Durch einen Kabinettsbeschluss hat die Bundesregierung 2015 die Konsolidierung der IT der Bundesverwaltung initiiert. Bündelung und Standardisierung ermöglichen die Nutzung von Synergie- und Skalierungseffekten. Ein wesentliches Ziel ist dabei u.a. die Informationssicherheit vor dem Hintergrund der steigenden Komplexität zu gewährleisten. Dies betrifft rund 168 Bundesbehörden und wirkt sich auf bis zu 276.000 Beschäftigte der unmittelbaren Bundesverwaltung aus.

Das Projekt IT-Konsolidierung Bund (ITKB) gliedert sich in die Teilprojekte IT-Betriebskonsolidierung Bund (BKB) und Dienstekonsolidierung (DK). Innerhalb der BKB und der DK werden IT-Lösungen zentral entwickelt. Die zentralen Dienstleister der ITKB sind das Informationstechnikzentrum Bund (ITZBund) und die Bundesanstalt für den Digitalfunk der Behörden und Organisationen (BDBOS). Während das ITZBund die BKB und DK operativ umsetzt, ist die BDBOS als zentraler Netzdienstleister für die Netze des Bundes zuständig.

Im Rahmen der ITKB unterstützt das BSI sowohl die Teilprojekte insgesamt als auch einzelne Maßnahmen bezüglich der Informationssicherheit.

Informationssicherheitsmanagementsystem IT-Konsolidierung Bund

Im Rahmen der operativen Umsetzung der ITKB ist es erforderlich, dass die Informationssicherheitsmanagementsysteme (ISMS) der beteiligten Institutionen der ITKB (Projektleitungen BKB und DK, Dienstleister und Kundeneinrichtungen) in geeigneter Form kooperieren, um ein angemessenes Informationssicherheitsniveau zu gewährleisten. Aus diesem Grund fordert der Umsetzungsplan Bund 2017 (UP Bund 2017) als Leitlinie für die Informationssicherheit in der Bundesverwaltung in einer „Richtlinie zur Informationssicherheit der IT-Konsolidierung des Bundes“ (ISR ITKB) die grundsätzlichen Rahmenbedingungen an die Informationssicherheit hinsichtlich der ITKB weiter zu konkretisieren. Die ISR ITKB soll insbesondere die geeignete Kooperation der ISMS der Dienstleister und der Kundeneinrichtungen der ITKB sicherstellen.

Basierend auf der am 27. Februar 2023 durch das CIO Board beschlossenen ISR ITKB in der Version 2.0 wurden in einem Mindeststandard nach § 8 BSIG detaillierte Rechte und Pflichten der Institutionen der ITKB bezüglich der Informationssicherheit festgelegt. Dieses Regelungsdokument für das Informationssicherheitsmanagementsystem in der IT-Konsolidierung Bund als Mindeststandard (MST ISMS ITKB) gemäß Vorgabe nach § 8 Absatz 1 Satz 1 BSIG wurde mit den Dienstleistern und Kundeneinrichtungen der ITKB gemeinsam erstellt und in den zuständigen Gremien abgestimmt. Am 17. Oktober 2024 wurde der MST durch die Staatssekretäre des BMI und BMF im Lenkungsausschuss IT-Konsolidierung (LA ITK) beschlossen und anschließend durch das BSI veröffentlicht. Der MST beinhaltet folgende Regelungsbereiche:

• Einheitliche Schutzbedarfskategorien,
• Kommunikation der Ergebnisse von Sicherheitskonzepten,
• Befugnisse der Dienstleister,
• Risikomanagement und Risikotransparenz,
• Prüfung / Nachweispflichten in der ITKB,
• Vorfallsmanagement,
• Schwachstellenmanagement,
• Schnittstellen im ISMS ITKB,
• Leistungsbeziehung in der ITKB

Informationssicherheitsbeauftragter IT-Konsolidierung Bund

Der ISB ITKB wird vom BSI gestellt und vom LA ITK bestellt. Er hat die Federführung für die Umsetzung und Weiterentwicklung des ISMS ITKB inklusive der Fortschreibung der ISR ITKB, des MST ISMS ITKB sowie der Erstellung von Vorgaben zur Informationssicherheit in der ITKB.

Dokumente und Formulare

ISR ITKB und MST ISMS ITKB

Die Grundlagen für ein einheitliches Informationssicherheitsniveau in der ITKB bildet die ISR ITKB 2.0 sowie der darauf aufbauende MST ISMS ITKB, welcher die Regelungen verbindlich für die Institutionen der ITKB festschreibt.

Benutzerdefinierter IT-Grundschutz Baustein „Leistungsbeziehung in der IT-Konsolidierung Bund“

Im Rahmen der ITKB handelt es sich bei der Leistungsbeziehung zwischen den Kundeneinrichtungen und den Dienstleistern der ITKB nicht um ein klassisches Outsourcing-Verhältnis. Daher ist der benutzerdefinierte Baustein „OPS.bd.3.1, Leistungsbeziehung in der IT-Konsolidierung Bund“ für Leistungen der ITKB anzuwenden.

Handreichung zur Identifikation potentieller Verbundrisiken

Die Handreichung ist eine Ergänzung zum MST ISMS ITKB mit der die Institutionen der ITKB – besonders Kundenbehörden - bei der Identifikation und Meldung potentieller Verbundrisiken unterstützt werden.

Die Handreichung ist im internen Bereich des Bundes der BSI-Webseite verfügbar.

Single Point of Contact für das ISMS ITKB

Im Rahmen des ISMS ITKB stellen die Institutionen der ITKB jeweils einen Single Point of Contact (SPOC) bereit. Über diese SPOC erfolgt die Kommunikation (siehe MST ISMS ITKB). Für die Meldung des SPOC ist das bereitgestellte Formular zu nutzen.

Eine Kontaktliste der gemeldeten SPOC ist im internen Bereich des Bundes der BSI-Webseite verfügbar.