Bundesamt für Sicherheit in der Informationstechnik

Mindeststandard des BSI nach § 8 Abs. 1 Satz 1 BSIG

§ 8 Absatz 1 BSIG regelt die Befugnis des BSI, allgemeine technische Mindeststandards für die Sicherung der Informationstechnik des Bundes vorzugeben. Der Mindeststandard beschreibt die zu erfüllenden sicherheitstechnischen Anforderungen an eine Produkt- bzw. Dienstleistungskategorie oder Methoden, um eine angemessene Sicherheit für einen Mindestschutz gegen IT-Sicherheitsbedrohungen zu erreichen.

Das Bundesministerium des Innern kann nach Zustimmung des IT-Rats die dort formulierten Anforderungen ganz oder teilweise als allgemeine Verwaltungsvorschrift erlassen und dadurch für die Bundesverwaltung für verbindlich erklären, vgl. § 8 Absatz 1 Satz 2 BSIG. Darüber hinaus kann der IT-Planungsrat Mindeststandards als gemeinsame Standards für den zur Aufgabenerfüllung zwischen dem Bund und den Ländern notwendigen Datenaustausch festlegen.

Über die Bundesverwaltung hinaus sind Mindeststandards nach § 8 Absatz 1 BSIG damit von grundsätzlicher Bedeutung für den Einsatz von Informationstechnik auch in der öffentlichen Verwaltung der Länder und Kommunen, zur Sicherung kritischer Infrastrukturen und der Privatwirtschaft. Ziele, Anforderungen und Empfehlungen von Mindeststandards können dazu genutzt werden, eigene Sicherheitsanforderungen anzupassen oder zu überprüfen, auch bei der Erstellung von Leistungsbeschreibungen im Rahmen eigener Vergabeverfahren. Hersteller von Informationstechnik und IT-Dienstleister können Mindeststandards dazu nutzen, ihre angebotenen Produkte sicherer zu machen.

Das BSI setzt diesen gesetzlichen Auftrag um und entwickelt fortlaufend Mindeststandards im gesamten Spektrum der Informationssicherheit. Die nachstehende Tabelle gibt einen Überblick über die aktuelle Mindeststandardthemen inklusive des jeweiligen Status.

Auf den referenzierten Unterseiten finden sie zusätzliche Informationen und Entwürfe zum jeweiligen Mindeststandard.

Übersicht Mindeststandards
TitelBeschreibungStatus
Einsatz des SSL/TLS-Protokolls durch BundesbehördenDieser Mindeststandard macht Vorgaben für die Sicherstellung von Vertraulichkeit, Authentizität und Integrität bei der Übertragung von Daten in unsicheren Netzen. mehrveröffentlicht
Schnittstellenkontrollen

Dieser Mindeststandard regelt die Absicherung von Schnittstellen und macht Vorgaben zu Einsatz und Eigenschaften entsprechender Produkte in der Bundesverwaltung.

Hierzu können betriebssystemeigene Lösungen und organisatorische Maßnahmen oder Softwareprodukte von Drittherstellern eingesetzt werden. Wird eine Softwarelösung zur Schnittstellenkontrolle genutzt, gibt dieser Standard Mindestsicherheitsanforderungen vor, die die Bundesverwaltung bei Beschaffung und Betrieb unterstützen. mehr

veröffentlicht

Standardisierte Vorgehensweise

Mindeststandards werden anhand einer standardisierten Vorgehensweise erstellt. Diese besteht grundsätzlich aus drei Phasen, in denen insbesondere auf eine breite und aktive Einbindung der Adressaten gesetzt wird.

In der ersten Phase findet die Ideenfindung statt. Hier werden geeignete Themen identifiziert und mit den fachlich zuständigen Referaten im BSI abgesprochen. Die Phase endet mit einem ersten BSI-internen Grobentwurf und der Unterrichtung der Abteilungs- und Fachbereichsleitung.

In der zweiten Phase wird dieser Grobentwurf konkretisiert und in die Fachreferate gegeben. Die Rückmeldungen fließen in den BSI-Entwurf ein, der dann zur Konsultation an die Ressorts gegeben wird. Auf Basis der Rückmeldungen aus der Ressortkonsultation wird ein dritter Entwurf erstellt und wiederum in die Abstimmung mit den beteiligten Fachreferaten gegeben.

Die dritte Phase leitet den Veröffentlichungsprozess ein. Nach Konsultation und Auswertung aller Rückmeldungen erfolgt die offizielle Hausmitzeichnung mit dem Ziel den Mindeststandard zu veröffentlichen.

Sofern der Mindeststandard zur verbindlichen Verwaltungsvorschrift erklärt werden soll, wird das Fachreferat im Bundesministerium des Innern rechtzeitig in den Prozess mit eingebunden. Über das Bundesministerium des Innern erfolgt auch die gesetzlich garantierte Beteiligung des IT-Rates des Bundes.

Alle Mindeststandards werden turnusmäßig hinsichtlich technischer Entwicklungen und Aktualität überprüft. Durch regelmäßige Aktualisierungen unterliegen Mindeststandards daher einen aktiven fortdauernden Prozess, in dem Rückmeldungen und Kritik ausdrücklich erwünscht sind.

Haben Sie Fragen oder Anregungen zum Thema Mindeststandards? Dann nehmen Sie gerne mit uns Kontakt auf.