Bundesamt für Sicherheit in der Informationstechnik

Was sind Mindeststandards des BSI?

Als nationale Cyber-Sicherheitsbehörde gehört es zu den Kernaufgaben des BSI, Gefahren für die IT des Bundes abzuwehren. Im Rahmen des § 8 Abs. 1 BSIG erarbeitet das BSI Mindeststandards für die Sicherheit der Informationstechnik des Bundes. Die Definition dieser Sicherheitsstandards erfolgt auf Basis der fachlichen Expertise des BSI in der Überzeugung, dass dieses Mindestniveau in der Bundesverwaltung nicht unterschritten werden darf. Durch die Vorgabe von Sicherheitsanforderungen an die Informationstechnik des Bundes kann ein einheitliches Mindestsicherheitsniveau mit effektiven Maßnahmen zur Abwehr von Cyber-Angriffen innerhalb der heterogenen Behördenlandschaft etabliert werden. Mindeststandards können sowohl Vorgaben für technische Komponenten wie Hardware, Software und Netze setzen, als auch für sonstige für die Sicherheit relevante Aspekte mit technischem Bezug, wie zum Beispiel Organisation und Personal.

Für wen gelten die Mindeststandards des BSI?

Der Geltungsbereich von Mindeststandards erstreckt sich über die "Stellen des Bundes". Damit ist die unmittelbare Bundesverwaltung als Zielgruppe adressiert. Zur unmittelbaren Bundesverwaltung zählen neben den Bundesbehörden auch Institutionen, bei denen der Rechtsträger die Bundesrepublik Deutschland ist. Die unmittelbare Bundesverwaltung ist somit für die korrekte Umsetzung und Einhaltung der Mindeststandards verantwortlich.

Können die Mindeststandards des BSI auch außerhalb der Bundesverwaltung angewendet werden?

Die Mindeststandards beschreiben ein Mindestsicherheitsniveau. Zwar ist dieses auf die Bundesverwaltung ausgerichtet, jedoch können die Mindeststandards in vielen Fällen auch in Landesverwaltungen oder der Wirtschaft angewendet werden. Die Sicherheitsanforderungen sind so formuliert, dass diese auch außerhalb der Bundesverwaltung erfüllt werden können. So setzt beispielsweise der Mindeststandard zur Nutzung von externen Cloud-Diensten Sicherheitsanforderungen an die Beschaffungs-, Einsatz- und Beendigungsphase der Cloud-Nutzung. Auch die Anforderungen an beispielsweise ein Mobile Device Management, sichere Web-Browser und eine Lösung zur Schnittstellenkontrolle können andere Zielgruppen bei der Erreichung eines Mindestsicherheitsniveaus unterstützen.

Wie sind die Mindeststandards des BSI einzuordnen?

Der gesetzliche Rahmen der Mindeststandards ergibt sich aus dem BSI-Gesetz. § 8 Abs.1 BSIG besagt, dass das BSI Mindeststandards für die Sicherheit der Informationstechnik des Bundes erarbeitet und zusätzlich die Stellen des Bundes auf Ersuchen bei der Umsetzung und Einhaltung der Mindeststandards berät.

Der strategische Rahmen der Mindeststandards ergibt sich aus der Cyber-Sicherheitstrategie für Deutschland 2016. Die darin festgelegten Handlungsfelder werden durch die Mindeststandards direkt adressiert, indem diese ein Mindestsicherheitsniveau gewährleisten. Die konkreten Vorgaben können dazu beitragen, die identifizierten Maßnahmen wie beispielsweise "Digitalisierung sicher gestalten", "die deutsche IT-Wirtschaft stärken" und "die Bundesverwaltung sichern" erfolgreich umzusetzen.

Der konzeptionelle Rahmen zeigt relevante Regelungen auf, die auf das Instrument Mindeststandards Bezug nehmen. Hierzu zählt der Umsetzungsplan Bund 2017, welcher als Informationssicherheitleitlinie des Bundes ausdrücklich auf die Beachtung der Mindeststandards des BSI verweist. Der Haushaltsauschuss des Deutschen Bundestages hat in seiner 82. Sitzung u.a. beschlossen, dass ein Mindeststandard für die Sicherheit von Rechenzentren des Bundes festzulegen ist. Auch die "Konzeption Zivile Verteidigung" und die "Architekturrichtlinie für die IT des Bundes" nehmen Bezug auf die Mindeststandards und legen fest, dass diese maßgeblich für die IT-Sicherheit in der Bundesverwaltung sind. Insbesondere der konzeptionelle Rahmen verdeutlicht die Bedeutung von Mindeststandards und deren Anwendung in der Bundesverwaltung.

Wie unterscheiden sich die Mindeststandards des BSI von anderen Standards?

Die Mindeststandards des BSI unterscheiden sich in drei wichtigen Aspekten von anderen nationalen und internationalen Standards zur Informationssicherheit:

  1. Zielgruppe: Die primäre Zielgruppe der Mindeststandards ist die unmittelbare Bundesverwaltung.
  2. Sicherheitsanforderungen: Mindeststandards unterscheiden sich durch die Art der Anforderungen von anderen Standards. So beschreiben die Mindeststandards eine Mindestabsicherung, die aus Sicht des BSI nicht unterschritten werden darf. Ziel ist nicht, ein möglichst hohes Maß an Sicherheit zu erreichen, sondern ein einheitliches Mindestniveau, das von allen Stellen des Bundes realisiert werden kann.
  3. Zertifizierung: Die Mindeststandards des BSI stellen keine Zertifizierung, wie beispielsweise die ISO-Reihe oder der IT-Grundschutz, dar. Es ist ein reines Regelungswerk für die Sicherheit in der Informationstechnik des Bundes.

Wie werden Mindeststandards des BSI entwickelt?

Das BSI erarbeitet Mindeststandards nach einer standardisierten Vorgehensweise. In insgesamt sieben Phasen wird der gesamte Lebenszyklus (Life Cycle) eines Mindeststandards beschrieben, von der Ideenfindung bis über die Veröffentlichung hinaus (siehe Abbildung unten). Dabei wird besonderer Wert auf eine breite und aktive Einbindung aller Adressaten gelegt. Grob kann man den Prozess in drei Hauptabschnitte einteilen: die hausinterne Erarbeitung, das externe Konsultationsverfahren und die Nutzungsphase nach Veröffentlichung.

I. Als erstes werden mögliche Themen für neue Mindeststandards identifiziert (Pre-α). Neben der Expertise des BSI sind dazu auch Anregungen der Adressaten eine wichtige Quelle. Wurde ein Thema zur Bearbeitung ausgewählt, erstellen das Referat Mindeststandards und das zuständige Fachreferat eine Grobversion, die dann im gesamten BSI abgestimmt und zum ersten BSI-Entwurf entwickelt wird (α).

II. Danach startet das Konsultationsverfahren (β). Das BSI gibt seinen Entwurf an die Ressorts und veröffentlicht parallel einen Community Draft auf seiner Webseite. So erhalten sowohl die Adressaten, als auch interessiertes Fachpublikum die Möglichkeit, Rückmeldungen zu geben und so ihre Expertise in die Entwicklung des Mindeststandards mit einfließen zu lassen. Nach Ende der β-Phase werden die Rückmeldungen zusammen mit dem Fachreferat eingearbeitet. Der zweite Entwurf des Mindeststandards wird im BSI final abgestimmt und schlussgezeichnet (Release Candidate). Anschließend wird der Mindeststandard sowohl auf der BSI-Webseite veröffentlicht, als auch direkt an die Ressorts zur Umsetzung gegeben (Release).

III. Mit der Veröffentlichung endet der Life Cycle noch nicht. Es folgt die Δ-Phase, zu der neben Support auch das Monitoring gehört. Der Einsatz des Mindeststandards wird analysiert und die Inhalte werden regelmäßig auf Aktualität geprüft. So kann über einen Änderungsantrag die Aktualisierung eines bereits veröffentlichten Mindeststandards eingeleitet werden, z.B. wenn sich technische Rahmenbedingungen geändert haben (Request for Change).

Mindeststandards unterliegen also einem aktiven, fortdauernden Prozess, in dem Rückmeldungen und Kritik ausdrücklich erwünscht sind.

Abbildung der Phasen des Life Cycle bei der Entwicklung von Mindeststandards Mindeststandard Life Cycle Mindeststandard Life Cycle

Wie ist die Nummerierung der einzelnen Anforderungen zu verstehen?

Sicherheitsanforderungen sind durch eine Identifikationsnummer nummeriert und somit referenzierbar. Die Bezeichnung der einzelnen Mindeststandardanforderungen setzt sich zusammen aus: dem Kürzel des jeweiligen Mindeststandards, der Kapitelnummer, der Unterkapitelnummer, sowie der Anforderungsnummer (siehe Abbildung). Diese kann in bestimmten, optionalen Fällen durch Buchstaben in Teil-Anforderungen unterteilt sein.

Dieses Bild zeig generisch den Aufbau der Nummerierung der Anforderungen in den Mindeststandards Bund des BSI Generisches Beispiel einer Identifikationsnummer aus einem Mindeststandard des BSI.

Hinweis: Die vor 2018 veröffentlichten Mindeststandards folgen nicht dem oben beschriebenen Schema. Im Rahmen der nächsten Aktualisierungen werden diese angepasst.

An wen kann ich mich wenden, wenn ich Fragen oder Anregungen zu den Mindeststandards des BSI habe?

Nehmen Sie gerne Kontakt mit uns auf, wenn Sie Fragen oder Anregungen zu den Mindeststandards haben.