Navigation und Service

Es gehört zu den Kernaufgaben des BSI, Gefährdungen für die IT des Bundes vorzubeugen. Im Rahmen des § 8 Abs. 1 BSI-Gesetz (BSIG) legt das BSI im Benehmen mit den Ressorts Mindeststandards für die Sicherheit der Informationstechnik des Bundes fest.

Durch die Vorgabe verbindlicher Sicherheitsanforderungen an die Informationstechnik des Bundes kann ein einheitliches Mindestsicherheitsniveau mit effektiven Maßnahmen zur Abwehr von Cyber-Angriffen innerhalb der heterogenen Behördenlandschaft etabliert werden. Mindeststandards können sowohl Vorgaben für technische Komponenten wie Hardware, Software und Netze setzen als auch für sonstige für die Sicherheit relevante Aspekte mit technischem Bezug, wie zum Beispiel Organisation und Personal.

Der Geltungsbereich von Mindeststandards erstreckt sich gemäß § 8 Abs. 1 BSIG über folgende Bereiche:

1. Stellen des Bundes
2. Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie ihrer Vereinigungen ungeachtet ihrer Rechtsform auf Bundesebene, soweit von der jeweils zuständigen obersten Bundesbehörde angeordnet
3. Öffentliche Unternehmen, die mehrheitlich im Eigentum des Bundes stehen und die IT-Dienstleistungen für die Bundesverwaltung erbringen.

In den Mindeststandards fassen wir diese Bereiche unter dem Begriff  "Einrichtung" zusammen, um die Lesbarkeit zu vereinfachen.

Für die in § 2 Abs. 3 S. 2 BSIG genannten Gerichte und Verfassungsorgane (Bundesverfassungsgericht, Bundesgerichte, soweit sie nicht öffentlich-rechtliche Verwaltungsaufgaben wahrnehmen, Bundestag, Bundesrat, Bundespräsident und Bundesrechnungshof) haben die Mindeststandards empfehlenden Charakter. Für den Geschäftsbereich des Bundesministeriums der Verteidigung gelten darüber hinaus Ausnahmen gemäß § 4a Abs. 6 BSIG.

Die Mindeststandards beschreiben ein Mindestsicherheitsniveau. Zwar ist dieses primär auf die in § 8 Abs. 1 BSIG genannte Zielgruppe ausgerichtet, jedoch können die Mindeststandards z.B. auch Landesverwaltungen oder die Wirtschaft bei der Erreichung eines Mindestsicherheitsniveaus unterstützen. Die Sicherheitsanforderungen sind in der Regel so formuliert, dass diese auch außerhalb der Bundesverwaltung erfüllt werden können.

Die rechtliche Verbindlichkeit der Mindeststandards ergibt sich aus § 8 Abs. 1 des BSI-Gesetzes. Demnach erarbeitet das BSI Mindeststandards für die Sicherheit der Informationstechnik des Bundes und berät die Einrichtungen im Geltungsbereich auf Ersuchen bei der Umsetzung und Einhaltung der Mindeststandards.

Der strategische Rahmen der Mindeststandards ergibt sich aus der Cybersicherheitstrategie für Deutschland. Die in den Mindeststandards formulierten Vorgaben können dazu beitragen, die in der Cybersicherheitstrategie genannten Ziele zu erreichen, insbesondere die "Stärkung der Cyber- und Informationssicherheit der Bundesverwaltung".

Der konzeptionelle Rahmen zeigt relevante Regelungen auf, die auf das Instrumentarium der Mindeststandards Bezug nehmen. Hierzu zählt der Umsetzungsplan Bund 2017, welcher als Informationssicherheitsleitlinie des Bundes ausdrücklich auf die Beachtung der Mindeststandards des BSI hinweist. Der Haushaltsauschuss des Deutschen Bundestages hat in seiner 82. Sitzung u. a. beschlossen, dass ein Mindeststandard für die Sicherheit von Rechenzentren des Bundes festzulegen ist. Auch die "Konzeption Zivile Verteidigung" und die "Architekturrichtlinie für die IT des Bundes" nehmen Bezug auf die Mindeststandards und legen fest, dass diese maßgeblich für die IT-Sicherheit in der Bundesverwaltung sind.

Die Mindeststandards des BSI unterscheiden sich in wichtigen Aspekten von anderen nationalen und internationalen Standards zur Informationssicherheit (z. B. BSI-Standards 200-x, ISO 2700x):

1. Zielgruppe: Die Mindeststandards richten sich an eine spezifische Zielgruppe (primär die Bundesverwaltung), die in § 8 Abs. 1 BSIG genauer festgelegt wird.
2. Verpflichtung: Die Zielgruppe ist laut § 8 Abs. 1 BSIG verpflichtet, die Sicherheitsanforderungen der Mindeststandards umzusetzen. Abweichungen von den Mindeststandards sind nur in sachlich gerechtfertigten Fällen zulässig.
3. Sicherheitsanforderungen: Mindeststandards unterscheiden sich durch die Art der Anforderungen von anderen Standards. So beschreiben die Mindeststandards eine Mindestabsicherung, die laut § 8 Abs. 1 BSIG nicht unterschritten werden darf. Ziel ist nicht, ein möglichst hohes Maß an Sicherheit zu erreichen, sondern ein einheitliches Mindestniveau, das im Geltungsbereich der Mindeststandards realisiert wird.
4. Überwachung und Kontrolle: Die Erfüllung und Einhaltung der Mindeststandards kann laut § 8 Abs. 1a BSIG überprüft werden. Das Bundesministerium des Innern und für Heimat kann im Benehmen mit dem CIO Board (vorm. Konferenz der IT-Beauftragten der Ressorts) bei bedeutenden Mindeststandards die Überwachung und Kontrolle ihrer Einhaltung durch das BSI anordnen.
5. Zertifizierung: Aktuell besteht keine Möglichkeit einer Zertifizierung auf Basis der Mindeststandards.

Das BSI erarbeitet Mindeststandards nach einer standardisierten Vorgehensweise. In insgesamt sieben Phasen wird der gesamte Lebenszyklus (Life Cycle) eines Mindeststandards beschrieben, von der Ideenfindung bis über die Veröffentlichung hinaus (siehe Abbildung unten). Dabei wird besonderer Wert auf eine breite und aktive Einbindung aller Adressaten gelegt. Grob kann man den Prozess in drei Hauptabschnitte einteilen: die hausinterne Erarbeitung, das externe Konsultationsverfahren und die Nutzungsphase nach Veröffentlichung.

I. Als erstes werden mögliche Themen für neue Mindeststandards identifiziert (Pre-α). Neben der Expertise des BSI sind dazu auch Anregungen der Adressaten eine wichtige Quelle. Wurde ein Thema zur Bearbeitung ausgewählt, erstellen das Referat Mindeststandards und das zuständige Fachreferat eine Grobversion, die dann im gesamten BSI abgestimmt und zum ersten BSI-Entwurf entwickelt wird (α).

II. Danach startet das Konsultationsverfahren (β). Das BSI gibt seinen Entwurf an die Ressorts und veröffentlicht parallel einen Community Draft auf seiner Webseite. So erhalten sowohl die Adressaten, als auch interessiertes Fachpublikum die Möglichkeit, Rückmeldungen zu geben und so ihre Expertise in die Entwicklung des Mindeststandards mit einfließen zu lassen. Nach Ende der β-Phase werden die Rückmeldungen zusammen mit dem Fachreferat eingearbeitet. Der zweite Entwurf des Mindeststandards wird im BSI final abgestimmt und schlussgezeichnet (Release Candidate). Anschließend wird der Mindeststandard sowohl auf der BSI-Webseite veröffentlicht, als auch direkt an die Ressorts zur Umsetzung gegeben (Release).

III. Mit der Veröffentlichung endet der Life Cycle noch nicht. Es folgt die Δ-Phase, zu der neben Support auch das Monitoring gehört. Der Einsatz des Mindeststandards wird analysiert und die Inhalte werden regelmäßig auf Aktualität geprüft. So kann über einen Änderungsantrag die Aktualisierung eines bereits veröffentlichten Mindeststandards eingeleitet werden, z.B. wenn sich technische Rahmenbedingungen geändert haben (Request for Change).

Mindeststandards unterliegen also einem aktiven, fortdauernden Prozess, in dem Rückmeldungen und Kritik ausdrücklich erwünscht sind.

Sicherheitsanforderungen sind durch eine Identifikationsnummer nummeriert und somit referenzierbar. Die Bezeichnung der einzelnen Mindeststandardanforderungen setzt sich zusammen aus: dem Kürzel des jeweiligen Mindeststandards, der Kapitelnummer, der Unterkapitelnummer, sowie der Anforderungsnummer (siehe Abbildung). Diese kann in bestimmten, optionalen Fällen durch Buchstaben in Teil-Anforderungen unterteilt sein.

Hinweis: Die vor 2018 veröffentlichten Mindeststandards folgen nicht dem oben beschriebenen Schema. Im Rahmen der nächsten Aktualisierungen werden diese angepasst.

Einige Dokumente der Mindeststandards sind nach der Verschlusssachenanweisung (VSA) als “VS – NUR FÜR DEN DIENSTGEBRAUCH" eingestuft und werden daher nicht auf den allgemeinen Webseiten veröffentlicht, sondern sind in einem geschützten Bereich abgelegt.

Dies betrifft derzeit den Mindeststandard Nutzerpflichten NdB sowie das dazugehörige Hilfsdokument und die Referenztabelle.

Der Zugang zum geschützten Bereich wird ausschließlich berechtigten Bedarfsträgern erteilt (in der Regel: IT-Sicherheitsbeauftragte bzw. Informationssicherheitsbeauftragte der Bundesverwaltung).

Der Zugriff auf den geschützten Bereich erfolgt über eine interne Seite der Sicherheitsberatung des BSI.

Voraussetzungen zum Zugriff sind ein Zugang zur internen Seite der Sicherheitsberatung sowie der Chiasmus- oder der GPG-Schlüssel der Sicherheitsberatung. Die Daten für die Anmeldung sowie einen der genannten Schlüssel erhalten Sie über die Sicherheitsberatung.

Die Dokumente des Mindeststandards "Nutzerpflichten NdB" können Sie zusätzlich über das Kundenportal der BDBOS erhalten (Hinweis: Die Webseite ist nur über das Intranet des Bundes/NdB erreichbar).

Jeder Mindeststandard wird unmittelbar mit seiner Veröffentlichung gültig. Vorhergehende Versionen verlieren damit ihre Gültigkeit. Die Umsetzung kann entsprechend erst nach der jeweiligen Veröffentlichung erfolgen. Hierbei gelten jedoch keine allgemeinen (Übergangs-)Fristen - eine Planung und Umsetzung der neuen oder geänderten Anforderungen sollte möglichst zeitnah erfolgen.

In der Regel wird zu jedem Mindeststandard eine Referenztabelle veröffentlicht, die alle Anforderungen sowie konkrete Bezüge zu IT-Grundschutz-Anforderungen enthält. Diese kann zum Beispiel auch als Checkliste verwendet werden. Zusätzlich gibt es zu einigen Mindeststandards auch Hilfsdokumente bzw. Umsetzungshinweise sowie spezifische Änderungs- und Abgleichstabellen.

Englische Versionen der Mindeststandards liegen derzeit nicht vor und sind auch nicht geplant, da die primäre Zielgruppe der Mindeststandards die Bundesverwaltung ist.

Nehmen Sie gerne Kontakt mit uns auf, wenn Sie Fragen oder Anregungen zu den Mindeststandards haben.