Bundesamt für Sicherheit in der Informationstechnik

Mindeststandard des BSI nach § 8 Abs. 1 Satz 1 BSIG

Das BSI als die nationale Cyber-Sicherheitsbehörde erarbeitet Mindeststandards für die Sicherheit der Informationstechnik des Bundes auf der Grundlage des § 8 Abs. 1 BSIG. Als gesetzliche Vorgabe definieren Mindeststandards ein konkretes Mindestniveau für die Informationssicherheit. Die Definition erfolgt auf Basis der fachlichen Expertise des BSI in der Überzeugung, dass dieses Mindestniveau in der Bundesverwaltung nicht unterschritten werden darf.

IT-Systeme sind in der Regel komplex und in ihren individuellen Anwendungsbereichen durch die unterschiedlichsten (zusätzlichen) Rahmenbedingungen und Anforderungen gekennzeichnet. Daher können sich in der Praxis regelmäßig höhere Anforderungen an die Informationssicherheit ergeben, als in den Mindeststandards beschrieben werden. Aufbauend auf den Mindeststandards sind diese individuellen Anforderungen in der Planung, der Etablierung und im Betrieb der IT-Systeme zusätzlich zu berücksichtigen, um dem jeweiligen Bedarf an Informationssicherheit zu genügen. Die Vorgehensweise dazu beschreiben die IT-Grundschutz-Standards des BSI.

Zur Sicherstellung der Effektivität und Effizienz in der Erstellung und Betreuung von Mindeststandards arbeitet das BSI nach einer standardisierten Vorgehensweise. Zur Qualitätssicherung durchläuft jeder Mindeststandard mehrere Prüfungszyklen einschließlich des Konsultationsverfahrens mit der Bundesverwaltung. Über die Beteiligung bei der Erarbeitung von Mindeststandards hinaus kann sich jede Stelle des Bundes auch bei der Erschließung fachlicher Themenfelder für neue Mindeststandards einbringen oder im Hinblick auf Änderungsbedarf für bestehende Mindeststandards Kontakt mit dem BSI aufnehmen. Einhergehend mit der Erarbeitung von Mindeststandards berät das BSI die Stellen des Bundes auf Ersuchen bei der Umsetzung und Einhaltung der Mindeststandards.

Übersicht Mindeststandards Bund
TitelBeschreibung
Externe Cloud-DiensteFür die Inanspruchnahme von externen Cloud-Diensten hat das BSI mit der Nutzung und Mitnutzung zwei grundsätzliche Anwendungsbereiche identifiziert und für diese zielgerichtete Sicherheitsanforderungen als jeweils eigenständige Mindeststandards veröffentlicht.
HV-Benchmark kompaktIn der Bundesverwaltung wird der HVB-kompakt zur Ermittlung des IT-Sicherheitsniveau von Rechenzentren herangezogen. Dabei handelt es sich um ein Benchmarkverfahren in dem Reifegrade und Potenzialstufen erreicht werden können. Der Mindeststandard legt für die 34 Indikatoren des HVB-kompakt Mindestwerte fest, die bei der Anwendung des HVB-kompakt aus Sicht des BSI mindestens erreicht werden müssen.
Mobile Device ManagementDieser Mindeststandard definiert sowohl technische als auch organisatorische Mindestsicherheitsanforderungen für den sicheren Einsatz von Mobile-Device-Management-Systemen einer Stelle des Bundes.
Protokollierung und DetektionDieser Mindeststandard reguliert die Protokollierung und Detektion von sicherheitsrelevanten Ereignissen in der Kommunikationstechnik des Bundes und setzt dabei insbesondere auf Bausteine aus dem modernisierten IT-Grundschutz.
Schnittstellenkontrollen

Dieser Mindeststandard regelt die Absicherung von Schnittstellen und macht Vorgaben zu Einsatz und Eigenschaften entsprechender Produkte in der Bundesverwaltung.

Hierzu können betriebssystemeigene Lösungen und organisatorische Maßnahmen oder Softwareprodukte von Drittherstellern eingesetzt werden. Wird eine Softwarelösung zur Schnittstellenkontrolle genutzt, gibt dieser Standard Mindestsicherheitsanforderungen vor, die die Bundesverwaltung bei Beschaffung und Betrieb unterstützen.

Sichere Web-BrowserDieser Mindeststandard beschreibt Sicherheitsanforderungen an Web-Browser, die auf Arbeitsplatzrechnern der Bundesverwaltung eingesetzt werden. Diese Anforderungen sind zum Erreichen eines Mindestmaßes an Informationssicherheit einzuhalten.
SSL/TLS-ProtokollDieser Mindeststandard beinhaltet Mindestsicherheitsanforderungen für den Einsatz des SSL/TLS-Protokolls in der öffentlichen Verwaltung. Er macht Vorgaben für die Sicherstellung von Vertraulichkeit, Authentizität und Integrität bei der Übertragung von Daten in unsicheren Netzen.

Haben Sie Fragen oder Anregungen zum Thema Mindeststandards? Dann nehmen Sie gerne mit uns Kontakt auf.