Navigation und Service

Änderungsübersicht zum Mindeststandard des BSI zur Protokollierung und Detektion von Cyberangriffen

Hier werden die wesentlichen Änderungen des aktualisierten Mindeststandards gegenüber der jeweiligen Vorgängerversion aufgeführt. Um die Liste übersichtlich zu halten und einen Abgleich zu erleichtern, werden dabei nur größere inhaltliche Änderungen aufgelistet. Strukturelle und sprachliche Anpassungen sowie kleinere Aktualisierungen (z. B. Versionsänderung bei referenzierten Dokumenten) werden daher nicht oder nur zusammengefasst beschrieben.

Version 2.1 vom 11.11.2024

Allgemein

  • Der Titel des Mindeststandards wurde angepasst, aus "Cyber-Angriffe" wurde "Cyberangriffe". Ebenso wurde im gesamten Text diese Schreibweise angepasst. Ein vorangestelltes "Cyber" wird nicht mehr mit Bindestrich abgetrennt.
  • Verweise und Referenzen wurden aktualisiert.

Sicherheitsanforderungen

Anforderung PD.2.1.04 c) "Bestimmung und Einhaltung rechtlicher und vertraglicher Rahmenbedingungen" wurde angepasst:

  • Der Begriff 'konforme Speicherfrist' wurde konkretisiert. In der angepassten Anforderung SOLLTE eine Speicherfrist von bspw. 90 Tagen, je nach Ergebnis der internen Prüfung der rechtlichen und vertraglichen Rahmenbedingungen, eingehalten werden.
  • Die zwingend erforderliche Löschung nach Ablauf der Speicherfrist wurde angepasst. Sicherheitsrelevante Ereignisse (ohne personenbeziehbare Daten) und Ereignisse, die nachweislich einem Cyberangriff zugeordnet wurden, können von dieser Regelung ausgenommen werden.

Version 2.0 vom 29.06.2023

Allgemein

Da der Mindeststandard vollständig und umfangreich überarbeitet wurde, ist eine Auflistung aller Änderungen im Detail weder möglich noch sinnvoll. Daher beschränkt sich die Änderungsübersicht auf die folgenden grundsätzlichen Punkte:

  • Die Sicherheitsanforderungen zur Protokollierung und Detektion wurden überarbeitet und erweitert.
  • Die bislang als Anlage des Mindeststandards enthaltene "Protokollierungsrichtlinie Bund" (PR-B) wurde weitgehend integriert.
  • Das „Rahmendatenschutzkonzept“ (RDSK) wird aufgrund der geänderten Rechtsgrundlage (§§ 5 und 5a BSIG) sowie des Angebotes der datenschutzkonformen, zentralen Protokollierungs- und Detektionsinfrastruktur („Detection as a Service“, DaaS) des BSI nicht länger als Anlage zum Mindeststandard benötigt. Das Dokument steht Ihnen jedoch weiter als Blaupause für ein eigenes Datenschutzkonzept zur Verfügung und dient als Grundlage für weitere Unterstützungsangebote des BSI für datenschutzrechtliche Aspekte im Rahmen der Nutzung von DaaS.