now.digital | mind the data
IT-Security Consulting

IT-Security Consulting

IT-Security Consulting unterstützt Unternehmen seine IT-Systeme, Netzwerke und Daten einer Organisation vor Cyberbedrohungen zu schützen. Dies kann eine Vielzahl von Aufgaben umfassen, wie zum Beispiel:

  • Risikoanalyse: Identifizieren von potenziellen Schwachstellen und Bedrohungen für die IT-Systeme und Daten der Organisation und Beurteilung des möglichen Auswirkungen eines Sicherheitsvorfalls.
  • Entwicklung von Sicherheitsstrategien: Erstellung einer umfassenden Sicherheitsstrategie, die Richtlinien, Verfahren und Kontrollen enthält, um identifizierte Risiken abzuschwächen und vor Cyberbedrohungen zu schützen.
  • Einhaltung von Vorschriften: Sicherstellen, dass die IT-Systeme und Sicherheitspraktiken der Organisation den relevanten Vorschriften und Branchenstandards entsprechen.
  • Penetrationstest: Simulation von Cyberangriffen auf die IT-Systeme der Organisation, um Schwachstellen zu identifizieren und die Wirksamkeit von Sicherheitskontrollen zu testen.
  • Notfallplanung: Erstellung von Plänen und Verfahren für die Reaktion und Wiederherstellung im Falle eines Sicherheitsvorfalls.
  • Schulung und Sensibilisierung: Bereitstellung von Mitarbeitern mit den erforderlichen Kenntnissen und Fähigkeiten, um Cyberbedrohungen zu erkennen und darauf zu reagieren sowie um die Daten und Systeme der Organisation zu schützen.

Mit unserer Expertise über IT-Sicherheit und Cyberbedrohungen bieten wir Organisationen die notwendige Unterstützung und Anleitung, um ihre Systeme und Daten vor Angriffen zu schützen. Eine Kerndisziplin ist die Umsetzung des BSI IT-Grundschutz.

IT-Security

Beratung und Umsetzung eines BSI IT-Grundschutz (B/S/H)

Wir unterstützen bei der Umsetzung der Anforderungen für den BSI IT-Grundschutz (B/S/H) für Informationssicherheit. Die Bausteine gelten in der Regel für sämtliche oder große Teile eines Informationsverbunds gleichermaßen, unterteilen sich in die folgenden Schichten, die wiederum aus weiteren Teilschichten bestehen können.

IT-Grundschutz Prozess-Bausteine & IT-Grundschutz System-Bausteine &

ISMS.1: Sicherheitsmanagement – IT-Grundschutz

Ziel dieses Bausteins ist es aufzuzeigen, wie ein funktionierendes Managementsystem für Informationssicherheit (ISMS) eingerichtet und im laufenden Betrieb weiterentwickelt werden kann.

Die Schicht ISMS enthält als Grundlage für alle weiteren Aktivitäten im Sicherheitsprozess den Baustein Sicherheitsmanagement.

ISMS. 1 Sicherheitsmanagement

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein ISMS. 1 Sicherheitsmanagement

ISMS.1.A1 Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitung

[Institutionsleitung] (B)

ISMS.1.A2 Festlegung der Sicherheitsziele und -strategie [Institutionsleitung] (B)

ISMS.1.A3 Erstellung einer Leitlinie zur Informationssicherheit [Institutionsleitung] (B)

ISMS.1.A4 Benennung eines Informationssicherheitsbeauftragten [Institutionsleitung] (B)

ISMS.1.A5 Vertragsgestaltung bei Bestellung eines externen Informationssicherheitsbeauftragten [Institutionsleitung] (B)

ISMS.1.A6 Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit [Institutionsleitung] (B)

ISMS.1.A7 Festlegung von Sicherheitsmaßnahmen (B)

ISMS.1.A8 Integration der Mitarbeiter in den Sicherheitsprozess [Vorgesetzte] (B)

ISMS.1.A9 Integration der Informationssicherheit in organisationsweite Abläufe und Prozesse [Institutionsleitung] (B)

ORP.1: Organisation | Prozess-Bausteine – IT-Grundschutz


Die Schicht ORP befasst sich mit organisatorischen und personellen Sicherheitsaspekten. In diese Schicht fallen beispielsweise die Bausteine Organisation und Personal.

ORP. 1 Organisation

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein ORP.1 Organisation 

Mit diesem Baustein werden allgemeine und übergreifende Anforderungen im Bereich Organisation aufgeführt, die dazu beitragen, das Niveau der Informationssicherheit zu erhöhen und zu erhalten. 

ORP.1.A1 Festlegung von Verantwortlichkeiten und Regelungen [Institutionsleitung] (B)

ORP.1.A2 Zuweisung der Zuständigkeiten [Institutionsleitung] (B)

ORP.1.A3 Beaufsichtigung oder Begleitung von Fremdpersonen [Mitarbeiter] (B)

ORP.1.A4 Funktionstrennung zwischen unvereinbaren Aufgaben (B)

ORP.1.A15 Ansprechpartner zu Informationssicherheitsfragen (B)

ORP. 2 Personal<a href=”ORP.2: Personal”></a>

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein ORP.2 Personal

Ziel dieses Bausteins ist es aufzuzeigen, welche „personellen“ Sicherheitsmaßnahmen die Personalabteilung oder Vorgesetzten ergreifen müssen, damit die Mitarbeiterinnen und Mitarbeiter verantwortungsbewusst mit den Infor- mationen der Institution umgehen und sich so gemäß den Vorgaben verhalten.

ORP.2.A1 Geregelte Einarbeitung neuer Mitarbeiter [Vorgesetzte] (B)

ORP.2.A2 Geregelte Verfahrensweise beim Weggang von Mitarbeitern [Vorgesetzte, IT-Betrieb] (B)

ORP.2.A3 Festlegung von Vertretungsregelungen [Vorgesetzte] (B)

ORP.2.A4 Festlegung von Regelungen für den Einsatz von Fremdpersonal (B)

ORP.2.A5 Vertraulichkeitsvereinbarungen für den Einsatz von Fremdpersonal (B)

ORP.2.A14 Aufgaben und Zuständigkeiten von Mitarbeitern [Vorgesetzte] (B)

ORP.2.A15 Qualifikation des Personals [Vorgesetzte] (B)

ORP. 3 Sensibilisieren und Schulung zur Informationssicherheit<a href=”ORP.3: Sensibilisierung und Schulung zur Informationssicherheit”></a>

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein ORP.3: Sensibilisieren und Schulung zur Informationssicherheit

In diesem Baustein wird beschrieben, wie ein effektives Sensibilisierungs- und Schulungsprogramm zur Informati- onssicherheit aufgebaut und aufrechterhalten werden kann.

ORP.3.A1 Sensibilisierung der Institutionsleitung für Informationssicherheit [Vorgesetzte, Institutionsleitung] (B)

ORP.3.A3 Einweisung des Personals in den sicheren Umgang mit IT [Vorgesetzte, Personalabteilung, IT- Betrieb] (B)

ORP. 4 Identität- und Berechtigungsmanagement

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein ORP.4 Identität- und Berechtigungsmanagement

Ziel des Bausteins ist es, dass Benutzer oder auch IT-Komponenten ausschließlich auf die IT-Ressourcen und Infor- mationen zugreifen können, die sie für ihre Arbeit benötigen und für die sie autorisiert sind, und unautorisierten Benutzern oder IT-Komponenten den Zugriff zu verwehren. 

ORP.4.A1 Regelung für die Einrichtung und Löschung von Benutzern und Benutzergruppen [IT-Betrieb] (B)

ORP.4.A2 Einrichtung, Änderung und Entzug von Berechtigungen [IT-Betrieb] (B)

ORP.4.A3 Dokumentation der Benutzerkennungen und Rechteprofile [IT-Betrieb] (B)

ORP.4.A4 Aufgabenverteilung und Funktionstrennung [IT-Betrieb] (B)

ORP.4.A5 Vergabe von Zutrittsberechtigungen [IT-Betrieb] (B)

ORP.4.A6 Vergabe von Zugangsberechtigungen [IT-Betrieb] (B)

ORP.4.A7 Vergabe von Zugriffsrechten [IT-Betrieb] (B)

ORP.4.A8 Regelung des Passwortgebrauchs [Benutzer, IT-Betrieb] (B)

ORP.4.A9 Identifikation und Authentisierung [IT-Betrieb] (B)

ORP.4.A22 Regelung zur Passwortqualität [IT-Betrieb] (B)

ORP.4.A23 Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme [IT-Betrieb] (B)

ORP.5 Compliance Management

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein ORP.5 Compliance Management

Ziel des Bausteins ist es, aufzuzeigen, wie sich Zuständige einen Überblick über die verschiedenen Anforderungen an die einzelnen Bereiche einer Institution verschaffen können.

ORP.5.A1 Identifikation der Rahmenbedingungen [Zentrale Verwaltung, Institutionsleitung] (B)

ORP.5.A2 Beachtung der Rahmenbedingungen [Vorgesetzte, Zentrale Verwaltung, Institutionsleitung] (B)

CON: Konzepte und Vorgehensweisen| Prozess-Bausteine – IT-Grundschutz


Die Schicht CON enthält Bausteine, die sich mit Konzepten und Vorgehensweisen befassen. Typische Bausteine der Schicht CON sind unter anderem Kryptokonzept und Datenschutz.

CON.1 Kryptokonzept

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein CON.1 Kryptokonzept

Dieser Baustein beschreibt, wie ein Kryptokonzept erstellt werden kann und wie Informationen in Institutionen kryptografisch abgesichert werden können.

CON.1.A1 Auswahl geeigneter kryptografischer Verfahren [Fachverantwortliche] (B)

CON.1.A2 Datensicherung bei Einsatz kryptografischer Verfahren [IT-Betrieb] (B)

CON.2 Datenschutz

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein Con2. Datenschutz

Ziel des Bausteins ist es, die Verbindung der Anforderungen des Standard-Datenschutzmodells zum IT-Grundschutz darzustellen.

CON.2.A1 Umsetzung Standard-Datenschutzmodell (B)

CON.3 Datensicherungskonzept

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein CON.3 Datensicherungskonzept

Ziel dieses Bausteins ist es, aufzuzeigen, wie Institutionen ein Datensicherungskonzept erstellen können und wie sie anhand dessen ihre Daten angemessen gegen einen Datenverlust absichern können.

CON.3.A1 Erhebung der Einflussfaktoren für Datensicherungen [Fachverantwortliche, IT-Betrieb] (B)

CON.3.A2 Festlegung der Verfahrensweisen für die Datensicherung [Fachverantwortliche, IT-Betrieb] (B)

CON.3.A4 Erstellung von Datensicherungsplänen [IT-Betrieb] (B)

CON.3.A5 Regelmäßige Datensicherung [IT-Betrieb, Mitarbeiter] (B)

CON.3.A12 Sichere Aufbewahrung der Speichermedien für die Datensicherungen [IT-Betrieb] (B)

CON.3.A14 Schutz von Datensicherungen [IT-Betrieb] (B)

CON.3.A15 Regelmäßiges Testen der Datensicherungen [IT-Betrieb] (B)

CON.6 Löschen und Vernichten

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein CON.6 Löschen und Vernichten

In diesem Baustein wird beschrieben, wie Informationen in Institutionen sicher gelöscht und vernichtet werden und wie ein entsprechendes, ganzheitliches Konzept dazu erstellt wird.

CON.6.A1 Regelung für die Löschung und Vernichtung von Informationen [Zentrale Verwaltung,

Fachverantwortliche, Datenschutzbeauftragter, IT-Betrieb] (B)

CON.6.A11 Löschung und Vernichtung von Datenträgern durch externe Dienstleister (B)

CON.6.A12 Mindestanforderungen an Verfahren zur Löschung und Vernichtung (B)

CON.7 Informationssicherheit auf Auslandsreisen

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein CON.7 Informationssicherheit auf Auslandsreisen

Dieser Baustein beschreibt den Schutz aller Informationen, die auf Auslandsreisen sowohl in elektronischer als auch in physischer Form mitgeführt werden, in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit. Vertrauliche In- formationen, die jeder reisende Mitarbeiter im Kopf mitführt, sind ebenfalls Gegenstand dieses Bausteines.

CON.7.A1 Sicherheitsrichtlinie zur Informationssicherheit auf Auslandsreisen (B)

CON.7.A2 Sensibilisierung der Mitarbeiter zur Informationssicherheit auf Auslandsreisen (B)

CON.7.A3 Identifikation länderspezifischer Regelungen, Reise- und Umgebungsbedingungen [Personalabteilung] (B)

CON.7.A4 Verwendung von Sichtschutz-Folien [Benutzer] (B)

CON.7.A5 Verwendung der Bildschirm-/Code-Sperre [Benutzer] (B)

CON.7.A6 Zeitnahe Verlustmeldung [Benutzer] (B)

CON.7.A7 Sicherer Remote-Zugriff auf das Netz der Institution [IT-Betrieb, Benutzer] (B)

CON.7.A8 Sichere Nutzung von öffentlichen WLANs [Benutzer] (B)

CON.7.A9 Sicherer Umgang mit mobilen Datenträgern [Benutzer] (B)

CON.7.A10 Verschlüsselung tragbarer IT-Systeme und Datenträger [Benutzer, IT-Betrieb] (B)

CON.7.A12 Sicheres Vernichten von schutzbedürftigen Materialien und Dokumenten [Benutzer] (B)

CON.8 Software-Entwicklung

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein CON.8 Software-Entwicklung

Der Baustein beschäftigt sich mit allen relevanten Sicherheitsaspekten, die von Institutionen bei der Eigenentwick- lung von Software zu beachten sind. 

CON.8.A2 Auswahl eines Vorgehensmodells (B)

CON.8.A3 Auswahl einer Entwicklungsumgebung (B)

CON.8.A5 Sicheres Systemdesign (B)

CON.8.A6 Verwendung von externen Bibliotheken aus vertrauenswürdigen Quellen (B)

CON.8.A7 Durchführung von entwicklungsbegleitenden Software-Tests [Tester, Entwickler] (B)

CON.8.A8 Bereitstellung von Patches, Updates und Änderungen [Entwickler] (B)

CON.8.A10 Versionsverwaltung des Quellcodes [Entwickler] (B)

CON.8.A20 Überprüfung von externen Komponenten (B)

CON.9 Informationsaustausch

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein CON.9 Informationsaustausch

Ziel dieses Bausteins ist es, den Informationsaustausch zwischen verschiedenen Kommunikationspartnern abzusi- chern. Mithilfe dieses Bausteins lässt sich ein Konzept zum sicheren Informationsaustausch erstellen.

CON.9.A1 Festlegung zulässiger Empfänger [Zentrale Verwaltung, Benutzer] (B)

CON.9.A2 Regelung des Informationsaustausches [Zentrale Verwaltung, Benutzer] (B)

CON.9.A3 Unterweisung des Personals zum Informationsaustausch [Fachverantwortliche] (B)

CON.10 Entwicklung von Webanwendungen

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein CON.10 Entwicklung von Webanwendungen

Ziel dieses Bausteins ist es, sichere Webanwendungen zu entwickeln sowie Informationen zu schützen, die durch eine Webanwendung verarbeitet werden.

CON.10.A1 Authentisierung bei Webanwendungen (B)

CON.10.A2 Zugriffskontrolle bei Webanwendungen (B)

CON.10.A3 Sicheres Session-Management (B)

CON.10.A4 Kontrolliertes Einbinden von Inhalten bei Webanwendungen (B)

CON.10.A5 Upload-Funktionen (B)

CON.10.A6 Schutz vor unerlaubter automatisierter Nutzung von Webanwendungen (B)

CON.10.A7 Schutz vertraulicher Daten (B)

CON.10.A8 Umfassende Eingabevalidierung und Ausgabekodierung (B)

CON.10.A9 Schutz vor SQL-Injection (B)

CON.10.A10 Restriktive Herausgabe sicherheitsrelevanter Informationen (B)

OPS: Betrieb | Prozess-Bausteine – IT-Grundschutz

Die Schicht OPS umfasst alle Sicherheitsaspekte betrieblicher Art. Insbesondere sind dies die Sicherheitsaspekte des operativen IT-Betriebs, sowohl bei einem Betrieb im Haus, als auch bei einem IT-Betrieb, der in Teilen oder komplett durch Dritte betrieben wird. Ebenso enthält er die Sicherheitsaspekte, die bei einem IT-Betrieb für Dritte zu beachten sind. Beispiele für die Schicht OPS sind die Bausteine Schutz vor Schadprogrammen und Out- sourcing für Kunden.

OPS. 1.1.2 Ordnungsgemäße IT-Administration

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein OPS. 1.1.2 Ordnungsgemäße IT-Administration

Ziel dieses Bausteins ist es, aufzuzeigen, wie mit einer ordnungsgemäßen IT-Administration die Sicherheitsanforderungen von IT-Anwendungen, -Systemen und Netzen erfüllt werden.

OPS.1.1.2.A2 Vertretungsregelungen und Notfallvorsorge

OPS.1.1.2.A3 Geregelte Einstellung von IT-Administratoren (B)

OPS.1.1.2.A4 Beendigung der Tätigkeit als IT-Administrator [Personalabteilung] (B)

OPS.1.1.2.A5 Nachweisbarkeit von administrativen Tätigkeiten (B)

OPS.1.1.2.A6 Schutz administrativer Tätigkeiten (B)

OPS 1.1.3 Patch- und Änderungsmanagement

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein OPS 1.1.3 Patch- und Änderungsmanagement
In diesem Baustein wird aufgezeigt, wie ein funktionierendes Patchmanagement in einer Institution aufgebaut und wie der entsprechende Prozess kontrolliert und optimiert werden kann.

OPS.1.1.3.A1 Konzept für das Patch- und Änderungsmanagement [Fachverantwortliche] (B)

OPS.1.1.3.A2 Festlegung der Zuständigkeiten (B)

OPS.1.1.3.A3 Konfiguration von Autoupdate-Mechanismen (B)

OPS.1.1.3.A15 Regelmäßige Aktualisierung von IT-Systemen und Software (B)

OPS.1.1.3.A16 Regelmäßige Suche nach Informationen zu Patches und Schwachstellen (B)

OPS. 1.1.4 Schutz vor Schadprogrammen

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein OPS. 1.1.4 Schutz vor Schadprogrammen

Dieser Baustein beschreibt Anforderungen, die zu erfüllen und umzusetzen sind, um eine Institution effektiv gegen Schadprogramme zu schützen.

OPS.1.1.4.A1 Erstellung eines Konzepts für den Schutz vor Schadprogrammen (B)

OPS.1.1.4.A2 Nutzung systemspezifischer Schutzmechanismen (B)

OPS.1.1.4.A3 Auswahl eines Virenschutzprogrammes (B)

OPS.1.1.4.A5 Betrieb und Konfiguration von Virenschutzprogrammen (B)

OPS.1.1.4.A6 Regelmäßige Aktualisierung der eingesetzten Virenschutzprogramme und Signaturen (B)

OPS.1.1.4.A7 Sensibilisierung und Verpflichtung der Benutzer [Benutzer] (B)

OPS. 1.1.5 Protokollierung

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein OPS. 1.1.5 Protokollierung

Ziel des Bausteins ist es, alle relevanten Daten sicher zu erheben, zu speichern und geeignet für die Auswertung bereitzustellen, damit möglichst alle sicherheitsrelevanten Ereignisse protokolliert werden können.

OPS.1.1.5.A1 Erstellung einer Sicherheitsrichtlinie für die Protokollierung [Fachverantwortliche] (B)

OPS.1.1.5.A3 Konfiguration der Protokollierung auf System- und Netzebene (B)

OPS.1.1.5.A4 Zeitsynchronisation der IT-Systeme (B)

OPS.1.1.5.A5 Einhaltung rechtlicher Rahmenbedingungen (B)

OPS 1.1.6 Software-Test und – Freigaben

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein OPS 1.1.6 Software-Test und – Freigaben

Mit der Umsetzung dieses Bausteins sorgt die Institution dafür, dass die eingesetzte Software den technischen und organisatorischen Anforderungen sowie dem vorliegenden Schutzbedarf der gesamten Institution oder einzelner Organisationseinheiten entspricht.

OPS.1.1.6.A1 Planung der Software-Tests (B)

OPS.1.1.6.A2 Durchführung von funktionalen Software-Tests [Tester] (B)

OPS.1.1.6.A3 Auswertung der Testergebnisse [Tester] (B)

OPS.1.1.6.A4 Freigabe der Software [Fachverantwortliche] (B)

OPS.1.1.6.A5 Durchführung von Software-Tests für nicht funktionale Anforderungen [Tester] (B)

OPS.1.1.6.A11 Verwendung von anonymisierten oder pseudonymisierten Testdaten [Datenschutzbeauftragter, Tester] (B)

OPS. 1.1.7 Systemmanagement

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein OPS. 1.1.7 Systemmanagement

Ziel dieses Bausteins ist es, die Informationssicherheit als integralen Bestandteil des Systemmanagements zu etablieren.

OPS.1.1.7.A1 Anforderungsspezifikation für das Systemmanagement (B)

OPS.1.1.7.A2 Planung des Systemmanagements (B)

OPS.1.1.7.A3 Zeitsynchronisation für das Systemmanagement (B)

OPS.1.1.7.A4 Absicherung der Systemmanagement-Kommunikation (B)

OPS.1.1.7.A5 Gegenseitige Authentisierung von Systemmanagement-Lösung und zu verwaltenden

Systemen (B)

OPS.1.1.7.A6 Absicherung des Zugriffs auf die Systemmanagement-Lösung (B)

OPS. 1.2.2 Archivierung

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein OPS. 1.2.2 Archivierung

Der Baustein beschreibt, wie digitale Dokumente langfristig, sicher, unveränderbar und wieder reproduzierbar archiviert werden können.

OPS.1.2.2.A1 Ermittlung von Einflussfaktoren für die elektronische Archivierung (B)

OPS.1.2.2.A2 Entwicklung eines Archivierungskonzepts (B)

OPS.1.2.2.A3 Geeignete Aufstellung von Archivsystemen und Lagerung von Archivmedien [IT-Betrieb] (B)

OPS.1.2.2.A4 Konsistente Indizierung von Daten bei der Archivierung [IT-Betrieb, Benutzer] (B)

OPS.1.2.2.A5 Regelmäßige Aufbereitung von archivierten Datenbeständen [IT-Betrieb] (B)

OPS.1.2.2.A6 Schutz der Integrität der Indexdatenbank von Archivsystemen [IT-Betrieb] (B)

OPS.1.2.2.A7 Regelmäßige Datensicherung der System- und Archivdaten [IT-Betrieb] (B)

OPS.1.2.2.A8 Protokollierung der Archivzugriffe [IT-Betrieb] (B)

OPS.1.2.2.A9 Auswahl geeigneter Datenformate für die Archivierung von Dokumenten [IT-Betrieb] (B)

OPS.1 .2.4 Telearbeit

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein OPS.1 .2.4 Telearbeit

Das Ziel des Bausteins ist der Schutz von Informationen, die während der Telearbeit gespeichert, verarbeitet und übertragen werden. 

OPS.1.2.4.A1 Regelungen für Telearbeit [Vorgesetzte, Personalabteilung] (B)

OPS.1.2.4.A2 Sicherheitstechnische Anforderungen an den Telearbeitsrechner (B)

OPS.1.2.4.A5 Sensibilisierung und Schulung der Mitarbeiter (B)

OPS. 1.2.5 Fernwartung

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein OPS. 1.2.5 Fernwartung

Ziel dieses Bausteins ist der Schutz der Informationen, die bei der Fernwartung gespeichert, verarbeitet und über- tragen werden sowie der Schutz der Fernwartungsschnittstellen von IT-Systemen.

OPS.1.2.5.A1 Planung des Einsatzes der Fernwartung (B)

OPS.1.2.5.A2 Sicherer Verbindungsaufbau bei der Fernwartung von Clients [Benutzer] (B)

OPS.1.2.5.A3 Absicherung der Schnittstellen zur Fernwartung (B)

OPS. 1.2.6 NTP-Zeitsynchronisation

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein OPS. 1.2.6 NTP-Zeitsynchronisation

Ziel dieses Bausteins ist es, NTP-Server und -Clients so abzusichern, dass die IT-Systeme im Informationsverbund verlässlich die Zeit ermitteln und ihre Uhren justieren können.

OPS.1.2.6.A1 Planung des NTP- Einsatzes (B)

OPS.1.2.6.A2 Sichere Nutzung fremder Zeitquellen (B)

OPS.1.2.6.A3 Sichere Konfiguration von NTP-Servern (B)

OPS.1.2.6.A4 Nichtberücksichtigung unaufgeforderter Zeitinformationen (B)

OPS. 2.1 Outsourcing für Kunden

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein OPS. 2.1 Outsourcing für Kunden

Ziel dieses Bausteins ist es, sicherzustellen, dass alle Sicherheitsziele des Outsourcing-Kunden auch nach der Ausla- gerung von Geschäftsprozessen oder Dienstleistungen an einen Outsourcing-Dienstleister erfüllt werden.

OPS.2.1.A1 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben (B)

OPS. 2.2 Cloud Nutzung

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein OPS. 2.2. Cloud Nutzung

Der Baustein beschreibt Anforderungen, durch die sich Cloud-Dienste sicher nutzen lassen.

OPS.2.2.A1 Erstellung einer Strategie für die Cloud-Nutzung [Fachverantwortliche, Institutionsleitung,

Datenschutzbeauftragter] (B)

OPS.2.2.A2 Erstellung einer Sicherheitsrichtlinie für die Cloud-Nutzung [Fachverantwortliche] (B)

OPS.2.2.A3 Service-Definition für Cloud-Dienste durch den Cloud-Kunden [Fachverantwortliche] (B)

OPS.2.2.A4 Festlegung von Verantwortungsbereichen und Schnittstellen [Fachverantwortliche] (B)

OPS. 3.1 Outsourcing für Dienstleister

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein OPS. 3.1 Outsourcing für Dienstleister

Der Baustein beschreibt die Anforderungen für den Outsourcing-Dienstleister, damit er das Sicherheitsniveau der auslagernden Institution erfüllen bzw. für ihn unkontrollierbare Risiken vermeiden kann, die sich aus der Geschäfts- beziehung ergeben.

OPS.3.1.A1 Erstellung eines Grobkonzeptes für die Outsourcing-Dienstleistung (B)

DER: Detektion und Reaktion – IT-Grundschutz

In der Schicht DER finden sich alle Bausteine, die für die Überprüfung der umgesetzten Sicherheitsmaßnahmen, die Detektion von Sicherheitsvorfällen sowie die geeigneten Reaktionen darauf relevant sind. Typische Bausteine der Schicht DER sind Behandlung von Sicherheitsvorfällen und Vorsorge für IT-Forensik.

DER. 1 Detektion von sicherheitsrelevanten Ereignissen

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein DER.1 Detektion von sicherheitsrelevanten Ereignissen

Dieser Baustein zeigt einen systematischen Weg auf, wie Informationen gesammelt, korreliert und ausgewertet werden können, um sicherheitsrelevante Ereignisse möglichst vollständig und zeitnah zu detektieren.

DER.1.A1 Erstellung einer Sicherheitsrichtlinie für die Detektion von sicherheitsrelevanten Ereignissen (B)

DER.1.A2 Einhaltung rechtlicher Bedingungen bei der Auswertung von Protokollierungsdaten (B)

DER.1.A3 Festlegung von Meldewegen für sicherheitsrelevante Ereignisse (B)

DER.1.A4 Sensibilisierung der Mitarbeiter [Vorgesetzte, Benutzer, Mitarbeiter] (B)

DER.1.A5 Einsatz von mitgelieferten Systemfunktionen zur Detektion [Fachverantwortliche] (B)

DER. 2.1 Behandlung von Sicherheitsvorfällen

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein DER.2.1 Behandlung von Sicherheitsvorfällen

Ziel dieses Bausteins ist es, einen systematischen Weg aufzuzeigen, wie ein Konzept zur Behandlung von Sicher- heitsvorfällen erstellt werden kann.

DER.2.1.A1 Definition eines Sicherheitsvorfalls (B)

DER.2.1.A2 Erstellung einer Richtlinie zur Behandlung von Sicherheitsvorfällen (B)

DER.2.1.A3 Festlegung von Verantwortlichkeiten und Ansprechpartnern bei Sicherheitsvorfällen (B)

DER.2.1.A4 Benachrichtigung betroffener Stellen bei Sicherheitsvorfällen [Institutionsleitung, IT-Betrieb, Datenschutzbeauftragter, Notfallbeauftragter] (B)

DER.2.1.A5 Behebung von Sicherheitsvorfällen [IT-Betrieb] (B)

DER.2.1.A6 Wiederherstellung der Betriebsumgebung nach Sicherheitsvorfällen [IT-Betrieb] (B)

DER. 2.2 Vorsorge für die IT-Forensik

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein DER. 2.2 Vorsorge für die IT-Forensik

Der Baustein zeigt auf, welche Vorsorgemaßnahmen notwendig sind, um IT-forensische Untersuchungen zu er- möglichen.

DER.2.2.A1 Prüfung rechtlicher und regulatorischer Rahmenbedingungen zur Erfassung und Auswertbarkeit [Datenschutzbeauftragter, Institutionsleitung] (B)

DER.2.2.A2 Erstellung eines Leitfadens für Erstmaßnahmen bei einem IT-Sicherheitsvorfall (B)

DER.2.2.A3 Vorauswahl von Forensik-Dienstleistern (B)

DER. 2.3 Bereinigung weitreichender Sicherheitsvorfälle

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein DER. 2.3 Bereinigung weitreichender Sicherheitsvorfälle

Dieser Baustein beschreibt, wie eine Institution vorgehen sollte, um nach einem APT-Angriff die IT-Systeme zu berei- nigen und den regulären und sicheren Betriebszustand des Informationsverbunds wiederherzustellen.

DER.2.3.A1 Einrichtung eines Leitungsgremiums (B)

DER.2.3.A2 Entscheidung für eine Bereinigungsstrategie (B)

DER.2.3.A3 Isolierung der betroffenen Netzabschnitte (B)

DER.2.3.A4 Sperrung und Änderung von Zugangsdaten und kryptografischen Schlüsseln (B)

DER.2.3.A5 Schließen des initialen Einbruchswegs (B)

DER.2.3.A6 Rückführung in den Produktivbetrieb (B)

DER. 3.1 Audits und Revisionen

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein DER. 3.1 Audits und Revisionen

Der Baustein DER.3.1 Audits und Revisionen definiert Anforderungen an Audits und Revisionen mit dem Ziel, die Informationssicherheit in einer Institution zu verbessern, Fehlentwicklungen auf diesem Gebiet zu vermeiden und Sicherheitsmaßnahmen und -prozesse zu optimieren.

DER.3.1.A1 Definition von Verantwortlichkeiten [Institutionsleitung] (B)

DER.3.1.A2 Vorbereitung eines Audits oder einer Revision (B)

DER.3.1.A3 Durchführung eines Audits [Auditteam] (B)

DER.3.1.A4 Durchführung einer Revision (B)

DER. 3.2 Revisionen auf Basis des Leitfadens IS-Revision

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein DER. 3.2 Revisionen auf Basis des Leitfadens IS-Revision

Der Baustein definiert Anforderungen an eine IS-Revision mit dem Ziel, die Informationssicherheit in einer Institution zu verbessern, Fehlentwicklungen auf diesem Gebiet zu vermeiden und die Sicherheitsmaßnahmen und -prozesse zu optimieren.

DER.3.2.A1 Benennung von Verantwortlichen für die IS-Revision [Institutionsleitung] (B)

DER.3.2.A2 Erstellung eines IS-Revisionshandbuches (B)

DER.3.2.A3 Definition der Prüfungsgrundlage (B)

DER.3.2.A4 Erstellung einer Planung für die IS-Revision (B)

DER.3.2.A5 Auswahl eines geeigneten IS-Revisionsteams (B)

DER.3.2.A6 Vorbereitung einer IS-Revision [IS-Revisionsteam] (B)

DER.3.2.A7 Durchführung einer IS-Revision [IS-Revisionsteam] (B)

DER.3.2.A8 Aufbewahrung von IS-Revisionsberichten (B)

DER 4 Notfallmanagement

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein DER 4 Notfallmanagement

Ziel dieses Bausteins ist es, Anforderungen zu beschreiben, um die Informationssicherheit in Institutionen selbst in kritischen Situationen zu gewährleisten.

DER.4.A1 Erstellung eines Notfallhandbuchs (S)

DER.4.A2 Integration von Notfallmanagement und Informationssicherheitsmanagement [Informationssicherheitsbeauftragter (ISB)] (S)

APP: Anwendungen | System-Bausteine – IT-Grundschutz

Die Schicht APP beschäftigt sich mit der Absicherung von Anwendungen und Diensten, unter anderem in den Bereichen Kommunikation, Verzeichnisdienste, netzbasierte Dienste sowie Business- und Client-Anwendungen. Typische Bausteine der Schicht APP sind Allgemeiner E-Mail-Client und -ServerOffice-ProdukteWebserver und Relationale Datenbanksysteme.

APP. 1.1 Office Produkte

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein APP. 1.1 Office Produkte

Ziel des vorliegenden Bausteins ist der Schutz der Informationen, die durch Office-Produkte verarbeitet und genutzt werden. 

APP.1.1.A2 Einschränken von Aktiven Inhalten (B)

APP.1.1.A3 Sicheres Öffnen von Dokumenten aus externen Quellen [Benutzer] (B)

APP.1.1.A17 Sensibilisierung zu spezifischen Office-Eigenschaften (B)

APP. 1.2 Webbrowser

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein APP. 1.2 Webbrowser

Ziel dieses Bausteins ist es, Sicherheitsanforderungen für Webbrowser, die auf Clients, also auf stationären und mo- bilen IT-Systemen sowie auch auf Tablets und Smartphones, eingesetzt werden, zu beschreiben.

APP.1.2.A1 Verwendung von grundlegenden Sicherheitsmechanismen (B)

APP.1.2.A2 Unterstützung sicherer Verschlüsselung der Kommunikation (B)

APP.1.2.A3 Verwendung von vertrauenswürdigen Zertifikaten (B)

APP.1.2.A6 Kennwortmanagement im Webbrowser (B)

APP.1.2.A13 Nutzung von DNS-over-HTTPS (B)

APP. 1.4 Mobile Anwendungen (Apps)

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein APP. 1.4 Mobile Anwendungen (Apps)

APP.1.4.A1 Anforderungsanalyse für die Nutzung von Apps [Fachverantwortliche] (B)

APP. 2.2 Allgemeiner Verzeichnisdienst

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein APP. 2.2 Allgemeiner Verzeichnisdienst

Ziel dieses Bausteins ist es, allgemeine Verzeichnisdienste sicher zu betreiben sowie die damit verarbeiteten Infor- mationen angemessen zu schützen.

APP.2.1.A1 Erstellung einer Sicherheitsrichtlinie für Verzeichnisdienste (B)

APP.2.1.A2 Planung des Einsatzes von Verzeichnisdiensten [Datenschutzbeauftragter, Fachverantwortliche] (B)

APP.2.1.A3 Einrichtung von Zugriffsberechtigungen auf Verzeichnisdienste [Fachverantwortliche] (B)

APP.2.1.A4 Sichere Installation von Verzeichnisdiensten (B)

APP.2.1.A5 Sichere Konfiguration und Konfigurationsänderungen von Verzeichnisdiensten (B)

APP.2.1.A6 Sicherer Betrieb von Verzeichnisdiensten (B)

APP. 2.2 Active Directory

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein APP. 2.2 Active Directory

Das Ziel dieses Bausteins ist es, Active Directory im Regelbetrieb einer Institution abzusichern, die AD zur Verwal- tung ihrer Infrastruktur von Windows-Systemen (Client und Server) einsetzt.

APP.2.2.A1 Planung des Active Directory [Fachverantwortliche] (B)

APP.2.2.A2 Planung der Active-Directory-Administration [Fachverantwortliche] (B)

APP.2.2.A3 Planung der Gruppenrichtlinien unter Windows (B)

APP.2.2.A5 Härtung des Active Directory (B)

APP.2.2.A6 Aufrechterhaltung der Betriebssicherheit von Active Directory (B)

APP.2.2.A7 Umsetzung sicherer Verwaltungsmethoden für Active Directory [Fachverantwortliche] (B)

APP.2.3 OpenLDAP

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein APP.2.3 OpenLDAP

APP.2.3.A1 Planung und Auswahl von Backends und Overlays für OpenLDAP (B)

APP.2.3.A3 Sichere Konfiguration von OpenLDAP (B)

APP.2.3.A4 Konfiguration der durch OpenLDAP verwendeten Datenbank (B)

APP.2.3.A5 Sichere Vergabe von Zugriffsrechten auf dem OpenLDAP (B)

APP.2.3.A6 Sichere Authentisierung gegenüber OpenLDAP (B)

APP. 3.1 Webanwendungen und Webservices

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein APP. 3.1 Webanwendungen und Webservices

Ziel dieses Bausteins ist es, Webanwendungen und Webservices sicher einzusetzen sowie Informationen zu schüt- zen, die durch sie verarbeitet werden.

APP.3.1.A1 Authentisierung (B)

APP.3.1.A4 Kontrolliertes Einbinden von Dateien und Inhalten (B)

APP.3.1.A7 Schutz vor unerlaubter automatisierter Nutzung (B)

APP.3.1.A14 Schutz vertraulicher Daten (B)

APP.3.2 Webserver

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein APP.3.2 Webserver

Ziel dieses Bausteins ist der Schutz des Webservers und der Informationen, die durch den Webserver bereitgestellt oder damit verarbeitet werden.

APP.3.2.A1 Sichere Konfiguration eines Webservers (B)

APP.3.2.A2 Schutz der Webserver-Dateien (B)

APP.3.2.A3 Absicherung von Datei-Uploads und -Downloads (B)

APP.3.2.A4 Protokollierung von Ereignissen (B)

APP.3.2.A5 Authentisierung (B)

APP.3.2.A7 Rechtliche Rahmenbedingungen für Webangebote [Fachverantwortliche, Zentrale Verwaltung,

Anforderungsmanager (Compliance Manager)] (B)

APP.3.2.A11 Verschlüsselung über TLS (B)

APP:3.3 Fileserver

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein APP:3.3 Fileserver

In diesem Baustein werden wesentliche, für einen Fileserver spezifischen Gefährdungen und die sich daraus erge- benden Anforderungen für einen sicheren Einsatz beschrieben.

APP.3.3.A2 Einsatz von RAID-Systemen (B)

APP.3.3.A3 Einsatz von Viren-Schutzprogrammen (B)

APP.3.3.A15 Planung von Fileservern (B)

APP 3.6 DNS-Server

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein APP 3.6 DNS-Server

In diesem Baustein werden die für einen DNS-Server spezifischen Gefährdungen und die sich daraus ergebenden Anforderungen für einen sicheren Einsatz beschrieben.

APP.3.6.A1 Planung des DNS-Einsatzes (B)

APP.3.6.A2 Einsatz redundanter DNS-Server (B)

APP.3.6.A3 Verwendung von separaten DNS-Servern für interne und externe Anfragen (B)

APP.3.6.A4 Sichere Grundkonfiguration eines DNS-Servers (B)

APP.3.6.A6 Absicherung von dynamischen DNS-Updates (B)

APP.3.6.A7 Überwachung von DNS-Servern (B)

APP.3.6.A9 Erstellen eines Notfallplans für DNS-Server (B)

APP. 4.2 SAP-ERP System

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein APP. 4.2 SAP-ERP System

Der Baustein beschreibt, welche Gefährdungen für SAP-ERP-Systeme zu beachten sind und wie diese Systeme si- cher installiert, konfiguriert und betrieben werden können.

APP.4.2.A1 Sichere Konfiguration des SAP-ABAP-Stacks (B)

APP.4.2.A2 Sichere Konfiguration des SAP-JAVA-Stacks (B)

APP.4.2.A3 Netzsicherheit (B)

APP.4.2.A4 Absicherung der ausgelieferten SAP-Standardbenutzer-Kennungen (B)

APP.4.2.A5 Konfiguration und Absicherung der SAP-Benutzerverwaltung (B)

APP.4.2.A6 Erstellung und Umsetzung eines Benutzer- und Berechtigungskonzeptes [Fachabteilung, Entwickler] (B)

APP.4.2.A7 Absicherung der SAP-Datenbanken (B)

APP.4.2.A8 Absicherung der SAP-RFC-Schnittstelle (B)

APP.4.2.A9 Absicherung und Überwachung des Message-Servers (B)

APP. 4.3 Relationale Datenbanken

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein APP. 4.3 Relationale Datenbanken

Ziel dieses Bausteins ist es, relationale Datenbanksysteme sicher betreiben zu können sowie die Informationen, die in Datenbanken verarbeitet und gespeichert werden, angemessen zu schützen.

APP.4.3.A1 Erstellung einer Sicherheitsrichtlinie für Datenbanksysteme (B)

APP.4.3.A3 Basishärtung des Datenbankmanagementsystems (B)

APP.4.3.A4 Geregeltes Anlegen neuer Datenbanken (B)

APP.4.3.A9 Datensicherung eines Datenbanksystems (B)

APP. 4.4 Kubernetes

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein APP. 4.4 Kubernetes

Ziel dieses Bausteins ist der Schutz von Informationen, die in Kubernetes-Clustern verarbeitet, angeboten oder da- rüber übertragen werden.

APP.4.4.A1 Planung der Separierung der Anwendungen (B)

APP.4.4.A2 Planung der Automatisierung mit CI/CD (B)

APP.4.4.A3 Identitäts- und Berechtigungsmanagement bei Kubernetes (B)

APP.4.4.A4 Separierung von Pods (B)

APP.4.4.A5 Datensicherung im Cluster (B)

APP. 4.6 SAP ABAP-Programmierung

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein APP. 4.6 SAP ABAP-Programmierung

Der Baustein zeigt ABAP-Entwicklern und Sicherheitstestern relevante technische Risiken auf, die sich durch ABAP- Eigenentwicklungen ergeben können.

APP.4.6.A1 Absicherung von Reports mit Berechtigungsprüfungen (B)

APP.4.6.A2 Formal korrekte Auswertung von Berechtigungsprüfungen (B)

APP.4.6.A3 Berechtigungsprüfung vor dem Start einer Transaktion (B)

APP.4.6.A4 Verzicht auf proprietäre Berechtigungsprüfungen (B)

APP. 5.2 Microsoft Exchange und Outlook

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein APP. 5.2 Microsoft Exchange und Outlook

Das Ziel dieses Bausteins ist es, über typische Gefährdungen für Exchange und Outlook zu informieren sowie aufzu- zeigen, wie Exchange und Outlook sicher in Institutionen eingesetzt werden.

APP.5.2.A1 Planung des Einsatzes von Exchange und Outlook (B)

APP.5.2.A2 Auswahl einer geeigneten Exchange-Infrastruktur (B)

APP.5.2.A3 Berechtigungsmanagement und Zugriffsrechte (B)

APP.5.2.A5 Datensicherung von Exchange (B)

APP. 5.3 Allgemeiner E-Mail Client und – Server

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein APP. 5.3 Allgemeiner E-Mail Client und – Server

Ziel diese Bausteins ist es, die Informationen zu schützen, die mit E-Mail-Clients bzw. auf E-Mail-Servern verarbeitet werden.

APP.5.3.A1 Sichere Konfiguration der E-Mail-Clients (B)

APP.5.3.A2 Sicherer Betrieb von E-Mail-Servern (B)

APP.5.3.A3 Datensicherung und Archivierung von E-Mails (B)

APP.5.3.A4 Spam- und Virenschutz auf dem E-Mail-Server (B)

APP. 6 Allgemeine Software

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein APP. 6 Allgemeine Software

Der Baustein zeigt auf, welche Sicherheitsanforderungen zu erfüllen sind, damit allgemeine Software über den ge- samten Lebenszyklus hinweg sicher eingesetzt werden kann.

APP.6.A1 Planung des Software-Einsatzes [Fachverantwortliche] (B)

APP.6.A2 Erstellung eines Anforderungskatalogs für Software [Fachverantwortliche] (B)

APP.6.A3 Sichere Beschaffung von Software [Beschaffungsstelle] (B)

APP.6.A4 Regelung für die Installation und Konfiguration von Software [Fachverantwortliche] (B)

APP.6.A5 Sichere Installation von Software (B)

APP. 7 Entwicklung von Individualsoftware

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein APP. 7 Entwicklung von Individualsoftware

Ziel dieses Bausteins ist es aufzuzeigen, welche grundlegenden Sicherheitsanforderungen bei der Planung und Ent- wicklung von Individualsoftware zu berücksichtigen sind.

APP.7.A1 Erweiterung der Planung des Software-Einsatzes um Aspekte von Individualsoftware (B)

APP.7.A2 Festlegung von Sicherheitsanforderungen an den Prozess der Software-Entwicklung (B)

APP.7.A3 Festlegung der Sicherheitsfunktionen zur System-Integration [IT-Betrieb] (B)

APP.7.A4 Anforderungsgerechte Beauftragung [Beschaffungsstelle] (B)

SYS: IT-Systeme | System-Bausteine – IT-Grundschutz

Die Schicht SYS betrifft die einzelnen IT-Systeme des Informationsverbunds, die ggf. in Gruppen zusammenge- fasst wurden. Hier werden die Sicherheitsaspekte von Servern, Desktop-Systemen, Mobile Devices und sonsti- gen IT-Systemen wie Druckern und TK-Anlagen behandelt. Zur Schicht SYS gehören beispielsweise Bausteine zu konkreten Betriebssystemen, Allgemeine Smartphones und Tablets sowie Drucker, Kopierer und Multifunktions- geräte.

SYS. 1.1 Allgemeiner Server

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein SYS. 1.1 Allgemeiner Server

Ziel dieses Bausteins ist der Schutz von Informationen, die auf Servern verarbeitet, angeboten oder darüber über- tragen werden, sowie der Schutz der damit zusammenhängenden Dienste.

SYS.1.1.A1 Geeignete Aufstellung (B)

SYS.1.1.A2 Benutzerauthentisierung an Servern (B)

SYS.1.1.A5 Schutz von Schnittstellen (B)

SYS.1.1.A6 Deaktivierung nicht benötigter Dienste (B)

SYS.1.1.A9 Einsatz von Virenschutz-Programmen auf Servern (B)

SYS.1.1.A10 Protokollierung (B)

SYS: 1.2.2 Window Server 2012

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein SYS: 1.2.2 Window Server 2012

Das Ziel dieses Bausteins ist der Schutz von Informationen und Prozessen, die durch Server-Systeme auf Basis von Windows Server 2012 im Regelbetrieb verarbeitet bzw. gesteuert werden.

SYS.1.2.2.A1 Planung von Windows Server 2012 (B)

SYS.1.2.2.A2 Sichere Installation von Windows Server 2012 (B)

SYS.1.2.2.A3 Sichere Administration von Windows Server 2012 (B)

SYS. 1.3 Server unter Linux und UNIX

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein SYS. 1.3 Server unter Linux und UNIX

Ziel des Bausteins ist der Schutz von Informationen, die von Unix-Servern bereitgestellt und verarbeitet werden.

SYS.1.3.A2 Sorgfältige Vergabe von IDs (B)

SYS.1.3.A3 Kein automatisches Einbinden von Wechsellaufwerken (B)

SYS.1.3.A4 Schutz vor Ausnutzung von Schwachstellen in Anwendungen (B)

SYS.1.3.A5 Sichere Installation von Software-Paketen (B)

SYS: 1.5 Virtualisierung

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein SYS: 1.5 Virtualisierung

Das Ziel dieses Bausteins ist es aufzuzeigen, wie Virtualisierungsserver im Informationsverbund sicher eingeführt und betrieben werden können.

SYS.1.5.A2 Sicherer Einsatz virtueller IT-Systeme (B)

SYS.1.5.A3 Sichere Konfiguration virtueller IT-Systeme (B)

SYS.1.5.A4 Sichere Konfiguration eines Netzes für virtuelle Infrastrukturen (B)

SYS.1.5.A5 Schutz der Administrationsschnittstellen (B)

SYS.1.5.A6 Protokollierung in der virtuellen Infrastruktur (B)

SYS.1.5.A7 Zeitsynchronisation in virtuellen IT-Systemen (B)

SYS. 1.6 Containerisierung

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein SYS. 1.6 Containerisierung

Ziel dieses Bausteins ist der Schutz von Informationen, die in, von oder mit Containern verarbeitet, angeboten oder darüber übertragen werden.

SYS.1.6.A1 Planung des Container-Einsatzes (B)

SYS.1.6.A2 Planung der Verwaltung von Containern (B)

SYS.1.6.A3 Sicherer Einsatz containerisierter IT-Systeme (B)

SYS.1.6.A4 Planung der Bereitstellung und Verteilung von Images (B)

SYS.1.6.A5 Separierung der Administrations- und Zugangsnetze bei Containern (B)

SYS.1.6.A6 Verwendung sicherer Images (B)

SYS.1.6.A7 Persistenz von Protokollierungsdaten der Container (B)

SYS.1.6.A8 Sichere Speicherung von Zugangsdaten bei Containern (B)

SYS. 1.7 IBM Z

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein SYS. 1.7 IBM Z

Ziel dieses Bausteins ist der Schutz von Informationen, die auf Z-Systemen verarbeitet, angeboten oder darüber übertragen werden.

SYS.1.7.A1 Einsatz restriktiver z/OS-Kennungen (B)

SYS.1.7.A2 Absicherung sicherheitskritischer z/OS-Dienstprogramme (B)

SYS.1.7.A3 Wartung von Z-Systemen (B)

SYS.1.7.A4 Schulung des z/OS-Bedienungspersonals [Vorgesetzte] (B)

SYS.1.7.A5 Einsatz und Sicherung systemnaher z/OS-Terminals (B)

SYS.1.7.A6 Einsatz und Sicherung der Remote Support Facility (B)

SYS.1.7.A7 Restriktive Autorisierung unter z/OS (B)

SYS.1.7.A8 Einsatz des z/OS-Sicherheitssystems RACF (B)

SYS.1.7.A9 Mandantenfähigkeit unter z/OS (B)

SYS. 1.8 Speicherlösungen

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein SYS. 1.8 Speicherlösungen

Das Ziel dieses Bausteins ist es, aufzuzeigen, wie zentrale Speicherlösungen sicher geplant, umgesetzt, betrieben und ausgesondert werden.

SYS.1.8.A1 Geeignete Aufstellung von Speichersystemen [Haustechnik] (B)

SYS.1.8.A2 Sichere Grundkonfiguration von Speicherlösungen (B)

SYS.1.8.A4 Schutz der Administrationsschnittstellen (B)

SYS. 2.1 Allgemeiner Client

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein SYS. 2.1 Allgemeiner Client

Ziel dieses Bausteins ist der Schutz von Informationen, die auf jeglicher Art von Clients, unabhängig vom verwende- ten Betriebssystem, erstellt, gelesen, bearbeitet, gespeichert oder versendet werden.

SYS.2.1.A1 Sichere Benutzerauthentisierung (B)

SYS.2.1.A3 Aktivieren von Autoupdate-Mechanismen (B)

SYS.2.1.A6 Einsatz von Schutzprogrammen gegen Schadsoftware (B)

SYS.2.1.A8 Absicherung des Bootvorgangs (B)

SYS.2.1.A42 Nutzung von Cloud- und Online-Funktionen [Benutzer] (B)

SYS. 3.1 Laptops

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein SYS. 3.1 Laptops

Ziel des Bausteins ist es, Institutionen einen sicheren Einsatz von Laptops zu ermöglichen sowie für die spezifischen Gefährdungen dieser Geräteklasse zu sensibilisieren.

SYS.3.1.A1 Regelungen zur mobilen Nutzung von Laptops (B)

SYS.3.1.A3 Einsatz von Personal Firewalls (B)

SYS.3.1.A9 Sicherer Fernzugriff mit Laptops (B)

SYS. 3.2.1 Allgemeine Smartphones und Tablets

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein SYS. 3.2.1 Allgemeine Smartphones und Tablets

Ziel dieses Bausteins ist es, den Zuständigen des Sicherheitsmanagements und des IT-Betriebs Informationen zu den typischen Gefährdungen für Smartphones und Tablets zu geben sowie ihnen Anforderungen zu vermitteln, wie diese vermieden bzw. beseitigt werden können.

SYS.3.2.1.A1 Festlegung einer Richtlinie für den Einsatz von Smartphones und Tablets (B)

SYS.3.2.1.A2 Festlegung einer Strategie für die Cloud-Nutzung (B)

SYS.3.2.1.A3 Sichere Grundkonfiguration für mobile Geräte (B)

SYS.3.2.1.A4 Verwendung eines Zugriffsschutzes [Benutzer] (B)

SYS.3.2.1.A5 Updates von Betriebssystem und Apps (B)

SYS.3.2.1.A6 Datenschutzeinstellungen und Berechtigungen (B)

SYS.3.2.1.A7 Verhaltensregeln bei Sicherheitsvorfällen [Benutzer] (B)

SYS.3.2.1.A8 Installation von Apps (B)

SYS.3.2.2 Mobile Device Management (MDM)

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein SYS.3.2.2 Mobile Device Management (MDM)

Der Baustein zeigt auf, wie mit einem MDM mobile Endgeräte sicher von Institutionen genutzt und gibt Hinweise zum Betrieb eines MDM.

SYS.3.2.2.A1 Festlegung einer Strategie für das Mobile Device Management (B)

SYS.3.2.2.A2 Festlegung erlaubter mobiler Endgeräte (B)

SYS.3.2.2.A3 Auswahl eines MDM-Produkts (B)

SYS.3.2.2.A4 Verteilung der Grundkonfiguration auf mobile Endgeräte (B)

SYS.3.2.2.A5 Installation des MDM Clients (B)

SYS.3.2.2.A20 Regelmäßige Überprüfung des MDM (B)

SYS. 3.2.3 iOS (for Enterprise)

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein SYS. 3.2.3 iOS (for Enterprise)

Ziel dieses Bausteins ist es, aufzuzeigen, wie mit iOS (for Enterprise) betriebene Geräte sicher in Institutionen einge- setzt werden können.

SYS.3.2.3.A1 Strategie für die iOS-Nutzung (B)

SYS.3.2.3.A2 Planung des Einsatzes von Cloud-Diensten (B)

SYS.3.2.3.A7 Verhinderung des unautorisierten Löschens von Konfigurationsprofilen (B)

SYS. 3.2.4 Android

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein SYS. 3.2.4 Android

Ziel des Bausteins ist es, über typische Gefährdungen im Zusammenhang mit Android zu informieren sowie aufzu- zeigen, wie Android-basierte Geräte sicher in Institutionen eingesetzt werden können.

SYS.3.2.4.A2 Deaktivieren der Entwickler-Optionen (S)

SYS. 3.3 Mobiltelefon

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein SYS. 3.3 Mobiltelefon

SYS.3.3.A1 Sicherheitsrichtlinien und Regelungen für die Mobiltelefon-Nutzung (B)

SYS.3.3.A2 Sperrmaßnahmen bei Verlust eines Mobiltelefons [Benutzer] (B)

SYS.3.3.A3 Sensibilisierung und Schulung der Mitarbeiter im Umgang mit Mobiltelefonen (B)

SYS.3.3.A4 Aussonderung und ordnungsgemäße Entsorgung von Mobiltelefonen und darin verwendeter Speicherkarten (B)

SYS. 4.1 Drucker, Kopierer und Multifunktionsgerät

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein SYS. 4.1 Drucker, Kopierer und Multifunktionsgerät

Dieser Baustein beschreibt, wie sich Drucker, Kopierer und Multifunktionsgeräte sicher betreiben lassen, sodass we- der Informationen über diese Geräte abfließen können noch durch sie die Sicherheit der übrigen internen IT-Infra- struktur beeinträchtigt wird.

SYS.4.1.A1 Planung des Einsatzes von Druckern, Kopierern und Multifunktionsgeräten (B)

SYS.4.1.A2 Geeignete Aufstellung und Zugriff auf Drucker, Kopierer und Multifunktionsgeräte (B)

SYS.4.1.A22 Ordnungsgemäße Entsorgung ausgedruckter Dokumente (B)

SYS. 4.3 Eingebettete Systeme

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein SYS. 4.3 Eingebettete Systeme

Ziel des Bausteins ist es, über typische Gefährdungen für eingebettete Systeme zu informieren sowie aufzuzeigen, wie diese Systeme sicher in Institutionen eingesetzt werden können.

SYS.4.3.A1 Regelungen zum Umgang mit eingebetteten Systemen (B)

SYS.4.3.A2 Deaktivieren nicht benutzter Schnittstellen und Dienste bei eingebetteten Systemen [Entwickler] (B)

SYS.4.3.A3 Protokollierung sicherheitsrelevanter Ereignisse bei eingebetteten Systemen (B)

SYS. 4.4 Allgemeines IoT Gerät

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein SYS. 4.4 Allgemeines IoT Gerät

Ziel dieses Bausteins ist es, IoT-Geräte so abzusichern, dass über diese weder die Informationssicherheit der eigenen Institution noch die von Außenstehenden beeinträchtigt wird. 

SYS.4.4.A1 Einsatzkriterien für IoT-Geräte (B)

SYS.4.4.A2 Authentisierung (B)

SYS.4.4.A5 Einschränkung des Netzzugriffs (B)

SYS. 4.5 Wechseldatenträger

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein SYS. 4.5 Wechseldatenträger

In diesem Baustein wird aufgezeigt, wie Wechseldatenträger sicher genutzt werden können. 

SYS.4.5.A1 Sensibilisierung der Mitarbeiter zum sicheren Umgang mit Wechseldatenträgern (B)

SYS.4.5.A2 Verlust- bzw. Manipulationsmeldung [Benutzer] (B)

SYS.4.5.A10 Datenträgerverschlüsselung (B)

SYS.4.5.A12 Schutz vor Schadsoftware [Benutzer] (B)

NET: Netze und Kommunikation | System-Bausteine – IT-Grundschutz

Die Schicht NET betrachtet die Vernetzungsaspekte, die sich nicht primär auf bestimmte IT-Systeme, sondern auf die Netzverbindungen und die Kommunikation beziehen. Dazu gehören zum Beispiel die Bausteine Netz- ManagementFirewall und WLAN-Betrieb.

NET. 1.1 Netzwerkarchitektur und – Design<a href=”NET.1.1: Netzarchitektur und -design”></a>

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein NET. 1.1 Netzwerkarchitektur und – Design

Ziel dieses Bausteins ist es, die Informationssicherheit als integralen Bestandteil der Netzarchitektur und des Netzde- signs zu etablieren.

NET.1.1.A1 Sicherheitsrichtlinie für das Netz [IT-Betrieb] (B)

NET.1.1.A2 Dokumentation des Netzes [IT-Betrieb] (B)

NET.1.1.A3 Anforderungsspezifikation für das Netz (B)

NET.1.1.A4 Netztrennung in Zonen (B)

NET.1.1.A5 Client-Server-Segmentierung (B)

NET.1.1.A6 Endgeräte-Segmentierung im internen Netz (B)

NET.1.1.A7 Absicherung von schützenswerten Informationen (B

NET.1.1.A8 Grundlegende Absicherung des Internetzugangs (B)

NET.1.1.A9 Grundlegende Absicherung der Kommunikation mit nicht vertrauenswürdigen Netzen (B)

NET.1.1.A10 DMZ-Segmentierung für Zugriffe aus dem Internet (B)

NET.1.1.A11 Absicherung eingehender Kommunikation vom Internet in das interne Netz (B)

NET.1.1.A12 Absicherung ausgehender interner Kommunikation zum Internet (B)

NET.1.1.A13 Netzplanung (B)

NET.1.1.A14 Umsetzung der Netzplanung (B)

NET.1.1.A15 Regelmäßiger Soll-Ist-Vergleich (B)

NET. 1.2 Netzmanagement

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein NET. 1.2 Netzmanagement

Ziel dieses Bausteins ist es, die Informationssicherheit als integralen Bestandteil des Netzmanagements zu etablieren.

NET.1.2.A1 Planung des Netzmanagements (B)

NET.1.2.A2 Anforderungsspezifikation für das Netzmanagement (B)

NET.1.2.A6 Regelmäßige Datensicherung (B)

NET.1.2.A7 Grundlegende Protokollierung von Ereignissen (B)

NET.1.2.A8 Zeit-Synchronisation (B)

NET.1.2.A9 Absicherung der Netzmanagement-Kommunikation und des Zugriffs auf Netz-Management- Werkzeuge (B)

NET.1.2.A10 Beschränkung der SNMP-Kommunikation (B)

NET. 2.1 WLAN-Betrieb

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein NET. 2.1 WLAN-Betrieb

In diesem Baustein wird systematisch aufgezeigt, wie WLANs sicher in einer Institution aufgebaut und betrieben werden können.

NET.2.1.A1 Festlegung einer Strategie für den Einsatz von WLANs (B)

NET.2.1.A2 Auswahl eines geeigneten WLAN-Standards [Planer] (B)

NET.2.1.A3 Auswahl geeigneter Kryptoverfahren für WLAN [Planer] (B)

NET.2.1.A4 Geeignete Aufstellung von Access Points [Haustechnik] (B)

NET.2.1.A5 Sichere Basis-Konfiguration der Access Points (B)

NET.2.1.A6 Sichere Konfiguration der WLAN-Infrastruktur (B)

NET.2.1.A7 Aufbau eines Distribution Systems [Planer] (B)

NET.2.1.A8 Verhaltensregeln bei WLAN-Sicherheitsvorfällen (B)

NET. 2.2 WLAN-Nutzung

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein NET. 2.2 WLAN-Nutzung

In diesem Baustein soll aufgezeigt werden, wie WLANs sicher genutzt werden können.

NET.2.2.A1 Erstellung einer Benutzerrichtlinie für WLAN [IT-Betrieb] (B)

NET.2.2.A2 Sensibilisierung und Schulung der WLAN-Benutzer [Vorgesetzte, IT-Betrieb] (B)

NET.2.2.A3 Absicherung der WLAN-Nutzung an Hotspots [IT-Betrieb] (B)

NET. 3.1 Router und Switches

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein NET. 3.1 Router und Switches

Der Baustein beschreibt, wie Router und Switches sicher eingesetzt werden können.

NET.3.1.A1 Sichere Grundkonfiguration eines Routers oder Switches (B)

NET.3.1.A4 Schutz der Administrationsschnittstellen (B)

NET.3.1.A5 Schutz vor Fragmentierungsangriffen (B)

NET.3.1.A6 Notfallzugriff auf Router und Switches (B)

NET.3.1.A7 Protokollierung bei Routern und Switches (B)

NET.3.1.A8 Regelmäßige Datensicherung (B)

NET.3.1.A9 Betriebsdokumentationen (B)

NET. 3.2 Firewall

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein NET. 3.2 Firewall

Ziel des Bausteins ist es, eine Firewall bzw. eine Firewall-Struktur mithilfe der in den folgenden Kapiteln beschriebe- nen Anforderungen sicher einsetzen zu können, um Netze mit unterschiedlichen Schutzanforderungen sicher mit- einander zu verbinden.

NET.3.2.A1 Erstellung einer Sicherheitsrichtlinie (B)

NET.3.2.A2 Festlegen der Firewall-Regeln (B)

NET.3.2.A3 Einrichten geeigneter Filterregeln am Paketfilter (B)

NET.3.2.A4 Sichere Konfiguration der Firewall (B)

NET.3.2.A6 Schutz der Administrationsschnittstellen (B)

NET.3.2.A7 Notfallzugriff auf die Firewall (B)

NET.3.2.A8 Unterbindung von dynamischem Routing (B)

NET.3.2.A9 Protokollierung (B)

NET.3.2.A10 Abwehr von Fragmentierungsangriffen am Paketfilter (B)

NET.3.2.A14 Betriebsdokumentationen (B)

NET.3.2.A15 Beschaffung einer Firewall (B)

NET. 3.3 VPN

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein NET. 3.3 VPN

Der Baustein definiert Anforderungen, mit denen sich ein VPN zielgerichtet und sicher planen, umsetzen und betreiben lässt.

NET.3.3.A1 Planung des VPN-Einsatzes (B)

NET.3.3.A2 Auswahl eines VPN-Dienstleisters (B)

NET.3.3.A3 Sichere Installation von VPN-Endgeräten (B)

NET.3.3.A4 Sichere Konfiguration eines VPN (B)

NET.3.3.A5 Sperrung nicht mehr benötigter VPN-Zugänge (B)

NET. 4.1 TK-Anlagen

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein NET. 4.1 TK-Anlagen

In diesem Baustein werden die für die TK-Anlagen sowie die entsprechenden Anteile von Hybrid-Anlagen spezifi- schen Gefährdungen und Anforderungen betrachtet.

NET.4.1.A1 Anforderungsanalyse und Planung für TK-Anlagen [IT-Betrieb] (B)

NET.4.1.A2 Auswahl von TK-Diensteanbietern [IT-Betrieb] (B)

NET.4.1.A5 Protokollierung bei TK-Anlagen (B)

NET. 4.2 VoIP

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein NET. 4.2 VoIP

Dieser Baustein betrachtet die Sicherheitsaspekte der Endgeräte und Vermittlungseinheiten (Middleware) von VoIP.

NET.4.2.A1 Planung des VoIP-Einsatzes (B)

NET.4.2.A3 Sichere Administration und Konfiguration von VoIP-Endgeräten (B)

NET.4.2.A4 Einschränkung der Erreichbarkeit über VoIP (B)

NET.4.2.A5 Sichere Konfiguration der VoIP-Middleware (B)

NET. 4.3 Faxgeräte und Faxserver

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein NET. 4.3 Faxgeräte und Faxserver

Ein Ziel dieses Bausteins ist der Schutz der Informationen, die mithilfe von Faxsendungen übermittelt und verarbeitet werden.

NET.4.3.A1 Geeignete Aufstellung eines Faxgerätes [Haustechnik] (B)

NET.4.3.A2 Informationen für Mitarbeiter über die Faxnutzung (B)

NET.4.3.A3 Sicherer Betrieb eines Faxservers [IT-Betrieb] (B)

INF.9.A4 Arbeiten mit fremden IT-Systemen [IT-Betrieb, Mitarbeiter] (B)

INF: Infrastruktur | System-Bausteine – IT-Grundschutz

Die Schicht INF befasst sich mit den baulich-technischen Gegebenheiten, hier werden Aspekte der infrastruktu- rellen Sicherheit zusammengeführt. Dies betrifft unter anderem die Bausteine Allgemeines Gebäude und Rechenzentrum.

INF. 1 Allgemeine Gebäude

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein INF. 1 Allgemeine Gebäude

In diesem Baustein wird beschrieben, welche Anforderungen zu erfüllen sind, um ein Gebäude aus Sicht der Infor- mationssicherheit optimal zu schützen.

INF.1.A1 Planung der Gebäudeabsicherung [Planer] (B)

INF.1.A2 Angepasste Aufteilung der Stromkreise (B)

INF.1.A3 Einhaltung von Brandschutzvorschriften (B)

INF.1.A4 Branderkennung in Gebäuden [Planer] (B)

INF.1.A5 Handfeuerlöscher (B)

INF.1.A6 Geschlossene Fenster und Türen [Mitarbeiter] (B)

INF.1.A7 Zutrittsregelung und -kontrolle [Zentrale Verwaltung] (B)

INF.1.A8 Rauchverbot (B)

INF.1.A10 Einhaltung einschlägiger Normen und Vorschriften [Errichterfirma, Bauleiter] (B)

INF. 2 Rechenzentrum sowie Serverraum

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein INF. 2 Rechenzentrum sowie Serverraum

Dieser Baustein richtet sich einerseits an Institutionen, die ein Rechenzentrum betreiben und im Rahmen einer Revi- sion prüfen möchten, ob sie geeignete Sicherheitsmaßnahmen umgesetzt haben.

INF.2.A1 Festlegung von Anforderungen [Haustechnik, Planer] (B)

INF.2.A2 Bildung von Brandabschnitten [Planer] (B)

INF.2.A3 Einsatz einer unterbrechungsfreien Stromversorgung [Haustechnik] (B)

INF.2.A4 Notabschaltung der Stromversorgung [Haustechnik] (B)

INF.2.A5 Einhaltung der Lufttemperatur und -feuchtigkeit [Haustechnik] (B)

INF.2.A6 Zutrittskontrolle [Haustechnik] (B)

INF.2.A7 Verschließen und Sichern [Mitarbeiter, Haustechnik] (B)

INF.2.A8 Einsatz einer Brandmeldeanlage [Planer] (B)

INF.2.A9 Einsatz einer Lösch- oder Brandvermeidungsanlage [Haustechnik] (B)

INF.2.A10 Inspektion und Wartung der Infrastruktur [Wartungspersonal, Haustechnik] (B)

INF.2.A11 Automatische Überwachung der Infrastruktur [Haustechnik] (B)

INF.2.A17 Einsatz einer Brandfrüherkennung [Planer, Haustechnik] (B)

INF.2.A29 Vermeidung und Überwachung nicht erforderlicher Leitungen [Haustechnik, Planer] (B)

INF. 5 Raum sowie Schrank für technische Infrastruktur

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein INF. 5 Raum sowie Schrank für technische Infrastruktur

Ziel dieses Bausteins ist es, einen Raum oder Schrank für technische Infrastruktur im Sinne der Informationssicher- heit baulich, mechanisch und elektronisch zu schützen.

INF.5.A1 Planung der Raumabsicherung [Planer] (B)

INF.5.A2 Lage und Größe des Raumes für technische Infrastruktur [Planer] (B)

INF.5.A3 Zutrittsregelung und -kontrolle [Haustechnik, IT-Betrieb] (B)

INF.5.A4 Schutz vor Einbruch [Planer, Haustechnik] (B)

INF.5.A5 Vermeidung sowie Schutz vor elektromagnetischen Störfeldern [Planer] (B)

INF.5.A6 Minimierung von Brandlasten [Mitarbeiter, Planer] (B)

INF.5.A7 Verhinderung von Zweckentfremdung [Mitarbeiter, Planer] (B)

INF.5.A9 Stromversorgung [Haustechnik] (B)

INF. 6 Datenträgerarchiv

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein INF. 6 Datenträgerarchiv

In diesem Baustein werden die typischen Gefährdungen und Anforderungen bezüglich der Informationssicherheit für ein Datenträgerarchiv beschrieben.

INF.6.A1 Handfeuerlöscher [Brandschutzbeauftragter] (B)

INF.6.A2 Zutrittsregelung und -kontrolle [Haustechnik] (B)

INF.6.A3 Schutz vor Staub und anderer Verschmutzung (B)

INF.6.A4 Geschlossene Fenster und abgeschlossene Türen [Mitarbeiter] (B)

INF. 7 Büroarbeitsplatz

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein INF. 7 Büroarbeitsplatz

Ziel des Bausteins ist der Schutz der Informationen, die in Büroräumen bearbeitet werden.

INF.7.A1 Geeignete Auswahl und Nutzung eines Büroraumes [Vorgesetzte] (B)

INF.7.A2 Geschlossene Fenster und abgeschlossene Türen [Mitarbeiter, Haustechnik] (B)

INF. 8 Häuslicher Arbeitsplatz

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein INF. 8 Häuslicher Arbeitsplatz

In diesem Baustein wird aufgezeigt, wie sich die Infrastruktur eines häuslichen Arbeitsplatzes sicher aufbauen und betreiben lässt.

INF.8.A1 Sichern von dienstlichen Unterlagen am häuslichen Arbeitsplatz (B)

INF.8.A2 Transport von Arbeitsmaterial zum häuslichen Arbeitsplatz (B)

INF.8.A3 Schutz vor unbefugtem Zutritt am häuslichen Arbeitsplatz (B)

INF. 9 Mobiler Arbeitsplatz

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein INF. 9 Mobiler Arbeitsplatz

Der Baustein beschreibt Sicherheitsanforderungen an mobile Arbeitsplätze

INF.9.A1 Geeignete Auswahl und Nutzung eines mobilen Arbeitsplatzes [IT-Betrieb] (B)

INF.9.A2 Regelungen für mobile Arbeitsplätze [Personalabteilung] (B)

INF.9.A3 Zutritts- und Zugriffsschutz [Zentrale Verwaltung, Mitarbeiter] (B)

INF.9.A4 Arbeiten mit fremden IT-Systemen [IT-Betrieb, Mitarbeiter] (B)

INF. 10 Besprechung-, Veranstaltungs- und Schulungsräume

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein INF. 10 Besprechung-, Veranstaltungs- und Schulungsräume

Ziel des Bausteins ist der Schutz von Informationen, die in Besprechungs-, Veranstaltungs- und Schulungsräumen bearbeitet werden, sowie der IT-Systeme, die in diesen Räumen betrieben werden.

INF.10.A1 Sichere Nutzung von Besprechungs-, Veranstaltungs- und Schulungsräumen [Haustechnik, IT- Betrieb] (B)

INF.10.A3 Geschlossene Fenster und Türen [Mitarbeiter] (B)

INF. 11 Allgemeines Fahrzeug

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein INF. 11 Allgemeines Fahrzeug

Der Baustein beschreibt spezifische Gefährdungen, die zu beachten sind, wenn Institutionen Fahrzeuge mit IT- Komponenten einsetzen oder Fahrzeuge im Allgemeinen als IT-Arbeitsplätze verwenden. 

INF.11.A1 Planung und Beschaffung [Fachverantwortliche, Beschaffungsstelle, Datenschutzbeauftragter] (B)

INF.11.A2 Wartung, Inspektion und Updates [Fachverantwortliche, IT-Betrieb] (B)

INF.11.A3 Regelungen für die Fahrzeugbenutzung [IT-Betrieb, Fachverantwortliche, Benutzer, Datenschutzbeauftragter] (B)

INF. 12 Vergabung

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein INF. 12 Vergabung

Ziel dieses Bausteins ist es, die gesamte elektrotechnische Verkabelung und IT-Verkabelung vor Ausfall, Manipula- tion und Störung zu schützen.

INF.12.A1 Auswahl geeigneter Kabeltypen [IT-Betrieb, Haustechnik] (B)

INF.12.A2 Planung der Kabelführung [IT-Betrieb, Haustechnik] (B)

INF.12.A3 Fachgerechte Installation [IT-Betrieb, Haustechnik] (B)

INF.12.A4 EMV-taugliche Stromversorgung [Haustechnik] (B)

INF. 13 Technisches Gebäudemanagement

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein INF. 13 Technisches Gebäudemanagement

Ziel dieses Bausteins ist es, die Informationssicherheit als integralen Bestandteil bei Planung, Umsetzung und Be- trieb im Rahmen des TGM zu etablieren.

INF.13.A1 Beurteilung des Ist-Zustands bei der Übernahme bestehender Gebäude (B)

INF.13.A2 Regelung und Dokumentation von Verantwortlichkeiten und Zuständigkeiten im Gebäude [Institutionsleitung, Planer] (B)

INF.13.A3 Dokumentation von Gebäudeeinrichtungen (B)

INF. 14 Gebäudeautomation

Wir unterstützen bei der Umsetzung der Anforderungen für den Baustein INF. 14 Gebäudeautomation

Ziel dieses Bausteins ist es, die Informationssicherheit als integralen Bestandteil bei Planung, Realisierung und Be- trieb von GA zu etablieren.

INF.14.A1 Planung der Gebäudeautomation (B) [Planer]

INF.14.A2 Festlegung eines Inbetriebnahme- und Schnittstellenmanagements für die GA (B)

INF.14.A3 Sichere Anbindung von TGA-Anlagen und GA-Systemen (B)

INF.14.A4 Berücksichtigung von Gefahrenmeldeanlagen in der GA (B) [Planer]

INF.14.A5 Dokumentation der GA (B)

INF.14.A6 Separierung von Netzen der GA (B) [Planer, IT-Betrieb]

Quelle: BSI Bund | Keine Gewähr für Richtigkeit. Wir übernehmen keine Haftung aus diesem Dokument und dessen Verlinkungen

Please accept [renew_consent]%cookie_types[/renew_consent] cookies to watch this video.