Bundesamt für Sicherheit in der Informationstechnik

Mindeststandard des BSI nach § 8 Abs. 1 Satz 1 BSIG

Das BSI als die nationale Cyber-Sicherheitsbehörde erarbeitet Mindeststandards für die Sicherheit der Informationstechnik des Bundes auf der Grundlage des § 8 Abs. 1 BSIG. Als gesetzliche Vorgabe definieren Mindeststandards ein konkretes Mindestniveau für die Informationssicherheit. Die Definition erfolgt auf Basis der fachlichen Expertise des BSI in der Überzeugung, dass dieses Mindestniveau in der Bundesverwaltung nicht unterschritten werden darf.

IT-Systeme sind in der Regel komplex und in ihren individuellen Anwendungsbereichen durch die unterschiedlichsten (zusätzlichen) Rahmenbedingungen und Anforderungen gekennzeichnet. Daher können sich in der Praxis regelmäßig höhere Anforderungen an die Informationssicherheit ergeben, als sie in den Mindeststandards beschrieben werden. Aufbauend auf den Mindeststandards sind diese individuellen Anforderungen in der Planung, der Etablierung und im Betrieb der IT-Systeme zusätzlich zu berücksichtigen, um dem jeweiligen Bedarf an Informationssicherheit zu genügen. Die Vorgehensweise dazu beschreiben die IT-Grundschutz-Standards des BSI.

Zur Sicherstellung der Effektivität und Effizienz in der Erstellung und Betreuung von Mindeststandards arbeitet das BSI nach einer standardisierten Vorgehensweise. Zur Qualitätssicherung durchläuft jeder Mindeststandard mehrere Prüfungszyklen einschließlich des Konsultationsverfahrens mit der Bundesverwaltung . Über die Beteiligung bei der Erarbeitung von Mindeststandards hinaus kann sich jede Stelle des Bundes auch bei der Erschließung fachlicher Themenfelder für neue Mindeststandards einbringen oder im Hinblick auf Änderungsbedarf für bestehende Mindeststandards Kontakt mit dem BSI aufnehmen. Einhergehend mit der Erarbeitung von Mindeststandards berät das BSI die Stellen des Bundes auf Ersuchen bei der Umsetzung und Einhaltung der Mindeststandards.

Übersicht Mindeststandards
TitelBeschreibung
Einsatz des SSL/TLS-Protokolls durch BundesbehördenDieser Mindeststandard macht Vorgaben für die Sicherstellung von Vertraulichkeit, Authentizität und Integrität bei der Übertragung von Daten in unsicheren Netzen.
Schnittstellenkontrollen

Dieser Mindeststandard regelt die Absicherung von Schnittstellen und macht Vorgaben zu Einsatz und Eigenschaften entsprechender Produkte in der Bundesverwaltung.

Hierzu können betriebssystemeigene Lösungen und organisatorische Maßnahmen oder Softwareprodukte von Drittherstellern eingesetzt werden. Wird eine Softwarelösung zur Schnittstellenkontrolle genutzt, gibt dieser Standard Mindestsicherheitsanforderungen vor, die die Bundesverwaltung bei Beschaffung und Betrieb unterstützen.

Sichere Web-BrowserDieser Mindeststandard beschreibt Sicherheitsanforderungen an Web-Browser, die auf Arbeitsplatzrechnern der Bundesverwaltung eingesetzt werden. Diese Anforderungen sind zum Erreichen eines Mindestmaßes an Informationssicherheit einzuhalten.
Nutzung externer Cloud-DiensteDieser Mindeststandard stellt sicher, dass Risiken im Zusammenhang mit der Nutzung von Cloud-Diensten der IT-Wirtschaft identifiziert, bewertet, behandelt werden und für den Cloud-Kunden beherrschbar bleiben.
Mobile Device ManagementDieser Mindeststandard definiert sowohl technische als auch organisatorische Mindestsicherheitsanforderungen für den sicheren Einsatz von Mobile-Device-Management-Systemen einer Stelle des Bundes.
HV-Benchmark kompaktIn der Bundesverwaltung wird der HVB-kompakt zur Ermittlung des IT-Sicherheitsniveau von Rechenzentren herangezogen. Dabei handelt es sich um ein Benchmarkverfahren in dem Reifegrade und Potenzialstufen erreicht werden können. Der Mindeststandard legt für die 34 Indikatoren des HVB-kompakt Mindestwerte fest, die bei der Anwendung des HVB-kompakt aus Sicht des BSI mindestens erreicht werden müssen.

Haben Sie Fragen oder Anregungen zum Thema Mindeststandards? Dann nehmen Sie gerne mit uns Kontakt auf.