 Ausfallsicherheit / Redundanzkonzept
  • Mindestwert: Stufe 1

  • Folgende Frage wurde in Stufe 1 aufgenommen, wodurch sich eine weitere Anforderung zur Erfüllung des
    Mindeststandards ergibt:

    • Befinden sich die für die Erbringung der IT-Services erforderlichen Infrastrukturen, IT- und
      Kern-Netzwerkkomponenten, an einem Standort in mindestens einem eigenen räumlich
      getrennten Bereich? (Sind diese beispielsweise räumlich getrennt von normalen Büroflächen?)

B.b.21 Ausgestaltung der WAN-Anbindung zwischen den IT-Standorten

  • Mindestwert: Stufe 1
  • Für Maßnahmen, die über den Mindeststandard hinausgehen, ist zu beachten, dass Stufe 3 geändert wurde.

B.b.24 Datensicherheit der Speicher

  • Mindestwert: Stufe 1
  • Für Maßnahmen, die über den Mindeststandard hinausgehen, ist zu beachten, dass Stufe 4 geändert wurde.

B.b.25 Datenreplikation und -sicherung

  • Mindestwert: Stufe 1
  • Für Maßnahmen, die über den Mindeststandard hinausgehen, ist zu beachten, dass Stufe 2 geändert wurde.

B.b.26 Energieversorgung: Unterbrechungsfreie Stromversorgung

  • Mindestwert: Stufe 2

  • Folgender Hinweis wurde in Stufe 1 ergänzt:

    • Hinweis: Kritische Komponenten sind mindestens solche, die bei einem ungepufferten
      Stromausfall einen Schaden (inkl. Datenverlust) erleiden können.
  • Für Maßnahmen, die über den Mindeststandard hinausgehen, ist zu beachten, dass zusätzlich Stufe 5
    geändert wurde.

B.b.29 Gebäudesicherheit: Schutz gegen Einbruch und Sabotage

  • Mindestwert: Stufe 1
  • Für Maßnahmen, die über den Mindeststandard hinausgehen, ist zu beachten, dass Stufen 2 und 4 geändert
    wurden.

B.b.30 Gebäudesicherheit: Technische / bauliche Maßnahmen zum Zutrittsschutz

  • Mindestwert: Stufe 1
  • Für Maßnahmen, die über den Mindeststandard hinausgehen, ist zu beachten, dass Stufe 2 geändert wurde.

B.b.34 Monitoring der IT-Komponenten und –Dienste auf Verfügbarkeit

  • Für Maßnahmen, die über den Mindeststandard hinausgehen, ist zu beachten, dass Stufen 3 und 4 geändert
    wurden.
Kurz-URL:
https://www.bsi.bund.de/dok/MST-HV-Benchmark-Log