NET.1.1 Netzarchitektur und -design
Basis-Anforderungen
NET.1.1.A1 Sicherheitsrichtlinie für das Netz [Leiter IT, Informationssicherheitsbeauftragter (ISB)] (B)
NET.1.1.A2 Dokumentation des Netzes [IT-Betrieb] (B)
NET.1.1.A3 Anforderungsspezifikation für das Netz (B)
NET.1.1.A4 Netztrennung in Sicherheitszonen (B)
NET.1.1.A5 Client-Server-Segmentierung (B)
NET.1.1.A6 Endgeräte-Segmentierung im internen Netz (B)
NET.1.1.A7 Absicherung von schützenswerten Informationen (B)
NET.1.1.A8 Grundlegende Absicherung des Internetzugangs (B)
NET.1.1.A9 Grundlegende Absicherung der Kommunikation mit nicht vertrauenswürdigen Netzen (B)
NET.1.1.A10 DMZ-Segmentierung für Zugriffe aus dem Internet (B)
NET.1.1.A11 Absicherung eingehender Kommunikation vom Internet in das interne Netz (B)
NET.1.1.A12 Absicherung ausgehender interner Kommunikation zum Internet (B)
NET.1.1.A13 Netzplanung (B)
NET.1.1.A14 Umsetzung der Netzplanung (B)
NET.1.1.A15 Regelmäßiger Soll-Ist-Vergleich [Informationssicherheitsbeauftragter (ISB)] (B)
Standard-Anforderungen
NET.1.1.A16 Spezifikation der Netzarchitektur (S)
NET.1.1.A17 Spezifikation des Netzdesigns (S)
NET.1.1.A18 P-A-P-Struktur für die Internet-Anbindung (S)
NET.1.1.A19 Separierung der Infrastrukturdienste (S)
NET.1.1.A20 Zuweisung dedizierter Subnetze für IPv4/IPv6-Endgerätegruppen (S)
NET.1.1.A21 Separierung des Management-Bereichs (S)
NET.1.1.A22 Spezifikation des Segmentierungskonzepts (S)
NET.1.1.A23 Trennung von Sicherheitssegmenten (S)
NET.1.1.A24 Sichere logische Trennung mittels VLAN (S)
NET.1.1.A25 Fein- und Umsetzungsplanung von Netzarchitektur und -design (S)
NET.1.1.A26 Spezifikation von Betriebsprozessen für das Netz (S)
NET.1.1.A27 Einbindung der Netzarchitektur in die Notfallplanung [Leiter IT] (S)
Anforderungen bei erhöhtem Schutzbedarf
NET.1.1.A28 Hochverfügbare Netz- und Sicherheitskomponenten (H)
NET.1.1.A29 Hochverfügbare Realisierung von Netzanbindungen (H)
NET.1.1.A30 Schutz vor Distributed-Denial-of-Service (H)
NET.1.1.A31 Physische Trennung von Sicherheitssegmenten (H)
NET.1.1.A32 Physische Trennung von Management-Segmenten (H)
NET.1.1.A33 Mikrosegmentierung des Netzes (H)
NET.1.1.A34 Einsatz kryptografischer Verfahren auf Netzebene (H)
NET.1.1.A35 Einsatz von netzbasiertem DLP [Informationssicherheitsbeauftragter (ISB)] (H)
NET.1.1.A36 Trennung mittels VLAN bei sehr hohem Schutzbedarf (H)
NET.1.2 Netzmanagement
Basis-Anforderungen
NET.1.2.A1 Planung des Netzmanagements (B)
NET.1.2.A2 Anforderungsspezifikation für das Netzmanagement [Leiter IT] (B)
NET.1.2.A3 Rollen- und Berechtigungskonzept für das Netzmanagement (B)
NET.1.2.A4 Grundlegende Authentisierung für den Netzmanagement-Zugriff [Leiter IT, Informationssicherheitsbeauftragter (ISB)] (B)
NET.1.2.A5 Einspielen von Updates und Patches (B)
NET.1.2.A6 Regelmäßige Datensicherung (B)
NET.1.2.A7 Grundlegende Protokollierung von Ereignissen (B)
NET.1.2.A8 Zeit-Synchronisation (B)
NET.1.2.A9 Absicherung der Netzmanagement-Kommunikation (B)
NET.1.2.A10 Beschränkung der SNMP-Kommunikation (B)
Standard-Anforderungen
NET.1.2.A11 Festlegung einer Sicherheitsrichtlinie für das Netzmanagement [Informationssicherheitsbeauftragter (ISB)] (S)
NET.1.2.A12 Ist-Aufnahme und Dokumentation des Netzmanagements (S)
NET.1.2.A13 Erstellung eines Netzmanagement-Konzepts [Leiter IT] (S)
NET.1.2.A14 Fein- und Umsetzungsplanung (S)
NET.1.2.A15 Konzept für den sicheren Betrieb der Netzmanagement-Infrastruktur (S)
NET.1.2.A16 Einrichtung und Konfiguration von Netzmanagement-Lösungen (S)
NET.1.2.A17 Regelmäßiger Soll-Ist-Vergleich (S)
NET.1.2.A18 Schulungen für Management-Lösungen [Vorgesetzte] (S)
NET.1.2.A19 Starke Authentisierung des Management-Zugriffs (S)
NET.1.2.A20 Absicherung des Zugangs zu Netzmanagement-Lösungen (S)
NET.1.2.A21 Entkopplung der Netzmanagement-Kommunikation (S)
NET.1.2.A22 Beschränkung der Management-Funktionen (S)
NET.1.2.A23 Protokollierung der administrativen Zugriffe (S)
NET.1.2.A24 Zentrale Konfigurationsverwaltung für Netzkomponenten (S)
NET.1.2.A25 Statusüberwachung der Netzkomponenten (S)
NET.1.2.A26 Umfassende Protokollierung, Alarmierung und Logging von Ereignissen (S)
NET.1.2.A27 Einbindung des Netzmanagements in die Notfallplanung (S)
NET.1.2.A28 Platzierung der Management-Clients für das In-Band-Management (S)
NET.1.2.A29 Einsatz von VLANs in der Management-Zone (S)
Anforderungen bei erhöhtem Schutzbedarf
NET.1.2.A30 Hochverfügbare Realisierung der Management-Lösung (H)
NET.1.2.A31 Grundsätzliche Nutzung von sicheren Protokollen (H)
NET.1.2.A32 Physische Trennung des Managementnetzes (H)
NET.1.2.A33 Physische Trennung von Management-Segmenten [Leiter Netze] (H)
NET.1.2.A34 Protokollierung von Inhalten administrativer Sitzungen (H)
NET.1.2.A35 Festlegungen zur Beweissicherung (H)
NET.1.2.A36 Einbindung der Protokollierung des Netzmanagements in eine SIEM-Lösung (H)
NET.1.2.A37 Standort übergreifende Zeitsynchronisation (H)
NET.1.2.A38 Festlegung von Notbetriebsformen für die Netzmanagement-Infrastruktur (H)
NET.2.1 WLAN-Betrieb
Basis-Anforderungen
NET.2.1.A1 Festlegung einer Strategie für den Einsatz von WLANs [Leiter IT] (B)
NET.2.1.A2 Auswahl eines geeigneten WLAN-Standards [Planer] (B)
NET.2.1.A3 Auswahl geeigneter Kryptoverfahren für WLAN [Planer] (B)
NET.2.1.A4 Geeignete Aufstellung von Access Points [Haustechnik] (B)
NET.2.1.A5 Sichere Basis-Konfiguration der Access Points (B)
NET.2.1.A6 Sichere Konfiguration der WLAN-Clients (B)
NET.2.1.A7 Aufbau eines Distribution Systems [Planer] (B)
NET.2.1.A8 Verhaltensregeln bei WLAN-Sicherheitsvorfällen (B)
Standard-Anforderungen
NET.2.1.A9 Sichere Anbindung von WLANs an ein LAN [Planer] (S)
NET.2.1.A10 Erstellung einer Sicherheitsrichtlinie für den Betrieb von WLANs (S)
NET.2.1.A11 Geeignete Auswahl von WLAN-Komponenten (S)
NET.2.1.A12 Einsatz einer geeigneten WLAN-Management-Lösung (S)
NET.2.1.A13 Regelmäßige Sicherheitschecks in WLANs (S)
NET.2.1.A14 Regelmäßige Audits der WLAN-Komponenten (S)
Anforderungen bei erhöhtem Schutzbedarf
NET.2.1.A15 Verwendung eines VPN zur Absicherung von WLANs (H)
NET.2.1.A16 Zusätzliche Absicherung bei der Anbindung von WLANs an ein LAN (H)
NET.2.1.A17 Absicherung der Kommunikation zwischen Access Points (H)
NET.2.1.A18 Einsatz von Wireless Intrusion Detection/Wireless Intrusion Prevention Systemen (H)
NET.2.2 WLAN-Nutzung
Basis-Anforderungen
NET.2.2.A1 Erstellung einer Benutzerrichtlinie für WLAN [Leiter IT] (B)
NET.2.2.A2 Sensibilisierung und Schulung der WLAN-Benutzer [Vorgesetzte, Leiter IT] (B)
NET.2.2.A3 Absicherung der WLAN-Nutzung in unsicheren Umgebungen [IT-Betrieb] (B)
Standard-Anforderungen
NET.2.2.A4 Verhaltensregeln bei WLAN-Sicherheitsvorfällen (S)
Anforderungen bei erhöhtem Schutzbedarf
NET.3.1 Router und Switches
Basis-Anforderungen
NET.3.1.A1 Sichere Grundkonfiguration eines Routers oder Switches (B)
NET.3.1.A2 Einspielen von Updates und Patches (B)
NET.3.1.A3 Restriktive Rechtevergabe (B)
NET.3.1.A4 Schutz der Administrationsschnittstellen (B)
NET.3.1.A5 Schutz vor Fragmentierungsangriffen (B)
NET.3.1.A6 Notfallzugriff auf Router und Switches (B)
NET.3.1.A7 Protokollierung bei Routern und Switches (B)
NET.3.1.A8 Regelmäßige Datensicherung (B)
NET.3.1.A9 Betriebsdokumentationen (B)
Standard-Anforderungen
NET.3.1.A10 Erstellung einer Sicherheitsrichtlinie [Informationssicherheitsbeauftragter (ISB)] (S)
NET.3.1.A11 Beschaffung eines Routers oder Switches (S)
NET.3.1.A12 Erstellung einer Konfigurations-Checkliste für Router und Switches (S)
NET.3.1.A13 Administration über ein gesondertes Managementnetz (S)
NET.3.1.A14 Schutz vor Missbrauch von ICMP-Nachrichten (S)
NET.3.1.A15 Bogon- und Spoofing-Filterung (S)
NET.3.1.A16 Schutz vor „IPv6 Routing Header Type-0“-Angriffen (S)
NET.3.1.A17 Schutz vor DoS- und DDoS-Angriffen (S)
NET.3.1.A18 Einrichtung von Access Control Lists (S)
NET.3.1.A19 Sicherung von Switch-Ports (S)
NET.3.1.A20 Sicherheitsaspekte von Routing-Protokollen (S)
NET.3.1.A21 Identitäts- und Berechtigungsmanagement in der Netzinfrastruktur (S)
NET.3.1.A22 Notfallvorsorge bei Routern und Switches (S)
NET.3.1.A23 Revision und Penetrationstests (S)
Anforderungen bei erhöhtem Schutzbedarf
NET.3.1.A24 Einsatz von Netzzugangskontrollen (H)
NET.3.1.A25 Erweiterter Integritätsschutz für die Konfigurationsdateien (H)
NET.3.1.A26 Hochverfügbarkeit (H)
NET.3.1.A27 Bandbreitenmanagement für kritische Anwendungen und Dienste (H)
NET.3.1.A28 Einsatz von zertifizierten Produkten (H)
NET.3.2 Firewall
Basis-Anforderungen
NET.3.2.A1 Erstellung einer Sicherheitsrichtlinie (B)
NET.3.2.A2 Festlegen der Firewall-Regeln (B)
NET.3.2.A3 Einrichten geeigneter Filterregeln am Paketfilter (B)
NET.3.2.A4 Sichere Konfiguration der Firewall (B)
NET.3.2.A5 Restriktive Rechtevergabe (B)
NET.3.2.A6 Schutz der Administrationsschnittstellen (B)
NET.3.2.A7 Notfallzugriff auf die Firewall (B)
NET.3.2.A8 Unterbindung von dynamischem Routing (B)
NET.3.2.A9 Protokollierung (B)
NET.3.2.A10 Abwehr von Fragmentierungsangriffen am Paketfilter (B)
NET.3.2.A11 Einspielen von Updates und Patches (B)
NET.3.2.A12 Vorgehen bei Sicherheitsvorfällen (B)
NET.3.2.A13 Regelmäßige Datensicherung (B)
NET.3.2.A14 Betriebsdokumentationen (B)
NET.3.2.A15 Beschaffung einer Firewall (B)
Standard-Anforderungen
NET.3.2.A16 Aufbau einer „P-A-P“-Struktur (S)
NET.3.2.A17 Deaktivierung von IPv4 oder IPv6 (S)
NET.3.2.A18 Administration über ein gesondertes Managementnetz (S)
NET.3.2.A19 Schutz vor TCP SYN Flooding, UDP Paket Storm und Sequence Number Guessing am Paketfilter (S)
NET.3.2.A20 Absicherung von grundlegenden Internetprotokollen (S)
NET.3.2.A21 Temporäre Entschlüsselung des Datenverkehrs (S)
NET.3.2.A22 Sichere Zeitsynchronisation (S)
NET.3.2.A23 Systemüberwachung und -Auswertung (S)
NET.3.2.A24 Revision und Penetrationstests (S)
Anforderungen bei erhöhtem Schutzbedarf
NET.3.2.A25 Erweiterter Integritätsschutz für die Konfigurationsdateien (H)
NET.3.2.A26 Auslagerung von funktionalen Erweiterungen auf dedizierte Hardware (H)
NET.3.2.A27 Einsatz verschiedener Firewall-Betriebssysteme und -Produkte in einer mehrstufigen Firewall-Architektur (H)
NET.3.2.A28 Zentrale Filterung von aktiven Inhalten (H)
NET.3.2.A29 Einsatz von Hochverfügbarkeitslösungen (H)
NET.3.2.A30 Bandbreitenmanagement für kritische Anwendungen und Dienste (H)
NET.3.2.A31 Einsatz von zertifizierten Produkten (H)
NET.3.3 VPN
Basis-Anforderungen
NET.3.3.A1 Planung des VPN-Einsatzes (B)
NET.3.3.A2 Auswahl eines VPN-Dienstleisters [Informationssicherheitsbeauftragter (ISB)] (B)
NET.3.3.A3 Sichere Installation von VPN-Endgeräten (B)
NET.3.3.A4 Sichere Konfiguration eines VPN (B)
NET.3.3.A5 Sperrung nicht mehr benötigter VPN-Zugänge (B)
Standard-Anforderungen
NET.3.3.A6 Durchführung einer VPN-Anforderungsanalyse (S)
NET.3.3.A7 Planung der technischen VPN-Realisierung (S)
NET.3.3.A8 Erstellung einer Sicherheitsrichtlinie zur VPN-Nutzung (S)
NET.3.3.A9 Geeignete Auswahl von VPN-Produkten (S)
NET.3.3.A10 Sicherer Betrieb eines VPN (S)
NET.3.3.A11 Sichere Anbindung eines externen Netzes (S)
NET.3.3.A12 Benutzer- und Zugriffsverwaltung bei Fernzugriff-VPNs (S)
NET.3.3.A13 Integration von VPN-Komponenten in eine Firewall (S)
Anforderungen bei erhöhtem Schutzbedarf
NET.4.1 TK-Anlagen
Basis-Anforderungen
NET.4.1.A1 Anforderungsanalyse und Planung für TK-Anlagen [Leiter IT, IT-Betrieb] (B)
NET.4.1.A2 Auswahl von TK-Diensteanbietern [Leiter IT] (B)
NET.4.1.A3 Änderung voreingestellter Passwörter (B)
NET.4.1.A4 Absicherung von Remote-Zugängen (B)
NET.4.1.A5 Protokollierung bei TK-Anlagen (B)
Standard-Anforderungen
NET.4.1.A6 Erstellung einer Sicherheitsrichtlinie für TK-Anlagen [Leiter IT] (S)
NET.4.1.A7 Aufstellung der TK-Anlage (S)
NET.4.1.A8 Einschränkung und Sperrung nicht benötigter oder sicherheitskritischer Leistungsmerkmale (S)
NET.4.1.A9 Schulung zur sicheren Nutzung von TK-Anlagen [Leiter IT] (S)
NET.4.1.A10 Dokumentation und Revision der TK-Anlagenkonfiguration [IT-Betrieb] (S)
NET.4.1.A11 Außerbetriebnahme von TK-Anlagen und -geräten [IT-Betrieb] (S)
NET.4.1.A12 Datensicherung der Konfigurationsdateien (S)
NET.4.1.A13 Beschaffung von TK-Anlagen (S)
NET.4.1.A14 Notfallvorsorge für TK-Anlagen (S)
NET.4.1.A15 Notrufe bei einem Ausfall der TK-Anlage (S)
NET.4.1.A16 Sicherung von Telefonie-Endgeräten in frei zugänglichen Räumen (S)
NET.4.1.A17 Wartung von TK-Anlagen (S)
Anforderungen bei erhöhtem Schutzbedarf
NET.4.1.A18 Erhöhter Zugangsschutz (H)
NET.4.1.A19 Redundanter Anschluss (H)
NET.4.2 VoIP
Basis-Anforderungen
NET.4.2.A1 Planung des VoIP-Einsatzes [Leiter IT] (B)
NET.4.2.A2 Sichere Administration der VoIP-Middleware [Leiter IT] (B)
NET.4.2.A3 Sichere Administration und Konfiguration von VoIP-Endgeräten (B)
NET.4.2.A4 Einschränkung der Erreichbarkeit über VoIP [Leiter IT] (B)
NET.4.2.A5 Sichere Konfiguration der VoIP-Middleware (B)
NET.4.2.A6 Protokollierung bei VoIP (B)
Standard-Anforderungen
NET.4.2.A7 Erstellung einer Sicherheitsrichtlinie für VoIP (S)
NET.4.2.A8 Verschlüsselung von VoIP (S)
NET.4.2.A9 Geeignete Auswahl von VoIP-Komponenten (S)
NET.4.2.A10 Schulung der Administratoren für die Nutzung von VoIP (S)
NET.4.2.A11 Sicherer Umgang mit VoIP-Endgeräten [Benutzer] (S)
NET.4.2.A12 Sichere Außerbetriebnahme von VoIP-Komponenten (S)
NET.4.2.A13 Anforderungen an eine Firewall für den Einsatz von VoIP (S)
Anforderungen bei erhöhtem Schutzbedarf
NET.4.2.A14 Verschlüsselung der Signalisierung (H)
NET.4.2.A15 Sicherer Medientransport mit SRTP (H)
NET.4.2.A16 Trennung des Daten- und VoIP-Netzes (H)
NET.4.3 Faxgeräte und Faxserver
Basis-Anforderungen
NET.4.3.A1 Geeignete Aufstellung eines Faxgerätes [Haustechnik] (B)
NET.4.3.A2 Informationen für Mitarbeiter über die Faxnutzung (B)
NET.4.3.A3 Sicherer Betrieb eines Faxservers [IT-Betrieb] (B)
Standard-Anforderungen
NET.4.3.A4 Erstellung einer Sicherheitsrichtlinie für die Faxnutzung [Informationssicherheitsbeauftragter (ISB)] (S)
NET.4.3.A5 ENTFALLEN (S)
NET.4.3.A6 Beschaffung geeigneter Faxgeräte und Faxserver [Beschaffungsstelle] (S)
NET.4.3.A7 Geeignete Kennzeichnung ausgehender Faxsendungen [Benutzer] (S)
NET.4.3.A8 Geeignete Entsorgung von Fax-Verbrauchsgütern und -Ersatzteilen (S)
NET.4.3.A9 Nutzung von Sende- und Empfangsprotokollen (S)
NET.4.3.A10 Kontrolle programmierbarer Zieladressen, Protokolle und Verteilerlisten (S)
Anforderungen bei erhöhtem Schutzbedarf
NET.4.3.A11 Schutz vor Überlastung des Faxgerätes [IT-Betrieb] (H)
NET.4.3.A12 Sperren bestimmter Empfänger- und Absender-Faxnummern (H)
NET.4.3.A13 Festlegung berechtigter Faxbediener [Benutzer] (H)
NET.4.3.A14 Fertigung von Kopien eingehender Faxsendungen [Benutzer] (H)
NET.4.3.A15 Ankündigung und Rückversicherung im Umgang mit Faxsendungen [Benutzer] (H)

IND.1 Betriebs- und Steuerungstechnik
Basis-Anforderungen
IND.1.A1 Einbindung in die Sicherheitsorganisation (B)
IND.1.A2 Sensibilisierung und Schulung des Personals (B)
IND.1.A3 Schutz vor Schadprogrammen (B)
Standard-Anforderungen
IND.1.A4 Dokumentation der OT-Infrastruktur (S)
IND.1.A5 Entwicklung eines geeigneten Zonenkonzepts [IT-Betrieb] (S)
IND.1.A6 Änderungsmanagement im OT-Betrieb (S)
IND.1.A8 Sichere Administration [IT-Betrieb] (S)
IND.1.A9 Restriktiver Einsatz von Wechseldatenträgern und mobilen Endgeräten (S)
IND.1.A10 Monitoring, Protokollierung und Detektion [Bereichssicherheitsbeauftragter] (S)
IND.1.A11 Sichere Beschaffung und Systementwicklung (S)
IND.1.A12 Etablieren eines Schwachstellen-Managements (S)
Anforderungen bei erhöhtem Schutzbedarf
IND.1.A13 Notfallplanung für OT (H)
IND.1.A14 Starke Authentisierung an OT-Komponenten (H)
IND.1.A15 Prüfung und Überwachung von Berechtigungen (H)
IND.1.A16 Stärkere Abschottung der Zonen (H)
IND.1.A17 Regelmäßige Sicherheitsüberprüfung (H)
IND.2.1 Allgemeine ICS-Komponente
Basis-Anforderungen
IND.2.1.A1 Einschränkung des Zugriffs für Konfigurations- und Wartungsschnittstellen [ICS-Administrator] (B)
IND.2.1.A2 Nutzung sicherer Protokolle für die Konfiguration und Wartung [Wartungspersonal, ICS-Administrator] (B)
IND.2.1.A3 Protokollierung [ICS-Administrator] (B)
IND.2.1.A4 Deaktivierung nicht genutzter Dienste, Funktionen und Schnittstellen [Wartungspersonal, ICS-Administrator] (B)
IND.2.1.A5 Deaktivierung nicht genutzter Benutzerkonten [ICS-Administrator] (B)
IND.2.1.A6 Netzsegmentierung [ICS-Administrator] (B)
IND.2.1.A7 Backups [Leitstellen-Operator] (B)
Standard-Anforderungen
IND.2.1.A8 Schutz vor Schadsoftware [ICS-Administrator] (S)
IND.2.1.A9 Dokumentation der Kommunikationsbeziehungen [ICS-Administrator] (S)
IND.2.1.A10 Systemdokumentation [Leitstellen-Operator, ICS-Administrator] (S)
IND.2.1.A11 Wartung der ICS-Komponenten [Leitstellen-Operator, Wartungspersonal, ICS-Administrator] (S)
IND.2.1.A12 Beschaffung von ICS-Komponenten [Leitstellen-Operator, ICS-Administrator] (S)
IND.2.1.A13 Geeignete Inbetriebnahme der ICS-Komponenten [ICS-Administrator] (S)
IND.2.1.A14 Aussonderung von ICS-Komponenten [ICS-Administrator] (S)
IND.2.1.A15 Zentrale Systemprotokollierung und -überwachung [ICS-Administrator] (S)
IND.2.1.A16 Schutz externer Schnittstellen [ICS-Administrator] (S)
IND.2.1.A17 Nutzung sicherer Protokolle für die Übertragung von Informationen [ICS-Administrator] (S)
Anforderungen bei erhöhtem Schutzbedarf
IND.2.1.A18 Kommunikation im Störfall [Leitstellen-Operator, ICS-Administrator] (H)
IND.2.1.A19 Security-Tests [ICS-Administrator] (H)
IND.2.1.A20 Vertrauenswürdiger Code [ICS-Administrator] (H)
IND.2.2 Speicherprogrammierbare Steuerung (SPS)
Basis-Anforderungen
IND.2.2.A1 Erweiterte Systemdokumentation für Speicherprogrammierbare Steuerungen [ICS-Administrator] (S)
IND.2.2.A2 Benutzerkontenkontrolle und restriktive Rechtevergabe [ICS-Administrator] (S)
IND.2.2.A3 Zeitsynchronisation [ICS-Administrator] (S)
Standard-Anforderungen
Anforderungen bei erhöhtem Schutzbedarf
IND.2.3 Sensoren und Aktoren
Basis-Anforderungen
IND.2.3.A1 Installation von Sensoren [Wartungspersonal, ICS-Administrator] (B)
Standard-Anforderungen
IND.2.3.A2 Kalibrierung von Sensoren [Wartungspersonal] (S)
Anforderungen bei erhöhtem Schutzbedarf
IND.2.3.A3 Drahtlose Kommunikation (H)
IND.2.4 Maschine
Basis-Anforderungen
IND.2.4.A1 Fernwartung durch Maschinen- und Anlagenbauer [ICS-Administrator] (B)
IND.2.4.A2 Betrieb nach Ende der Gewährleistung [ICS-Administrator] (B)
Standard-Anforderungen
Anforderungen bei erhöhtem Schutzbedarf
IND.2.7 Safety Instrumented Systems
Basis-Anforderungen
IND.2.7.A1 Erfassung und Dokumentation [Planer, Wartungspersonal] (B)
IND.2.7.A2 Zweckgebundene Nutzung der Hard- und Softwarekomponenten [Wartungspersonal] (B)
IND.2.7.A3 Änderung des Anwendungsprogramms auf dem Logiksystem [Wartungspersonal] (B)
Standard-Anforderungen
IND.2.7.A4 Verankerung von Informationssicherheit im Functional Safety Management [ICS-Informationssicherheitsbeauftragter] (S)
IND.2.7.A5 Notfallmanagement von SIS [ICS-Informationssicherheitsbeauftragter] (S)
IND.2.7.A6 Sichere Planung und Spezifikation des SIS [Planer, Wartungspersonal, ICS-Informationssicherheitsbeauftragter] (S)
IND.2.7.A7 Trennung und Unabhängigkeit des SIS von der Umgebung [Planer, Wartungspersonal] (S)
IND.2.7.A8 Sichere Übertragung von Engineering Daten auf SIS [Planer, Wartungspersonal, ICS-Informationssicherheitsbeauftragter] (S)
IND.2.7.A9 Absicherung der Daten- und Signalverbindungen [Planer, Wartungspersonal, ICS-Informationssicherheitsbeauftragter] (S)
IND.2.7.A10 Anzeige und Alarmierung von simulierten oder gebrückten Variablen [Planer] (S)
IND.2.7.A11 Umgang mit integrierten Systemen [Planer, Wartungspersonal, ICS-Informationssicherheitsbeauftragter] (S)
Anforderungen bei erhöhtem Schutzbedarf
IND.2.7.A12 Sicherstellen der Integrität und Authentizität von Anwendungsprogrammen und Konfigurationsdaten [Planer, Hersteller] (H)

NET.1.1 Netzarchitektur und -design
Basis-Anforderungen
NET.1.1.A1 Sicherheitsrichtlinie für das Netz [Leiter IT, Informationssicherheitsbeauftragter (ISB)] (B)
NET.1.1.A2 Dokumentation des Netzes [IT-Betrieb] (B)
NET.1.1.A3 Anforderungsspezifikation für das Netz (B)
NET.1.1.A4 Netztrennung in Sicherheitszonen (B)
NET.1.1.A5 Client-Server-Segmentierung (B)
NET.1.1.A6 Endgeräte-Segmentierung im internen Netz (B)
NET.1.1.A7 Absicherung von schützenswerten Informationen (B)
NET.1.1.A8 Grundlegende Absicherung des Internetzugangs (B)
NET.1.1.A9 Grundlegende Absicherung der Kommunikation mit nicht vertrauenswürdigen Netzen (B)
NET.1.1.A10 DMZ-Segmentierung für Zugriffe aus dem Internet (B)
NET.1.1.A11 Absicherung eingehender Kommunikation vom Internet in das interne Netz (B)
NET.1.1.A12 Absicherung ausgehender interner Kommunikation zum Internet (B)
NET.1.1.A13 Netzplanung (B)
NET.1.1.A14 Umsetzung der Netzplanung (B)
NET.1.1.A15 Regelmäßiger Soll-Ist-Vergleich [Informationssicherheitsbeauftragter (ISB)] (B)
Standard-Anforderungen
NET.1.1.A16 Spezifikation der Netzarchitektur (S)
NET.1.1.A17 Spezifikation des Netzdesigns (S)
NET.1.1.A18 P-A-P-Struktur für die Internet-Anbindung (S)
NET.1.1.A19 Separierung der Infrastrukturdienste (S)
NET.1.1.A20 Zuweisung dedizierter Subnetze für IPv4/IPv6-Endgerätegruppen (S)
NET.1.1.A21 Separierung des Management-Bereichs (S)
NET.1.1.A22 Spezifikation des Segmentierungskonzepts (S)
NET.1.1.A23 Trennung von Sicherheitssegmenten (S)
NET.1.1.A24 Sichere logische Trennung mittels VLAN (S)
NET.1.1.A25 Fein- und Umsetzungsplanung von Netzarchitektur und -design (S)
NET.1.1.A26 Spezifikation von Betriebsprozessen für das Netz (S)
NET.1.1.A27 Einbindung der Netzarchitektur in die Notfallplanung [Leiter IT] (S)
Anforderungen bei erhöhtem Schutzbedarf
NET.1.1.A28 Hochverfügbare Netz- und Sicherheitskomponenten (H)
NET.1.1.A29 Hochverfügbare Realisierung von Netzanbindungen (H)
NET.1.1.A30 Schutz vor Distributed-Denial-of-Service (H)
NET.1.1.A31 Physische Trennung von Sicherheitssegmenten (H)
NET.1.1.A32 Physische Trennung von Management-Segmenten (H)
NET.1.1.A33 Mikrosegmentierung des Netzes (H)
NET.1.1.A34 Einsatz kryptografischer Verfahren auf Netzebene (H)
NET.1.1.A35 Einsatz von netzbasiertem DLP [Informationssicherheitsbeauftragter (ISB)] (H)
NET.1.1.A36 Trennung mittels VLAN bei sehr hohem Schutzbedarf (H)
NET.1.2 Netzmanagement
Basis-Anforderungen
NET.1.2.A1 Planung des Netzmanagements (B)
NET.1.2.A2 Anforderungsspezifikation für das Netzmanagement [Leiter IT] (B)
NET.1.2.A3 Rollen- und Berechtigungskonzept für das Netzmanagement (B)
NET.1.2.A4 Grundlegende Authentisierung für den Netzmanagement-Zugriff [Leiter IT, Informationssicherheitsbeauftragter (ISB)] (B)
NET.1.2.A5 Einspielen von Updates und Patches (B)
NET.1.2.A6 Regelmäßige Datensicherung (B)
NET.1.2.A7 Grundlegende Protokollierung von Ereignissen (B)
NET.1.2.A8 Zeit-Synchronisation (B)
NET.1.2.A9 Absicherung der Netzmanagement-Kommunikation (B)
NET.1.2.A10 Beschränkung der SNMP-Kommunikation (B)
Standard-Anforderungen
NET.1.2.A11 Festlegung einer Sicherheitsrichtlinie für das Netzmanagement [Informationssicherheitsbeauftragter (ISB)] (S)
NET.1.2.A12 Ist-Aufnahme und Dokumentation des Netzmanagements (S)
NET.1.2.A13 Erstellung eines Netzmanagement-Konzepts [Leiter IT] (S)
NET.1.2.A14 Fein- und Umsetzungsplanung (S)
NET.1.2.A15 Konzept für den sicheren Betrieb der Netzmanagement-Infrastruktur (S)
NET.1.2.A16 Einrichtung und Konfiguration von Netzmanagement-Lösungen (S)
NET.1.2.A17 Regelmäßiger Soll-Ist-Vergleich (S)
NET.1.2.A18 Schulungen für Management-Lösungen [Vorgesetzte] (S)
NET.1.2.A19 Starke Authentisierung des Management-Zugriffs (S)
NET.1.2.A20 Absicherung des Zugangs zu Netzmanagement-Lösungen (S)
NET.1.2.A21 Entkopplung der Netzmanagement-Kommunikation (S)
NET.1.2.A22 Beschränkung der Management-Funktionen (S)
NET.1.2.A23 Protokollierung der administrativen Zugriffe (S)
NET.1.2.A24 Zentrale Konfigurationsverwaltung für Netzkomponenten (S)
NET.1.2.A25 Statusüberwachung der Netzkomponenten (S)
NET.1.2.A26 Umfassende Protokollierung, Alarmierung und Logging von Ereignissen (S)
NET.1.2.A27 Einbindung des Netzmanagements in die Notfallplanung (S)
NET.1.2.A28 Platzierung der Management-Clients für das In-Band-Management (S)
NET.1.2.A29 Einsatz von VLANs in der Management-Zone (S)
Anforderungen bei erhöhtem Schutzbedarf
NET.1.2.A30 Hochverfügbare Realisierung der Management-Lösung (H)
NET.1.2.A31 Grundsätzliche Nutzung von sicheren Protokollen (H)
NET.1.2.A32 Physische Trennung des Managementnetzes (H)
NET.1.2.A33 Physische Trennung von Management-Segmenten [Leiter Netze] (H)
NET.1.2.A34 Protokollierung von Inhalten administrativer Sitzungen (H)
NET.1.2.A35 Festlegungen zur Beweissicherung (H)
NET.1.2.A36 Einbindung der Protokollierung des Netzmanagements in eine SIEM-Lösung (H)
NET.1.2.A37 Standort übergreifende Zeitsynchronisation (H)
NET.1.2.A38 Festlegung von Notbetriebsformen für die Netzmanagement-Infrastruktur (H)
NET.2.1 WLAN-Betrieb
Basis-Anforderungen
NET.2.1.A1 Festlegung einer Strategie für den Einsatz von WLANs [Leiter IT] (B)
NET.2.1.A2 Auswahl eines geeigneten WLAN-Standards [Planer] (B)
NET.2.1.A3 Auswahl geeigneter Kryptoverfahren für WLAN [Planer] (B)
NET.2.1.A4 Geeignete Aufstellung von Access Points [Haustechnik] (B)
NET.2.1.A5 Sichere Basis-Konfiguration der Access Points (B)
NET.2.1.A6 Sichere Konfiguration der WLAN-Clients (B)
NET.2.1.A7 Aufbau eines Distribution Systems [Planer] (B)
NET.2.1.A8 Verhaltensregeln bei WLAN-Sicherheitsvorfällen (B)
Standard-Anforderungen
NET.2.1.A9 Sichere Anbindung von WLANs an ein LAN [Planer] (S)
NET.2.1.A10 Erstellung einer Sicherheitsrichtlinie für den Betrieb von WLANs (S)
NET.2.1.A11 Geeignete Auswahl von WLAN-Komponenten (S)
NET.2.1.A12 Einsatz einer geeigneten WLAN-Management-Lösung (S)
NET.2.1.A13 Regelmäßige Sicherheitschecks in WLANs (S)
NET.2.1.A14 Regelmäßige Audits der WLAN-Komponenten (S)
Anforderungen bei erhöhtem Schutzbedarf
NET.2.1.A15 Verwendung eines VPN zur Absicherung von WLANs (H)
NET.2.1.A16 Zusätzliche Absicherung bei der Anbindung von WLANs an ein LAN (H)
NET.2.1.A17 Absicherung der Kommunikation zwischen Access Points (H)
NET.2.1.A18 Einsatz von Wireless Intrusion Detection/Wireless Intrusion Prevention Systemen (H)
NET.2.2 WLAN-Nutzung
Basis-Anforderungen
NET.2.2.A1 Erstellung einer Benutzerrichtlinie für WLAN [Leiter IT] (B)
NET.2.2.A2 Sensibilisierung und Schulung der WLAN-Benutzer [Vorgesetzte, Leiter IT] (B)
NET.2.2.A3 Absicherung der WLAN-Nutzung in unsicheren Umgebungen [IT-Betrieb] (B)
Standard-Anforderungen
NET.2.2.A4 Verhaltensregeln bei WLAN-Sicherheitsvorfällen (S)
Anforderungen bei erhöhtem Schutzbedarf
NET.3.1 Router und Switches
Basis-Anforderungen
NET.3.1.A1 Sichere Grundkonfiguration eines Routers oder Switches (B)
NET.3.1.A2 Einspielen von Updates und Patches (B)
NET.3.1.A3 Restriktive Rechtevergabe (B)
NET.3.1.A4 Schutz der Administrationsschnittstellen (B)
NET.3.1.A5 Schutz vor Fragmentierungsangriffen (B)
NET.3.1.A6 Notfallzugriff auf Router und Switches (B)
NET.3.1.A7 Protokollierung bei Routern und Switches (B)
NET.3.1.A8 Regelmäßige Datensicherung (B)
NET.3.1.A9 Betriebsdokumentationen (B)
Standard-Anforderungen
NET.3.1.A10 Erstellung einer Sicherheitsrichtlinie [Informationssicherheitsbeauftragter (ISB)] (S)
NET.3.1.A11 Beschaffung eines Routers oder Switches (S)
NET.3.1.A12 Erstellung einer Konfigurations-Checkliste für Router und Switches (S)
NET.3.1.A13 Administration über ein gesondertes Managementnetz (S)
NET.3.1.A14 Schutz vor Missbrauch von ICMP-Nachrichten (S)
NET.3.1.A15 Bogon- und Spoofing-Filterung (S)
NET.3.1.A16 Schutz vor „IPv6 Routing Header Type-0“-Angriffen (S)
NET.3.1.A17 Schutz vor DoS- und DDoS-Angriffen (S)
NET.3.1.A18 Einrichtung von Access Control Lists (S)
NET.3.1.A19 Sicherung von Switch-Ports (S)
NET.3.1.A20 Sicherheitsaspekte von Routing-Protokollen (S)
NET.3.1.A21 Identitäts- und Berechtigungsmanagement in der Netzinfrastruktur (S)
NET.3.1.A22 Notfallvorsorge bei Routern und Switches (S)
NET.3.1.A23 Revision und Penetrationstests (S)
Anforderungen bei erhöhtem Schutzbedarf
NET.3.1.A24 Einsatz von Netzzugangskontrollen (H)
NET.3.1.A25 Erweiterter Integritätsschutz für die Konfigurationsdateien (H)
NET.3.1.A26 Hochverfügbarkeit (H)
NET.3.1.A27 Bandbreitenmanagement für kritische Anwendungen und Dienste (H)
NET.3.1.A28 Einsatz von zertifizierten Produkten (H)
NET.3.2 Firewall
Basis-Anforderungen
NET.3.2.A1 Erstellung einer Sicherheitsrichtlinie (B)
NET.3.2.A2 Festlegen der Firewall-Regeln (B)
NET.3.2.A3 Einrichten geeigneter Filterregeln am Paketfilter (B)
NET.3.2.A4 Sichere Konfiguration der Firewall (B)
NET.3.2.A5 Restriktive Rechtevergabe (B)
NET.3.2.A6 Schutz der Administrationsschnittstellen (B)
NET.3.2.A7 Notfallzugriff auf die Firewall (B)
NET.3.2.A8 Unterbindung von dynamischem Routing (B)
NET.3.2.A9 Protokollierung (B)
NET.3.2.A10 Abwehr von Fragmentierungsangriffen am Paketfilter (B)
NET.3.2.A11 Einspielen von Updates und Patches (B)
NET.3.2.A12 Vorgehen bei Sicherheitsvorfällen (B)
NET.3.2.A13 Regelmäßige Datensicherung (B)
NET.3.2.A14 Betriebsdokumentationen (B)
NET.3.2.A15 Beschaffung einer Firewall (B)
Standard-Anforderungen
NET.3.2.A16 Aufbau einer „P-A-P“-Struktur (S)
NET.3.2.A17 Deaktivierung von IPv4 oder IPv6 (S)
NET.3.2.A18 Administration über ein gesondertes Managementnetz (S)
NET.3.2.A19 Schutz vor TCP SYN Flooding, UDP Paket Storm und Sequence Number Guessing am Paketfilter (S)
NET.3.2.A20 Absicherung von grundlegenden Internetprotokollen (S)
NET.3.2.A21 Temporäre Entschlüsselung des Datenverkehrs (S)
NET.3.2.A22 Sichere Zeitsynchronisation (S)
NET.3.2.A23 Systemüberwachung und -Auswertung (S)
NET.3.2.A24 Revision und Penetrationstests (S)
Anforderungen bei erhöhtem Schutzbedarf
NET.3.2.A25 Erweiterter Integritätsschutz für die Konfigurationsdateien (H)
NET.3.2.A26 Auslagerung von funktionalen Erweiterungen auf dedizierte Hardware (H)
NET.3.2.A27 Einsatz verschiedener Firewall-Betriebssysteme und -Produkte in einer mehrstufigen Firewall-Architektur (H)
NET.3.2.A28 Zentrale Filterung von aktiven Inhalten (H)
NET.3.2.A29 Einsatz von Hochverfügbarkeitslösungen (H)
NET.3.2.A30 Bandbreitenmanagement für kritische Anwendungen und Dienste (H)
NET.3.2.A31 Einsatz von zertifizierten Produkten (H)
NET.3.3 VPN
Basis-Anforderungen
NET.3.3.A1 Planung des VPN-Einsatzes (B)
NET.3.3.A2 Auswahl eines VPN-Dienstleisters [Informationssicherheitsbeauftragter (ISB)] (B)
NET.3.3.A3 Sichere Installation von VPN-Endgeräten (B)
NET.3.3.A4 Sichere Konfiguration eines VPN (B)
NET.3.3.A5 Sperrung nicht mehr benötigter VPN-Zugänge (B)
Standard-Anforderungen
NET.3.3.A6 Durchführung einer VPN-Anforderungsanalyse (S)
NET.3.3.A7 Planung der technischen VPN-Realisierung (S)
NET.3.3.A8 Erstellung einer Sicherheitsrichtlinie zur VPN-Nutzung (S)
NET.3.3.A9 Geeignete Auswahl von VPN-Produkten (S)
NET.3.3.A10 Sicherer Betrieb eines VPN (S)
NET.3.3.A11 Sichere Anbindung eines externen Netzes (S)
NET.3.3.A12 Benutzer- und Zugriffsverwaltung bei Fernzugriff-VPNs (S)
NET.3.3.A13 Integration von VPN-Komponenten in eine Firewall (S)
Anforderungen bei erhöhtem Schutzbedarf
NET.4.1 TK-Anlagen
Basis-Anforderungen
NET.4.1.A1 Anforderungsanalyse und Planung für TK-Anlagen [Leiter IT, IT-Betrieb] (B)
NET.4.1.A2 Auswahl von TK-Diensteanbietern [Leiter IT] (B)
NET.4.1.A3 Änderung voreingestellter Passwörter (B)
NET.4.1.A4 Absicherung von Remote-Zugängen (B)
NET.4.1.A5 Protokollierung bei TK-Anlagen (B)
Standard-Anforderungen
NET.4.1.A6 Erstellung einer Sicherheitsrichtlinie für TK-Anlagen [Leiter IT] (S)
NET.4.1.A7 Aufstellung der TK-Anlage (S)
NET.4.1.A8 Einschränkung und Sperrung nicht benötigter oder sicherheitskritischer Leistungsmerkmale (S)
NET.4.1.A9 Schulung zur sicheren Nutzung von TK-Anlagen [Leiter IT] (S)
NET.4.1.A10 Dokumentation und Revision der TK-Anlagenkonfiguration [IT-Betrieb] (S)
NET.4.1.A11 Außerbetriebnahme von TK-Anlagen und -geräten [IT-Betrieb] (S)
NET.4.1.A12 Datensicherung der Konfigurationsdateien (S)
NET.4.1.A13 Beschaffung von TK-Anlagen (S)
NET.4.1.A14 Notfallvorsorge für TK-Anlagen (S)
NET.4.1.A15 Notrufe bei einem Ausfall der TK-Anlage (S)
NET.4.1.A16 Sicherung von Telefonie-Endgeräten in frei zugänglichen Räumen (S)
NET.4.1.A17 Wartung von TK-Anlagen (S)
Anforderungen bei erhöhtem Schutzbedarf
NET.4.1.A18 Erhöhter Zugangsschutz (H)
NET.4.1.A19 Redundanter Anschluss (H)
NET.4.2 VoIP
Basis-Anforderungen
NET.4.2.A1 Planung des VoIP-Einsatzes [Leiter IT] (B)
NET.4.2.A2 Sichere Administration der VoIP-Middleware [Leiter IT] (B)
NET.4.2.A3 Sichere Administration und Konfiguration von VoIP-Endgeräten (B)
NET.4.2.A4 Einschränkung der Erreichbarkeit über VoIP [Leiter IT] (B)
NET.4.2.A5 Sichere Konfiguration der VoIP-Middleware (B)
NET.4.2.A6 Protokollierung bei VoIP (B)
Standard-Anforderungen
NET.4.2.A7 Erstellung einer Sicherheitsrichtlinie für VoIP (S)
NET.4.2.A8 Verschlüsselung von VoIP (S)
NET.4.2.A9 Geeignete Auswahl von VoIP-Komponenten (S)
NET.4.2.A10 Schulung der Administratoren für die Nutzung von VoIP (S)
NET.4.2.A11 Sicherer Umgang mit VoIP-Endgeräten [Benutzer] (S)
NET.4.2.A12 Sichere Außerbetriebnahme von VoIP-Komponenten (S)
NET.4.2.A13 Anforderungen an eine Firewall für den Einsatz von VoIP (S)
Anforderungen bei erhöhtem Schutzbedarf
NET.4.2.A14 Verschlüsselung der Signalisierung (H)
NET.4.2.A15 Sicherer Medientransport mit SRTP (H)
NET.4.2.A16 Trennung des Daten- und VoIP-Netzes (H)
NET.4.3 Faxgeräte und Faxserver
Basis-Anforderungen
NET.4.3.A1 Geeignete Aufstellung eines Faxgerätes [Haustechnik] (B)
NET.4.3.A2 Informationen für Mitarbeiter über die Faxnutzung (B)
NET.4.3.A3 Sicherer Betrieb eines Faxservers [IT-Betrieb] (B)
Standard-Anforderungen
NET.4.3.A4 Erstellung einer Sicherheitsrichtlinie für die Faxnutzung [Informationssicherheitsbeauftragter (ISB)] (S)
NET.4.3.A5 ENTFALLEN (S)
NET.4.3.A6 Beschaffung geeigneter Faxgeräte und Faxserver [Beschaffungsstelle] (S)
NET.4.3.A7 Geeignete Kennzeichnung ausgehender Faxsendungen [Benutzer] (S)
NET.4.3.A8 Geeignete Entsorgung von Fax-Verbrauchsgütern und -Ersatzteilen (S)
NET.4.3.A9 Nutzung von Sende- und Empfangsprotokollen (S)
NET.4.3.A10 Kontrolle programmierbarer Zieladressen, Protokolle und Verteilerlisten (S)
Anforderungen bei erhöhtem Schutzbedarf
NET.4.3.A11 Schutz vor Überlastung des Faxgerätes [IT-Betrieb] (H)
NET.4.3.A12 Sperren bestimmter Empfänger- und Absender-Faxnummern (H)
NET.4.3.A13 Festlegung berechtigter Faxbediener [Benutzer] (H)
NET.4.3.A14 Fertigung von Kopien eingehender Faxsendungen [Benutzer] (H)
NET.4.3.A15 Ankündigung und Rückversicherung im Umgang mit Faxsendungen [Benutzer] (H)
INF – Infrastruktur
INF.1 Allgemeines Gebäude
Basis-Anforderungen
INF.1.A1 Planung der Gebäudeabsicherung [Planer] (B)
INF.1.A2 Angepasste Aufteilung der Stromkreise (B)
INF.1.A3 Einhaltung von Brandschutzvorschriften (B)
INF.1.A4 Branderkennung in Gebäuden [Planer] (B)
INF.1.A5 Handfeuerlöscher (B)
INF.1.A6 Geschlossene Fenster und Türen [Mitarbeiter] (B)
INF.1.A7 Zutrittsregelung und -kontrolle [Leiter Organisation] (B)
INF.1.A8 Rauchverbot (B)
Standard-Anforderungen
INF.1.A9 Sicherheitskonzept für die Gebäudenutzung [Planer, Informationssicherheitsbeauftragter (ISB)] (S)
INF.1.A10 Einhaltung einschlägiger Normen und Vorschriften [Errichterfirma, Bauleiter] (S)
INF.1.A11 Abgeschlossene Türen [Mitarbeiter] (S)
INF.1.A12 Schlüsselverwaltung (S)
INF.1.A13 Regelungen für Zutritt zu Verteilern (S)
INF.1.A14 Blitzschutzeinrichtungen (S)
INF.1.A15 Lagepläne der Versorgungsleitungen (S)
INF.1.A16 Vermeidung von Lagehinweisen auf schützenswerte Gebäudeteile (S)
INF.1.A17 Baulicher Rauchschutz [Planer] (S)
INF.1.A18 Brandschutzbegehungen (S)
INF.1.A19 Frühzeitige Information des Brandschutzbeauftragten (S)
INF.1.A20 Alarmierungsplan und Brandschutzübungen (S)
Anforderungen bei erhöhtem Schutzbedarf
INF.1.A21 Unabhängige elektrische Versorgungsstränge (H)
INF.1.A22 Sichere Türen und Fenster (H)
INF.1.A23 Bildung von Sicherheitszonen [Planer] (H)
INF.1.A24 Selbsttätige Entwässerung (H)
INF.1.A25 Geeignete Standortauswahl [Institutionsleitung] (H)
INF.1.A26 Pförtner- oder Sicherheitsdienst (H)
INF.1.A27 Einbruchschutz (H)
INF.1.A28 Klimatisierung durch raumlufttechnische Anlagen (H)
INF.1.A29 Organisatorische Vorgaben für die Gebäudereinigung (H)
INF.1.A30 Auswahl eines geeigneten Gebäudes (H)
INF.1.A31 Auszug aus Gebäuden [Innerer Dienst] (H)
INF.1.A32 Brandschott-Kataster (H)
INF.1.A33 Anordnung schützenswerter Gebäudeteile (H)
INF.1.A34 Gefahrenmeldeanlage (H)
INF.2 Rechenzentrum sowie Serverraum
Basis-Anforderungen
INF.2.A1 Festlegung von Anforderungen [Haustechnik, Informationssicherheitsbeauftragter (ISB), IT-Betrieb, Planer] (B)
INF.2.A2 Bildung von Brandabschnitten [Planer] (B)
INF.2.A3 Einsatz einer unterbrechungsfreien Stromversorgung [Haustechnik] (B)
INF.2.A4 Notabschaltung der Stromversorgung [Haustechnik] (B)
INF.2.A5 Einhaltung der Lufttemperatur und -feuchtigkeit [Haustechnik] (B)
INF.2.A6 Zutrittskontrolle [Haustechnik, Informationssicherheitsbeauftragter (ISB), IT-Betrieb] (B)
INF.2.A7 Verschließen und Sichern [Mitarbeiter, Haustechnik] (B)
INF.2.A8 Einsatz einer Brandmeldeanlage [Planer] (B)
INF.2.A9 Einsatz einer Lösch- oder Brandvermeidungsanlage [Haustechnik] (B)
INF.2.A10 Inspektion und Wartung der Infrastruktur [Wartungspersonal, Haustechnik, IT-Betrieb] (B)
INF.2.A11 Automatische Überwachung der Infrastruktur [IT-Betrieb, Haustechnik] (B)
INF.2.A17 Brandfrüherkennung [Planer, Haustechnik] (B)
INF.2.A29 Vermeidung und Überwachung nicht erforderlicher Leitungen [Haustechnik, Planer] (B)
Standard-Anforderungen
INF.2.A12 Perimeterschutz für das Rechenzentrum [Planer, Haustechnik] (S)
INF.2.A13 Planung und Installation von Gefahrenmeldeanlagen [Haustechnik] (S)
INF.2.A14 Einsatz einer Netzersatzanlage [Planer, Haustechnik] (S)
INF.2.A15 Überspannungsschutzeinrichtung [Planer, Haustechnik] (S)
INF.2.A16 Klimatisierung im Rechenzentrum [Planer] (S)
INF.2.A18 ENTFALLEN (S)
INF.2.A19 Durchführung von Funktionstests der technischen Infrastruktur [Haustechnik] (S)
INF.2.A20 Regelmäßige Aktualisierungen der Dokumentation [Haustechnik] (S)
INF.2.A30 Anlagen zur Erkennung, Löschung oder Vermeidung von Bränden [Haustechnik, Planer] (S)
Anforderungen bei erhöhtem Schutzbedarf
INF.2.A21 Ausweichrechenzentrum (H)
INF.2.A22 Durchführung von Staubschutzmaßnahmen [Haustechnik] (H)
INF.2.A23 Sicher strukturierte Verkabelung im Rechenzentrum [Haustechnik] (H)
INF.2.A24 Einsatz von Videoüberwachungsanlagen [Datenschutzbeauftragter, Haustechnik, Planer] (H)
INF.2.A25 Redundante Auslegung von unterbrechungsfreien Stromversorgungen [Planer] (H)
INF.2.A26 Redundante Auslegung von Netzersatzanlagen [Planer] (H)
INF.2.A27 Durchführung von Alarmierungs- und Brandschutzübungen (H)
INF.2.A28 Einsatz von höherwertigen Gefahrenmeldeanlagen [Planer] (H)
INF.3 Elektrotechnische Verkabelung
Basis-Anforderungen
INF.3.A1 Auswahl geeigneter Kabeltypen (B)
INF.3.A2 Planung der Kabelführung [Leiter IT] (B)
INF.3.A3 Fachgerechte Installation (B)
Standard-Anforderungen
INF.3.A4 Anforderungsanalyse für die elektrotechnische Verkabelung (S)
INF.3.A5 Abnahme der elektrotechnischen Verkabelung (S)
INF.3.A6 Überspannungsschutz (S)
INF.3.A7 Entfernen und Deaktivieren nicht mehr benötigter Leitungen (S)
INF.3.A8 Brandschutz in Trassen (S)
INF.3.A9 Dokumentation und Kennzeichnung der elektrotechnischen Verkabelung (S)
INF.3.A10 Neutrale Dokumentation in den Verteilern (S)
INF.3.A11 Kontrolle elektrotechnischer Anlagen und Verbindungen (S)
INF.3.A12 Vermeidung elektrischer Zündquellen (S)
Anforderungen bei erhöhtem Schutzbedarf
INF.3.A13 Sekundär-Energieversorgung (H)
INF.3.A14 A-B-Versorgung (H)
INF.3.A15 Materielle Sicherung der elektrotechnischen Verkabelung (H)
INF.3.A16 Nutzung von Schranksystemen (H)
INF.3.A17 Brandschott-Kataster (H)
INF.3.A18 EMV-taugliche Stromversorgung (H)
INF.4 IT-Verkabelung
Basis-Anforderungen
INF.4.A1 Auswahl geeigneter Kabeltypen [Leiter Haustechnik] (B)
INF.4.A2 Planung der Kabelführung [Leiter Haustechnik] (B)
INF.4.A3 Fachgerechte Installation [Leiter Haustechnik] (B)
Standard-Anforderungen
INF.4.A4 Anforderungsanalyse für die IT-Verkabelung (S)
INF.4.A5 Abnahme der IT-Verkabelung [Leiter Haustechnik] (S)
INF.4.A6 Laufende Fortschreibung und Revision der Netzdokumentation (S)
INF.4.A7 Entfernen und Deaktivieren nicht mehr benötigter IT-Verkabelung [Leiter Haustechnik] (S)
INF.4.A8 Brandabschottung von Trassen [Leiter Haustechnik] (S)
INF.4.A9 Dokumentation und Kennzeichnung der IT-Verkabelung (S)
INF.4.A10 Neutrale Dokumentation in den Verteilern (S)
INF.4.A11 Kontrolle bestehender Verbindungen (S)
Anforderungen bei erhöhtem Schutzbedarf
INF.4.A12 Redundanzen für die Verkabelung (H)
INF.4.A13 Materielle Sicherung der IT-Verkabelung (H)
INF.4.A14 Vermeidung von Ausgleichsströmen auf Schirmungen (H)
INF.4.A15 Nutzung von Schranksystemen (H)
INF.5 Raum sowie Schrank für technische Infrastruktur
Basis-Anforderungen
INF.5.A1 Planung der Raumabsicherung [Informationssicherheitsbeauftragter (ISB), Planer] (B)
INF.5.A2 Lage und Größe des Raumes für technische Infrastruktur [Planer] (B)
INF.5.A3 Zutrittsregelung und -kontrolle [Informationssicherheitsbeauftragter (ISB), Haustechnik, IT-Betrieb] (B)
INF.5.A4 Schutz vor Einbruch [Planer, Haustechnik] (B)
INF.5.A5 Vermeidung sowie Schutz vor elektromagnetischen Störfeldern [Planer] (B)
INF.5.A6 Minimierung von Brandlasten [Mitarbeiter, Planer] (B)
INF.5.A7 Verhinderung von Zweckentfremdung [Mitarbeiter, Planer] (B)
Standard-Anforderungen
INF.5.A8 Vermeidung von unkontrollierter elektrostatischer Entladung [Planer] (S)
INF.5.A9 Stromversorgung [Haustechnik] (S)
INF.5.A10 Einhaltung der Lufttemperatur und -feuchtigkeit [Haustechnik] (S)
INF.5.A11 Vermeidung von Leitungen mit gefährdenden Flüssigkeiten und Gasen [Planer, Haustechnik] (S)
INF.5.A12 Schutz vor versehentlicher Beschädigung von Zuleitungen [Planer] (S)
INF.5.A13 Schutz vor Schädigung durch Brand und Rauchgase [Planer, Haustechnik] (S)
INF.5.A14 Minimierung von Brandgefahren aus Nachbarbereichen [Planer, Haustechnik] (S)
INF.5.A15 Blitz- und Überspannungsschutz [Planer, Haustechnik] (S)
INF.5.A16 Einsatz einer unterbrechungsfreien Stromversorgung [Haustechnik] (S)
INF.5.A17 Inspektion und Wartung der Infrastruktur [Haustechnik, IT-Betrieb, Wartungspersonal] (S)
Anforderungen bei erhöhtem Schutzbedarf
INF.5.A18 Lage des Raumes für technische Infrastruktur [Planer] (H)
INF.5.A19 Redundanz des Raumes für technische Infrastruktur [Planer] (H)
INF.5.A20 Schutz vor Einbruch und Sabotage [Planer] (H)
INF.5.A21 Redundante Leitungstrassen [Planer, Haustechnik, Wartungspersonal] (H)
INF.5.A22 Redundante Auslegung der Stromversorgung [Planer] (H)
INF.5.A23 Netzersatzanlage [Planer, Haustechnik, Wartungspersonal] (H)
INF.5.A24 Lüftung und Kühlung [Planer, Haustechnik, Wartungspersonal] (H)
INF.5.A25 Erhöhter Schutz vor Schädigung durch Brand und Rauchgase [Planer] (H)
INF.5.A26 Überwachung der Energieversorgung [Planer, Haustechnik] (H)
INF.6 Datenträgerarchiv
Basis-Anforderungen
INF.6.A1 Handfeuerlöscher [Brandschutzbeauftragter] (B)
INF.6.A2 Zutrittsregelung und -kontrolle [Haustechnik] (B)
INF.6.A3 Schutz vor Staub und anderer Verschmutzung (B)
INF.6.A4 Geschlossene Fenster und abgeschlossene Türen [Mitarbeiter] (B)
Standard-Anforderungen
INF.6.A5 Verwendung von Schutzschränken [Mitarbeiter] (S)
INF.6.A6 Vermeidung von wasserführenden Leitungen [Haustechnik] (S)
INF.6.A7 Einhaltung von klimatischen Bedingungen [Haustechnik] (S)
INF.6.A8 Sichere Türen und Fenster [Planer] (S)
Anforderungen bei erhöhtem Schutzbedarf
INF.6.A9 Gefahrenmeldeanlage [Haustechnik] (H)
INF.7 Büroarbeitsplatz
Basis-Anforderungen
INF.7.A1 Geeignete Auswahl und Nutzung eines Büroraumes [Mitarbeiter, Vorgesetzte] (B)
INF.7.A2 Geschlossene Fenster und abgeschlossene Türen [Mitarbeiter] (B)
Standard-Anforderungen
INF.7.A3 Fliegende Verkabelung (S)
INF.7.A4 Zutrittsregelungen und -kontrolle (S)
INF.7.A5 Ergonomischer Arbeitsplatz [Leiter Haustechnik] (S)
INF.7.A6 Aufgeräumter Arbeitsplatz [Mitarbeiter] (S)
INF.7.A7 Geeignete Aufbewahrung dienstlicher Unterlagen und Datenträger [Mitarbeiter, Leiter Haustechnik] (S)
Anforderungen bei erhöhtem Schutzbedarf
INF.7.A8 Einsatz von Diebstahlsicherungen [Mitarbeiter, Leiter IT] (H)
INF.8 Häuslicher Arbeitsplatz
Basis-Anforderungen
INF.8.A1 Sichern von dienstlichen Unterlagen am häuslichen Arbeitsplatz (B)
INF.8.A2 Transport von Arbeitsmaterial zum häuslichen Arbeitsplatz [Haustechnik] (B)
INF.8.A3 Schutz vor unbefugtem Zutritt am häuslichen Arbeitsplatz (B)
Standard-Anforderungen
INF.8.A4 Geeignete Einrichtung des häuslichen Arbeitsplatzes (S)
INF.8.A5 Entsorgung von vertraulichen Informationen am häuslichen Arbeitsplatz (S)
Anforderungen bei erhöhtem Schutzbedarf
INF.8.A6 Umgang mit dienstlichen Unterlagen bei erhöhtem Schutzbedarf am häuslichen Arbeitsplatz [Informationssicherheitsbeauftragter (ISB)] (H)
INF.9 Mobiler Arbeitsplatz
Basis-Anforderungen
INF.9.A1 Geeignete Auswahl und Nutzung eines mobilen Arbeitsplatzes [IT-Betrieb] (B)
INF.9.A2 Regelungen für mobile Arbeitsplätze [Personalabteilung] (B)
INF.9.A3 Zutritts- und Zugriffsschutz [Personalabteilung] (B)
INF.9.A4 Arbeiten mit fremden IT-Systemen [Leiter IT] (B)
Standard-Anforderungen
INF.9.A5 Zeitnahe Verlustmeldung [Mitarbeiter] (S)
INF.9.A6 Entsorgung von vertraulichen Informationen [Mitarbeiter] (S)
INF.9.A7 Rechtliche Rahmenbedingungen für das mobile Arbeiten [Personalabteilung] (S)
INF.9.A8 Sicherheitsrichtlinie für mobile Arbeitsplätze [Leiter IT] (S)
INF.9.A9 Verschlüsselung tragbarer IT-Systeme und Datenträger [IT-Betrieb] (S)
Anforderungen bei erhöhtem Schutzbedarf
INF.9.A10 Einsatz von Diebstahlsicherungen [Mitarbeiter] (H)
INF.9.A11 Verbot der Nutzung unsicherer Umgebungen [Leiter IT] (H)
INF.10 Besprechungs-, Veranstaltungs- und Schulungsraum
Basis-Anforderungen
INF.10.A1 Sichere Nutzung von Besprechungs-, Veranstaltungs- und Schulungsräumen [Haustechnik, Leiter IT] (B)
INF.10.A2 Beaufsichtigung von Besuchern [Mitarbeiter] (B)
INF.10.A3 Geschlossene Fenster und Türen [Mitarbeiter] (B)
Standard-Anforderungen
INF.10.A3 Geschlossene Fenster und Türen [Mitarbeiter] (B)
INF.10.A5 Fliegende Verkabelung (S)
INF.10.A6 Einrichtung sicherer Netzzugänge [Leiter IT] (S)
INF.10.A7 Sichere Konfiguration von Schulungs- und Präsentationsrechnern [Leiter IT] (S)
INF.10.A8 Erstellung eines Nutzungsnachweises für Räume (S)
Anforderungen bei erhöhtem Schutzbedarf
INF.10.A9 Zurücksetzen von Schulungs- und Präsentationsrechnern [IT-Betrieb] (H)
INF.10.A10 Mitführverbot von Mobiltelefonen (H)

IND.1 Betriebs- und Steuerungstechnik
Basis-Anforderungen
IND.1.A1 Einbindung in die Sicherheitsorganisation (B)
IND.1.A2 Sensibilisierung und Schulung des Personals (B)
IND.1.A3 Schutz vor Schadprogrammen (B)
Standard-Anforderungen
IND.1.A4 Dokumentation der OT-Infrastruktur (S)
IND.1.A5 Entwicklung eines geeigneten Zonenkonzepts [IT-Betrieb] (S)
IND.1.A6 Änderungsmanagement im OT-Betrieb (S)
IND.1.A8 Sichere Administration [IT-Betrieb] (S)
IND.1.A9 Restriktiver Einsatz von Wechseldatenträgern und mobilen Endgeräten (S)
IND.1.A10 Monitoring, Protokollierung und Detektion [Bereichssicherheitsbeauftragter] (S)
IND.1.A11 Sichere Beschaffung und Systementwicklung (S)
IND.1.A12 Etablieren eines Schwachstellen-Managements (S)
Anforderungen bei erhöhtem Schutzbedarf
IND.1.A13 Notfallplanung für OT (H)
IND.1.A14 Starke Authentisierung an OT-Komponenten (H)
IND.1.A15 Prüfung und Überwachung von Berechtigungen (H)
IND.1.A16 Stärkere Abschottung der Zonen (H)
IND.1.A17 Regelmäßige Sicherheitsüberprüfung (H)
IND.2.1 Allgemeine ICS-Komponente
Basis-Anforderungen
IND.2.1.A1 Einschränkung des Zugriffs für Konfigurations- und Wartungsschnittstellen [ICS-Administrator] (B)
IND.2.1.A2 Nutzung sicherer Protokolle für die Konfiguration und Wartung [Wartungspersonal, ICS-Administrator] (B)
IND.2.1.A3 Protokollierung [ICS-Administrator] (B)
IND.2.1.A4 Deaktivierung nicht genutzter Dienste, Funktionen und Schnittstellen [Wartungspersonal, ICS-Administrator] (B)
IND.2.1.A5 Deaktivierung nicht genutzter Benutzerkonten [ICS-Administrator] (B)
IND.2.1.A6 Netzsegmentierung [ICS-Administrator] (B)
IND.2.1.A7 Backups [Leitstellen-Operator] (B)
Standard-Anforderungen
IND.2.1.A8 Schutz vor Schadsoftware [ICS-Administrator] (S)
IND.2.1.A9 Dokumentation der Kommunikationsbeziehungen [ICS-Administrator] (S)
IND.2.1.A10 Systemdokumentation [Leitstellen-Operator, ICS-Administrator] (S)
IND.2.1.A11 Wartung der ICS-Komponenten [Leitstellen-Operator, Wartungspersonal, ICS-Administrator] (S)
IND.2.1.A12 Beschaffung von ICS-Komponenten [Leitstellen-Operator, ICS-Administrator] (S)
IND.2.1.A13 Geeignete Inbetriebnahme der ICS-Komponenten [ICS-Administrator] (S)
IND.2.1.A14 Aussonderung von ICS-Komponenten [ICS-Administrator] (S)
IND.2.1.A15 Zentrale Systemprotokollierung und -überwachung [ICS-Administrator] (S)
IND.2.1.A16 Schutz externer Schnittstellen [ICS-Administrator] (S)
IND.2.1.A17 Nutzung sicherer Protokolle für die Übertragung von Informationen [ICS-Administrator] (S)
Anforderungen bei erhöhtem Schutzbedarf
IND.2.1.A18 Kommunikation im Störfall [Leitstellen-Operator, ICS-Administrator] (H)
IND.2.1.A19 Security-Tests [ICS-Administrator] (H)
IND.2.1.A20 Vertrauenswürdiger Code [ICS-Administrator] (H)
IND.2.2 Speicherprogrammierbare Steuerung (SPS)
Basis-Anforderungen
IND.2.2.A1 Erweiterte Systemdokumentation für Speicherprogrammierbare Steuerungen [ICS-Administrator] (S)
IND.2.2.A2 Benutzerkontenkontrolle und restriktive Rechtevergabe [ICS-Administrator] (S)
IND.2.2.A3 Zeitsynchronisation [ICS-Administrator] (S)
Standard-Anforderungen
Anforderungen bei erhöhtem Schutzbedarf
IND.2.3 Sensoren und Aktoren
Basis-Anforderungen
IND.2.3.A1 Installation von Sensoren [Wartungspersonal, ICS-Administrator] (B)
Standard-Anforderungen
IND.2.3.A2 Kalibrierung von Sensoren [Wartungspersonal] (S)
Anforderungen bei erhöhtem Schutzbedarf
IND.2.3.A3 Drahtlose Kommunikation (H)
IND.2.4 Maschine
Basis-Anforderungen
IND.2.4.A1 Fernwartung durch Maschinen- und Anlagenbauer [ICS-Administrator] (B)
IND.2.4.A2 Betrieb nach Ende der Gewährleistung [ICS-Administrator] (B)
Standard-Anforderungen
Anforderungen bei erhöhtem Schutzbedarf
IND.2.7 Safety Instrumented Systems
Basis-Anforderungen
IND.2.7.A1 Erfassung und Dokumentation [Planer, Wartungspersonal] (B)
IND.2.7.A2 Zweckgebundene Nutzung der Hard- und Softwarekomponenten [Wartungspersonal] (B)
IND.2.7.A3 Änderung des Anwendungsprogramms auf dem Logiksystem [Wartungspersonal] (B)
Standard-Anforderungen
IND.2.7.A4 Verankerung von Informationssicherheit im Functional Safety Management [ICS-Informationssicherheitsbeauftragter] (S)
IND.2.7.A5 Notfallmanagement von SIS [ICS-Informationssicherheitsbeauftragter] (S)
IND.2.7.A6 Sichere Planung und Spezifikation des SIS [Planer, Wartungspersonal, ICS-Informationssicherheitsbeauftragter] (S)
IND.2.7.A7 Trennung und Unabhängigkeit des SIS von der Umgebung [Planer, Wartungspersonal] (S)
IND.2.7.A8 Sichere Übertragung von Engineering Daten auf SIS [Planer, Wartungspersonal, ICS-Informationssicherheitsbeauftragter] (S)
IND.2.7.A9 Absicherung der Daten- und Signalverbindungen [Planer, Wartungspersonal, ICS-Informationssicherheitsbeauftragter] (S)
IND.2.7.A10 Anzeige und Alarmierung von simulierten oder gebrückten Variablen [Planer] (S)
IND.2.7.A11 Umgang mit integrierten Systemen [Planer, Wartungspersonal, ICS-Informationssicherheitsbeauftragter] (S)
Anforderungen bei erhöhtem Schutzbedarf
IND.2.7.A12 Sicherstellen der Integrität und Authentizität von Anwendungsprogrammen und Konfigurationsdaten [Planer, Hersteller] (H)

SYS.1.1 Allgemeiner Server
Basis-Anforderungen
SYS.1.1.A1 Geeignete Aufstellung [Haustechnik] (B)
SYS.1.1.A2 Benutzerauthentisierung an Servern (B)
SYS.1.1.A3 Restriktive Rechtevergabe (B)
SYS.1.1.A4 Rollentrennung (B)
SYS.1.1.A5 Schutz der Administrationsschnittstellen (B)
SYS.1.1.A6 Deaktivierung nicht benötigter Dienste und Kennungen (B)
SYS.1.1.A7 Updates und Patches für Firmware, Betriebssystem und Anwendungen (B)
SYS.1.1.A8 Regelmäßige Datensicherung (B)
SYS.1.1.A9 Einsatz von Virenschutz-Programmen (B)
SYS.1.1.A10 Protokollierung (B)
Standard-Anforderungen
SYS.1.1.A11 Festlegung einer Sicherheitsrichtlinie für Server (S)
SYS.1.1.A12 Planung des Server-Einsatzes (S)
SYS.1.1.A13 Beschaffung von Servern (S)
SYS.1.1.A14 Erstellung eines Benutzer- und Administrationskonzepts (S)
SYS.1.1.A15 Unterbrechungsfreie und stabile Stromversorgung [Haustechnik] (S)
SYS.1.1.A16 Sichere Installation und Grundkonfiguration von Servern (S)
SYS.1.1.A17 Einsatzfreigabe für Server (S)
SYS.1.1.A18 Verschlüsselung der Kommunikationsverbindungen (S)
SYS.1.1.A19 Einrichtung lokaler Paketfilter (S)
SYS.1.1.A20 Beschränkung des Zugangs über Netze (S)
SYS.1.1.A21 Betriebsdokumentation für Server (S)
SYS.1.1.A22 Einbindung in die Notfallplanung (S)
SYS.1.1.A23 Systemüberwachung und Monitoring von Servern (S)
SYS.1.1.A24 Sicherheitsprüfungen (S)
SYS.1.1.A25 Geregelte Außerbetriebnahme eines Servers (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.1.1.A26 Verwendung von Mehr-Faktor-Authentisierung (H)
SYS.1.1.A27 Hostbasierte Angriffserkennung (H)
SYS.1.1.A28 Steigerung der Verfügbarkeit durch Redundanz (H)
SYS.1.1.A29 Einrichtung einer Testumgebung (H)
SYS.1.1.A30 Ein Dienst pro Server (H)
SYS.1.1.A31 Application Whitelisting (H)
SYS.1.1.A32 Zusätzlicher Schutz von privilegierten Anmeldeinformationen (H)
SYS.1.1.A33 Aktive Verwaltung der Wurzelzertifikate (H)
SYS.1.1.A34 Festplattenverschlüsselung (H)
SYS.1.2.2 Windows Server 2012
Basis-Anforderungen
SYS.1.2.2.A1 Planung von Windows Server 2012 (B)
SYS.1.2.2.A2 Sichere Installation von Windows Server 2012 (B)
SYS.1.2.2.A3 Sichere Administration von Windows Server 2012 (B)
Standard-Anforderungen
SYS.1.2.2.A4 Sichere Konfiguration von Windows Server 2012 (S)
SYS.1.2.2.A5 Schutz vor Schadsoftware auf Windows Server 2012 (S)
SYS.1.2.2.A6 Sichere Authentisierung und Autorisierung in Windows Server 2012 (S)
SYS.1.2.2.A7 Prüfung der Sicherheitskonfiguration von Windows Server 2012 (S)
SYS.1.2.2.A8 Schutz der Systemintegrität (S)
SYS.1.2.2.A9 Lokale Kommunikationsfilterung (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.1.2.2.A10 Festplattenverschlüsselung bei Windows Server 2012 (H)
SYS.1.2.2.A11 Angriffserkennung bei Windows Server 2012 (H)
SYS.1.2.2.A12 Redundanz und Hochverfügbarkeit bei Windows Server 2012 (H)
SYS.1.2.2.A13 Starke Authentifizierung bei Windows Server 2012 (H)
SYS.1.2.2.A14 Herunterfahren verschlüsselter Server und virtueller Maschinen (H)
SYS.1.3 Server unter Linux und Unix
Basis-Anforderungen
SYS.1.3.A1 Authentisierung von Administratoren und Benutzern [Benutzer] (B)
SYS.1.3.A2 Sorgfältige Vergabe von IDs (B)
SYS.1.3.A3 Kein automatisches Einbinden von Wechsellaufwerken (B)
SYS.1.3.A4 Schutz vor Ausnutzung von Schwachstellen in Anwendungen (B)
SYS.1.3.A5 Sichere Installation von Software-Paketen (B)
Standard-Anforderungen
SYS.1.3.A6 Verwaltung von Benutzern und Gruppen (S)
SYS.1.3.A7 ENTFALLEN (S)
SYS.1.3.A8 Verschlüsselter Zugriff über Secure Shell (S)
SYS.1.3.A9 Absicherung des Bootvorgangs (S)
SYS.1.3.A10 Verhinderung der Ausbreitung bei der Ausnutzung von Schwachstellen (S)
SYS.1.3.A11 Einsatz der Sicherheitsmechanismen von NFS (S)
SYS.1.3.A12 Einsatz der Sicherheitsmechanismen von NIS (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.1.3.A13 ENTFALLEN (H)
SYS.1.3.A14 Verhinderung des Ausspähens von System- und Benutzerinformationen (H)
SYS.1.3.A15 Zusätzliche Absicherung des Bootvorgangs (H)
SYS.1.3.A16 Zusätzliche Verhinderung der Ausbreitung bei der Ausnutzung von Schwachstellen (H)
SYS.1.3.A17 Zusätzlicher Schutz des Kernels (H)
SYS.1.5 Virtualisierung
Basis-Anforderungen
SYS.1.5.A1 Einspielen von Aktualisierungen und Sicherheitsupdates (B)
SYS.1.5.A2 Sicherer Einsatz virtueller IT-Systeme (B)
SYS.1.5.A3 Sichere Konfiguration virtueller IT-Systeme (B)
SYS.1.5.A4 Sichere Konfiguration eines Netzes für virtuelle Infrastrukturen (B)
SYS.1.5.A5 Schutz der Administrationsschnittstellen (B)
SYS.1.5.A6 Protokollierung in der virtuellen Infrastruktur (B)
SYS.1.5.A7 Zeitsynchronisation in virtuellen IT-Systemen (B)
Standard-Anforderungen
SYS.1.5.A8 Planung einer virtuellen Infrastruktur [Leiter IT, Leiter Netze] (S)
SYS.1.5.A9 Netzplanung für virtuelle Infrastrukturen [Leiter IT, Leiter Netze] (S)
SYS.1.5.A10 Einführung von Verwaltungsprozessen für virtuelle IT-Systeme [Leiter IT] (S)
SYS.1.5.A11 Administration der Virtualisierungsinfrastruktur über ein gesondertes Managementnetz (S)
SYS.1.5.A12 Rechte- und Rollenkonzept für die Administration einer virtuellen Infrastruktur (S)
SYS.1.5.A13 Auswahl geeigneter Hardware für Virtualisierungsumgebungen (S)
SYS.1.5.A14 Einheitliche Konfigurationsstandards für virtuelle IT-Systeme [Leiter IT] (S)
SYS.1.5.A15 Betrieb von Gast-Betriebssystemen mit unterschiedlichem Schutzbedarf (S)
SYS.1.5.A16 Kapselung der virtuellen Maschinen (S)
SYS.1.5.A17 Überwachung des Betriebszustands und der Konfiguration der virtuellen Infrastruktur (S)
SYS.1.5.A18 Schulung der Administratoren virtueller Umgebungen [Vorgesetzte] (S)
SYS.1.5.A19 Regelmäßige Audits der Virtualisierungsinfrastruktur (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.1.5.A20 Verwendung von hochverfügbaren Architekturen [Leiter IT, Leiter Netze] (H)
SYS.1.5.A21 Sichere Konfiguration virtueller IT-Systeme bei erhöhtem Schutzbedarf (H)
SYS.1.5.A22 Härtung des Virtualisierungsservers (H)
SYS.1.5.A23 Rechte-Einschränkung der virtuellen Maschinen (H)
SYS.1.5.A24 Deaktivierung von Snapshots virtueller IT-Systeme (H)
SYS.1.5.A25 Minimale Nutzung von Konsolenzugriffen auf virtuelle IT-Systeme (H)
SYS.1.5.A26 Einsatz einer PKI [Leiter IT, Leiter Netze] (H)
SYS.1.5.A27 Einsatz zertifizierter Virtualisierungssoftware [Leiter IT] (H)
SYS.1.5.A28 Verschlüsselung von virtuellen IT-Systemen (H)
SYS.1.7 IBM Z-System
Basis-Anforderungen
SYS.1.7.A1 Einsatz restriktiver z/OS-Kennungen (B)
SYS.1.7.A2 Absicherung sicherheitskritischer z/OS-Dienstprogramme (B)
SYS.1.7.A3 Wartung von Z-Systemen (B)
SYS.1.7.A4 Schulung des z/OS-Bedienungspersonals (B)
SYS.1.7.A5 Einsatz und Sicherung systemnaher z/OS-Terminals (B)
SYS.1.7.A6 Einsatz und Sicherung der Remote Support Facility [Leiter IT] (B)
SYS.1.7.A7 Restriktive Autorisierung unter z/OS (B)
SYS.1.7.A8 Einsatz des z/OS-Sicherheitssystems RACF (B)
SYS.1.7.A9 Mandantenfähigkeit unter z/OS (B)
SYS.1.7.A10 Absichern des Login-Vorgangs unter z/OS (B)
SYS.1.7.A11 Schutz der Session-Daten (B)
Standard-Anforderungen
SYS.1.7.A12 Planung von Z-Systemen (S)
SYS.1.7.A13 Erstellung von Sicherheitsrichtlinien für z/OS-Systeme (S)
SYS.1.7.A14 Berichtswesen zum sicheren Betrieb von z/OS (S)
SYS.1.7.A15 Überprüfungen zum sicheren Betrieb von z/OS [IS-Revisionsteam] (S)
SYS.1.7.A16 Überwachung von z/OS-Systemen (S)
SYS.1.7.A17 Synchronisierung von z/OS-Passwörtern und RACF-Kommandos (S)
SYS.1.7.A18 Rollenkonzept für z/OS-Systeme (S)
SYS.1.7.A19 Absicherung von z/OS-Transaktionsmonitoren (S)
SYS.1.7.A20 Stilllegung von z/OS-Systemen (S)
SYS.1.7.A21 Absicherung des Startvorgangs von z/OS-Systemen (S)
SYS.1.7.A22 Absicherung der Betriebsfunktionen von z/OS (S)
SYS.1.7.A23 Absicherung von z/VM (S)
SYS.1.7.A24 Datenträgerverwaltung unter z/OS-Systemen (S)
SYS.1.7.A25 Festlegung der Systemdimensionierung von z/OS (S)
SYS.1.7.A26 WorkLoad Management für z/OS-Systeme (S)
SYS.1.7.A27 Zeichensatzkonvertierung bei z/OS-Systemen (S)
SYS.1.7.A28 Lizenzschlüssel-Management für z/OS-Software (S)
SYS.1.7.A29 Absicherung von Unix System Services bei z/OS-Systemen (S)
SYS.1.7.A30 Absicherung der z/OS-Trace-Funktionen (S)
SYS.1.7.A31 Notfallvorsorge für z/OS-Systeme (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.1.7.A32 Festlegung von Standards für z/OS-Systemdefinitionen (H)
SYS.1.7.A33 Trennung von Test- und Produktionssystemen unter z/OS (H)
SYS.1.7.A34 Batch-Job-Planung für z/OS-Systeme (H)
SYS.1.7.A35 Einsatz von RACF-Exits (H)
SYS.1.7.A36 Interne Kommunikation von Betriebssystemen (H)
SYS.1.7.A37 Parallel Sysplex unter z/OS (H)
SYS.1.7.A38 Einsatz des VTAM Session Management Exit unter z/OS (H)
SYS.1.8 Speicherlösungen
Basis-Anforderungen
SYS.1.8.A1 Geeignete Aufstellung von Speichersystemen [Haustechnik, Leiter IT] (B)
SYS.1.8.A2 Sichere Grundkonfiguration von Speicherlösungen (B)
SYS.1.8.A3 Restriktive Rechtevergabe (B)
SYS.1.8.A4 Schutz der Administrationsschnittstellen (B)
SYS.1.8.A5 Protokollierung bei Speichersystemen (B)
Standard-Anforderungen
SYS.1.8.A6 Erstellung einer Sicherheitsrichtlinie für Speicherlösungen [Informationssicherheitsbeauftragter (ISB)] (S)
SYS.1.8.A7 Planung von Speicherlösungen [Informationssicherheitsbeauftragter (ISB), Leiter IT] (S)
SYS.1.8.A8 Auswahl einer geeigneten Speicherlösung [Informationssicherheitsbeauftragter (ISB), Leiter IT] (S)
SYS.1.8.A9 Auswahl von Lieferanten für eine Speicherlösung [Informationssicherheitsbeauftragter (ISB), Leiter IT] (S)
SYS.1.8.A10 Erstellung und Pflege eines Betriebshandbuchs [Informationssicherheitsbeauftragter (ISB), Leiter IT] (S)
SYS.1.8.A11 Sicherer Betrieb einer Speicherlösung (S)
SYS.1.8.A12 Schulung der Administratoren [Vorgesetzte] (S)
SYS.1.8.A13 Überwachung und Verwaltung von Speicherlösungen (S)
SYS.1.8.A14 Absicherung eines SANs durch Segmentierung (S)
SYS.1.8.A15 Sichere Trennung von Mandanten in Speicherlösungen (S)
SYS.1.8.A16 Sicheres Löschen in SAN-Umgebungen (S)
SYS.1.8.A17 Dokumentation der Systemeinstellungen von Speichersystemen (S)
SYS.1.8.A18 Sicherheitsaudits und Berichtswesen bei Speichersystemen [Informationssicherheitsbeauftragter (ISB)] (S)
SYS.1.8.A19 Aussonderung von Speicherlösungen (S)
SYS.1.8.A20 Notfallvorsorge und Notfallreaktion für Speicherlösungen [Leiter IT] (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.1.8.A21 Einsatz von Speicherpools zur Mandantentrennung (H)
SYS.1.8.A22 Einsatz einer hochverfügbaren SAN-Lösung [Informationssicherheitsbeauftragter (ISB)] (H)
SYS.1.8.A23 Einsatz von Verschlüsselung für Speicherlösungen [Informationssicherheitsbeauftragter (ISB)] (H)
SYS.1.8.A24 Sicherstellung der Integrität der SAN-Fabric (H)
SYS.1.8.A25 Mehrfaches Überschreiben der Daten einer LUN (H)
SYS.1.8.A26 Absicherung eines SANs durch Hard-Zoning (H)
SYS.2.1 Allgemeiner Client
Basis-Anforderungen
SYS.2.1.A1 Sichere Benutzerauthentisierung (B)
SYS.2.1.A2 Rollentrennung (B)
SYS.2.1.A3 Aktivieren von Autoupdate-Mechanismen (B)
SYS.2.1.A4 Regelmäßige Datensicherung (B)
SYS.2.1.A5 Verwendung einer Bildschirmsperre [Benutzer] (B)
SYS.2.1.A6 Einsatz von Viren-Schutzprogrammen (B)
SYS.2.1.A7 Protokollierung auf Clients (B)
SYS.2.1.A8 Absicherung des Bootvorgangs (B)
Standard-Anforderungen
SYS.2.1.A9 Festlegung einer Sicherheitsrichtlinie für Clients (S)
SYS.2.1.A10 Planung des Einsatzes von Clients (S)
SYS.2.1.A11 Beschaffung von Clients (S)
SYS.2.1.A12 Kompatibilitätsprüfung von Software (S)
SYS.2.1.A13 Zugriff auf Ausführungsumgebungen mit unbeobachtbarer Codeausführung (S)
SYS.2.1.A14 Updates und Patches für Firmware, Betriebssystem und Anwendungen (S)
SYS.2.1.A15 Sichere Installation und Konfiguration von Clients (S)
SYS.2.1.A16 Deaktivierung und Deinstallation nicht benötigter Komponenten und Kennungen (S)
SYS.2.1.A17 Einsatzfreigabe für Clients (S)
SYS.2.1.A18 Nutzung von TLS [Benutzer] (S)
SYS.2.1.A19 Restriktive Rechtevergabe (S)
SYS.2.1.A20 Schutz der Administrationsschnittstellen (S)
SYS.2.1.A21 Verhinderung der unautorisierten Nutzung von Rechnermikrofonen und Kameras (S)
SYS.2.1.A22 Abmelden nach Aufgabenerfüllung [Benutzer] (S)
SYS.2.1.A23 Bevorzugung von Client-Server-Diensten (S)
SYS.2.1.A24 Umgang mit externen Medien und Wechseldatenträgern (S)
SYS.2.1.A25 Mitarbeiterrichtlinie zur sicheren IT-Nutzung [Benutzer] (S)
SYS.2.1.A26 Schutz vor Ausnutzung von Schwachstellen in Anwendungen (S)
SYS.2.1.A27 Geregelte Außerbetriebnahme eines Clients (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.2.1.A28 Verschlüsselung der Clients (H)
SYS.2.1.A29 Systemüberwachung und Monitoring der Clients (H)
SYS.2.1.A30 Einrichten einer Referenzinstallation für Clients (H)
SYS.2.1.A31 Einrichtung lokaler Paketfilter (H)
SYS.2.1.A32 Einsatz zusätzlicher Maßnahmen zum Schutz vor Exploits (H)
SYS.2.1.A33 Application Whitelisting (H)
SYS.2.1.A34 Einsatz von Anwendungsisolation (H)
SYS.2.1.A35 Aktive Verwaltung der Wurzelzertifikate (H)
SYS.2.1.A36 Selbstverwalteter Einsatz von SecureBoot und TPM (H)
SYS.2.1.A37 Verwendung von Mehr-Faktor-Authentisierung (H)
SYS.2.1.A38 Einbindung in die Notfallplanung (H)
SYS.2.1.A39 Unterbrechungsfreie und stabile Stromversorgung [Haustechnik] (H)
SYS.2.1.A40 Betriebsdokumentation (H)
SYS.2.1.A41 Verhinderung der Überlastung der lokalen Festplatte (H)
SYS.2.2.2 Clients unter Windows 8.1
Basis-Anforderungen
SYS.2.2.2.A1 Auswahl einer geeigneten Windows 8.1-Version (B)
SYS.2.2.2.A2 Festlegung eines Anmeldeverfahrens für Windows 8.1 (B)
SYS.2.2.2.A3 Einsatz von Viren-Schutzprogrammen unter Windows 8.1 (B)
Standard-Anforderungen
SYS.2.2.2.A4 Beschaffung von Windows 8.1 (S)
SYS.2.2.2.A5 Lokale Sicherheitsrichtlinien für Windows 8.1 (S)
SYS.2.2.2.A6 Datei- und Freigabeberechtigungen unter Windows 8.1 (S)
SYS.2.2.2.A7 Einsatz der Windows-Benutzerkontensteuerung UAC (S)
SYS.2.2.2.A8 Keine Verwendung der Heimnetzgruppen-Funktion [Benutzer] (S)
SYS.2.2.2.A9 Datenschutz und Datensparsamkeit bei Windows 8.1-Clients [Benutzer] (S)
SYS.2.2.2.A10 Integration von Online-Konten in das Betriebssystem [Benutzer] (S)
SYS.2.2.2.A11 Konfiguration von Synchronisationsmechanismen in Windows 8.1 (S)
SYS.2.2.2.A12 Sichere zentrale Authentisierung in Windows-Netzen (S)
SYS.2.2.2.A13 Anbindung von Windows 8.1 an den Microsoft Store (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.2.2.2.A14 Anwendungssteuerung mit Software Restriction Policies und AppLocker (H)
SYS.2.2.2.A15 Verschlüsselung des Dateisystems mit EFS (H)
SYS.2.2.2.A16 Verwendung der Windows PowerShell (H)
SYS.2.2.2.A17 Sicherer Einsatz des Wartungscenters (H)
SYS.2.2.2.A18 Aktivierung des Last-Access-Zeitstempels (H)
SYS.2.2.2.A19 Verwendung der Anmeldeinformationsverwaltung (H)
SYS.2.2.2.A20 Sicherheit beim Fernzugriff über RDP (H)
SYS.2.2.2.A21 Einsatz von File und Registry Virtualization (H)
SYS.2.2.3 Clients unter Windows 10
Basis-Anforderungen
SYS.2.2.3.A1 Planung des Einsatzes von Cloud-Diensten unter Windows 10 (B)
SYS.2.2.3.A2 Auswahl und Beschaffung einer geeigneten Windows 10-Version (B)
SYS.2.2.3.A3 ENTFALLEN (B)
SYS.2.2.3.A4 Telemetrie und Datenschutzeinstellungen unter Windows 10 (B)
SYS.2.2.3.A5 Schutz vor Schadsoftware unter Windows 10 (B)
SYS.2.2.3.A6 Integration von Online-Konten in das Betriebssystem [Benutzer] (B)
Standard-Anforderungen
SYS.2.2.3.A7 Lokale Sicherheitsrichtlinien für Windows 10 (S)
SYS.2.2.3.A8 Zentrale Verwaltung der Sicherheitsrichtlinien von Clients (S)
SYS.2.2.3.A9 Sichere zentrale Authentisierung in Windows-Netzen (S)
SYS.2.2.3.A10 Konfiguration zum Schutz von Anwendungen unter Windows 10 (S)
SYS.2.2.3.A11 Schutz der Anmeldeinformationen unter Windows 10 (S)
SYS.2.2.3.A12 Datei- und Freigabeberechtigungen unter Windows 10 (S)
SYS.2.2.3.A13 Einsatz der SmartScreen-Funktion (S)
SYS.2.2.3.A14 Einsatz des Sprachassistenten Cortana [Benutzer] (S)
SYS.2.2.3.A15 Einsatz der Synchronisationsmechanismen unter Windows 10 (S)
SYS.2.2.3.A16 Anbindung von Windows 10 an den Microsoft-Store (S)
SYS.2.2.3.A17 Keine Speicherung von Daten zur automatischen Anmeldung (S)
SYS.2.2.3.A18 Einsatz der Windows-Remoteunterstützung (S)
SYS.2.2.3.A19 Sicherheit beim Fernzugriff über RDP [Benutzer] (S)
SYS.2.2.3.A20 Einsatz der Benutzerkontensteuerung UAC für privilegierte Konten (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.2.2.3.A21 Einsatz des Encrypting File Systems (H)
SYS.2.2.3.A22 Verwendung der Windows PowerShell (H)
SYS.2.2.3.A23 Erweiterter Schutz der Anmeldeinformationen unter Windows 10 (H)
SYS.2.2.3.A24 Aktivierung des Last-Access-Zeitstempels (H)
SYS.2.2.3.A25 Umgang mit Fernzugriffsfunktionen der „Connected User Experience and Telemetry“ (H)
SYS.2.3 Clients unter Linux und Unix
Basis-Anforderungen
SYS.2.3.A1 Authentisierung von Administratoren und Benutzern [Benutzer] (B)
SYS.2.3.A2 Auswahl einer geeigneten Distribution (B)
SYS.2.3.A3 Nutzung von Cloud- und Online-Funktionen [Benutzer] (B)
SYS.2.3.A4 Einspielen von Updates und Patches auf unixartigen Systemen (B)
SYS.2.3.A5 Sichere Installation von Software-Paketen (B)
Standard-Anforderungen
SYS.2.3.A6 Kein automatisches Einbinden von Wechsellaufwerken [Benutzer] (S)
SYS.2.3.A7 Restriktive Rechtevergabe auf Dateien und Verzeichnisse (S)
SYS.2.3.A8 Einsatz von Techniken zur Rechtebeschränkung von Anwendungen (S)
SYS.2.3.A9 Sichere Verwendung von Passwörtern auf der Kommandozeile [Benutzer] (S)
SYS.2.3.A10 ENTFALLEN (S)
SYS.2.3.A11 Verhinderung der Überlastung der lokalen Festplatte (S)
SYS.2.3.A12 Sicherer Einsatz von Appliances (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.2.3.A13 ENTFALLEN (H)
SYS.2.3.A14 Absicherung gegen Nutzung unbefugter Peripheriegeräte (H)
SYS.2.3.A15 Zusätzlicher Schutz vor der Ausführung unerwünschter Dateien (H)
SYS.2.3.A16 Zusätzliche Absicherung des Bootvorgangs (H)
SYS.2.3.A17 Zusätzliche Verhinderung der Ausbreitung bei der Ausnutzung von Schwachstellen (H)
SYS.2.3.A18 Zusätzlicher Schutz des Kernels (H)
SYS.2.3.A19 Festplatten- oder Dateiverschlüsselung (H)
SYS.2.3.A20 Abschaltung kritischer SysRq-Funktionen (H)
SYS.2.4 Clients unter macOS
Basis-Anforderungen
SYS.2.4.A1 Planung des sicheren Einsatzes von macOS (B)
SYS.2.4.A2 Nutzung der integrierten Sicherheitsfunktionen von macOS (B)
SYS.2.4.A3 Verwendung geeigneter Benutzerkonten [Benutzer] (B)
Standard-Anforderungen
SYS.2.4.A4 Verwendung einer Festplattenverschlüsselung (S)
SYS.2.4.A5 Deaktivierung sicherheitskritischer Funktionen von macOS (S)
SYS.2.4.A6 Verwendung aktueller Mac-Hardware (S)
SYS.2.4.A7 Zwei-Faktor-Authentisierung für Apple-ID [Benutzer] (S)
SYS.2.4.A8 Keine Nutzung von iCloud für schützenswerte Daten [Benutzer] (S)
SYS.2.4.A9 Verwendung von zusätzlichen Schutzprogrammen unter macOS (S)
SYS.2.4.A10 Aktivierung der Personal Firewall unter macOS (S)
SYS.2.4.A11 Geräteaussonderung von Macs (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.2.4.A12 Firmware-Kennwort und Boot-Schutz auf Macs [Benutzer] (H)
SYS.3.1 Laptops
Basis-Anforderungen
SYS.3.1.A1 Regelungen zur mobilen Nutzung von Laptops (B)
SYS.3.1.A2 Zugriffsschutz am Laptop [Benutzer] (B)
SYS.3.1.A3 Einsatz von Personal Firewalls (B)
SYS.3.1.A4 Einsatz von Antivirenprogrammen [Benutzer] (B)
SYS.3.1.A5 Datensicherung [Benutzer] (B)
Standard-Anforderungen
SYS.3.1.A6 Sicherheitsrichtlinien für Laptops (S)
SYS.3.1.A7 Geregelte Übergabe und Rücknahme eines Laptops [Benutzer] (S)
SYS.3.1.A8 Sicherer Anschluss von Laptops an Datennetze [Benutzer] (S)
SYS.3.1.A9 Sicherer Fernzugriff (S)
SYS.3.1.A10 Abgleich der Datenbestände von Laptops [Benutzer] (S)
SYS.3.1.A11 Sicherstellung der Energieversorgung [Benutzer] (S)
SYS.3.1.A12 Verlustmeldung [Benutzer] (S)
SYS.3.1.A13 Verschlüsselung von Laptops (S)
SYS.3.1.A14 Geeignete Aufbewahrung von Laptops [Benutzer] (S)
SYS.3.1.A15 Geeignete Auswahl von Laptops [Beschaffungsstelle] (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.3.1.A16 Zentrale Administration von Laptops (H)
SYS.3.1.A17 Sammelaufbewahrung (H)
SYS.3.1.A18 Einsatz von Diebstahl-Sicherungen (H)
SYS.3.2.1 Allgemeine Smartphones und Tablets
Basis-Anforderungen
SYS.3.2.1.A1 Festlegung einer Richtlinie für den Einsatz von Smartphones und Tablets (B)
SYS.3.2.1.A2 Festlegung einer Strategie für die Cloud-Nutzung (B)
SYS.3.2.1.A3 Sichere Grundkonfiguration für mobile Geräte (B)
SYS.3.2.1.A4 Verwendung eines Zugriffschutzes [Benutzer] (B)
SYS.3.2.1.A5 Updates von Betriebssystem und Apps (B)
SYS.3.2.1.A6 Datenschutzeinstellungen (B)
SYS.3.2.1.A7 Verhaltensregeln bei Sicherheitsvorfällen [Fachverantwortliche, Benutzer] (B)
SYS.3.2.1.A8 Keine Installation von Apps aus unsicheren Quellen (B)
Standard-Anforderungen
SYS.3.2.1.A9 Restriktive Nutzung von funktionalen Erweiterungen (S)
SYS.3.2.1.A10 Richtlinie für Mitarbeiter zur Benutzung von mobilen Geräten [Benutzer] (S)
SYS.3.2.1.A11 Verschlüsselung des Speichers (S)
SYS.3.2.1.A12 Verwendung nicht personalisierter Gerätenamen (S)
SYS.3.2.1.A13 Regelungen zum Screensharing und Casting (S)
SYS.3.2.1.A14 Schutz vor Phishing und Schadprogrammen im Browser (S)
SYS.3.2.1.A15 Deaktivierung von Download-Boostern (S)
SYS.3.2.1.A16 Deaktivierung nicht benutzter Kommunikationsschnittstellen [Benutzer] (S)
SYS.3.2.1.A17 Verwendung der SIM-Karten-PIN (S)
SYS.3.2.1.A18 Verwendung biometrischer Authentisierung (S)
SYS.3.2.1.A19 Verwendung von Sprachassistenten (S)
SYS.3.2.1.A20 Auswahl und Freigabe von Apps (S)
SYS.3.2.1.A21 Definition der erlaubten Informationen und Applikationen auf mobilen Geräten [Fachverantwortliche, Benutzer] (S)
SYS.3.2.1.A22 Einbindung mobiler Geräte in die interne Infrastruktur via VPN (S)
SYS.3.2.1.A28 Verwendung der Filteroption für Webseiten (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.3.2.1.A23 Zusätzliche Authentisierung für vertrauliche Anwendungen (H)
SYS.3.2.1.A24 Einsatz einer geschlossenen Benutzergruppe (H)
SYS.3.2.1.A25 Nutzung von getrennten Arbeitsumgebungen (H)
SYS.3.2.1.A26 Nutzung von PIM-Containern (H)
SYS.3.2.1.A27 Einsatz besonders abgesicherter Endgeräte (H)
SYS.3.2.1.A29 Verwendung eines institutionsbezogenen APN (H)
SYS.3.2.1.A30 Einschränkung der App-Installation mittels Whitelist (H)
SYS.3.2.2 Mobile Device Management (MDM)
Basis-Anforderungen
SYS.3.2.2.A1 Festlegung einer Strategie für das Mobile Device Management (B)
SYS.3.2.2.A2 Festlegung erlaubter mobiler Endgeräte (B)
SYS.3.2.2.A3 Auswahl eines MDM-Produkts (B)
SYS.3.2.2.A4 Verteilung der Grundkonfiguration auf mobile Endgeräte (B)
SYS.3.2.2.A5 Sichere Grundkonfiguration für mobile Endgeräte (B)
SYS.3.2.2.A6 Protokollierung und Gerätestatus (B)
SYS.3.2.2.A20 Regelmäßige Überprüfung des MDM (B)
Standard-Anforderungen
SYS.3.2.2.A7 Auswahl und Freigabe von Apps (S)
SYS.3.2.2.A8 Festlegung erlaubter Informationen auf mobilen Endgeräten (S)
SYS.3.2.2.A9 Auswahl und Installation von Sicherheits-Apps (S)
SYS.3.2.2.A10 Sichere Anbindung der mobilen Endgeräte an die Institution (S)
SYS.3.2.2.A11 Berechtigungsmanagement im MDM (S)
SYS.3.2.2.A12 Absicherung der MDM-Betriebsumgebung (S)
SYS.3.2.2.A21 Verwaltung von Zertifikaten (S)
SYS.3.2.2.A22 Fernlöschung und Außerbetriebnahme von Endgeräten (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.3.2.2.A13 ENTFALLEN (H)
SYS.3.2.2.A14 Benutzung externer Reputation-Services für Apps (H)
SYS.3.2.2.A15 ENTFALLEN (H)
SYS.3.2.2.A16 ENTFALLEN (H)
SYS.3.2.2.A17 Kontrolle der Nutzung von mobilen Endgeräten (H)
SYS.3.2.2.A18 ENTFALLEN (H)
SYS.3.2.2.A19 Einsatz von Geofencing (H)
SYS.3.2.2.A23 Durchsetzung von Compliance-Anforderungen (H)
SYS.3.2.3 iOS (for Enterprise)
Basis-Anforderungen
SYS.3.2.3.A1 Strategie für die iOS-Nutzung (B)
SYS.3.2.3.A2 Planung des Einsatzes von Cloud-Diensten (B)
SYS.3.2.3.A3 ENTFALLEN (B)
SYS.3.2.3.A4 ENTFALLEN (B)
SYS.3.2.3.A5 ENTFALLEN (B)
SYS.3.2.3.A6 ENTFALLEN (B)
SYS.3.2.3.A7 Verhinderung des unautorisierten Löschens von Konfigurationsprofilen (B)
SYS.3.2.3.A8 ENTFALLEN (B)
Standard-Anforderungen
SYS.3.2.3.A9 ENTFALLEN (S)
SYS.3.2.3.A10 Verwendung biometrischer Authentisierung (S)
SYS.3.2.3.A11 Verwendung nicht personalisierter Gerätenamen (S)
SYS.3.2.3.A12 Verwendung von Apple-IDs (S)
SYS.3.2.3.A13 Verwendung der Konfigurationsoption „Einschränkungen unter iOS“ (S)
SYS.3.2.3.A14 Verwendung der iCloud-Infrastruktur (S)
SYS.3.2.3.A15 Verwendung der Continuity-Funktionen (S)
SYS.3.2.3.A16 ENTFALLEN (S)
SYS.3.2.3.A17 Verwendung der Gerätecode-Historie (S)
SYS.3.2.3.A18 Verwendung der Konfigurationsoption für den Browser Safari (S)
SYS.3.2.3.A19 ENTFALLEN (S)
SYS.3.2.3.A20 Einbindung der Geräte in die interne Infrastruktur via VPN (S)
SYS.3.2.3.A21 Freigabe von Apps und Einbindung des Apple App Stores (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.3.2.3.A22 ENTFALLEN (H)
SYS.3.2.3.A23 Verwendung der automatischen Konfigurationsprofillöschung (H)
SYS.3.2.3.A24 ENTFALLEN (H)
SYS.3.2.3.A25 Verwendung der Konfigurationsoption für AirPrint (H)
SYS.3.2.3.A26 Keine Verbindung mit Host-Systemen (H)
SYS.3.2.3.A27 ENTFALLEN (H)
SYS.3.2.4 Android
Basis-Anforderungen
SYS.3.2.4.A1 Auswahl von Android-basierten Geräten (B)
Standard-Anforderungen
SYS.3.2.4.A2 Deaktivieren der Entwickler-Optionen (S)
SYS.3.2.4.A3 Einsatz des Multi-User- und Gäste-Modus (S)
SYS.3.2.4.A4 Regelung und Konfiguration von Cloud-Print (S)
SYS.3.2.4.A5 Erweiterte Sicherheitseinstellungen (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.3.2.4.A6 Einsatz eines Produkts zum Schutz vor Schadsoftware (H)
SYS.3.2.4.A7 Verwendung einer Firewall (H)
SYS.3.3 Mobiltelefon
Basis-Anforderungen
SYS.3.3.A1 Sicherheitsrichtlinien und Regelungen für die Mobiltelefon-Nutzung (B)
SYS.3.3.A2 Sperrmaßnahmen bei Verlust eins Mobiltelefons [Benutzer] (B)
SYS.3.3.A3 Sensibilisierung und Schulung der Mitarbeiter im Umgang mit Mobiltelefonen (B)
SYS.3.3.A4 Aussonderung und ordnungsgemäße Entsorgung von Mobiltelefonen und darin verwendeter Speicherkarten (B)
Standard-Anforderungen
SYS.3.3.A5 Nutzung der Sicherheitsmechanismen von Mobiltelefonen [Benutzer] (S)
SYS.3.3.A6 Updates von Mobiltelefonen [Benutzer] (S)
SYS.3.3.A7 Beschaffung von Mobiltelefonen (S)
SYS.3.3.A8 Nutzung drahtloser Schnittstellen von Mobiltelefonen [Benutzer] (S)
SYS.3.3.A9 Sicherstellung der Energieversorgung von Mobiltelefonen [Benutzer] (S)
SYS.3.3.A10 Sichere Datenübertragung über Mobiltelefone [Benutzer] (S)
SYS.3.3.A11 Ausfallvorsorge bei Mobiltelefonen [Benutzer] (S)
SYS.3.3.A12 Einrichtung eines Mobiltelefon-Pools (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.3.3.A13 Schutz vor der Erstellung von Bewegungsprofilen bei der Mobilfunk-Nutzung [Benutzer] (H)
SYS.3.3.A14 Schutz vor Rufnummernermittlung bei der Mobiltelefon-Nutzung [Benutzer] (H)
SYS.3.3.A15 Schutz vor Abhören der Raumgespräche über Mobiltelefone (H)
SYS.4.1 Drucker, Kopierer und Multifunktionsgeräte
Basis-Anforderungen
SYS.4.1.A1 Planung des Einsatzes von Druckern, Kopierern und Multifunktionsgeräten (B)
SYS.4.1.A2 Geeignete Aufstellung und Zugriff auf Drucker, Kopierer und Multifunktionsgeräte (B)
SYS.4.1.A3 ENTFALLEN (B)
SYS.4.1.A12 Ordnungsgemäße Entsorgung von Geräten und schützenswerten Betriebsmitteln (B)
SYS.4.1.A13 ENTFALLEN (B)
SYS.4.1.A22 Ordnungsgemäße Entsorgung ausgedruckter Dokumente (B)
Standard-Anforderungen
SYS.4.1.A4 Erstellung eines Sicherheitskonzeptes für den Einsatz von Druckern, Kopieren und Multifunktionsgeräten (S)
SYS.4.1.A5 Erstellung von Benutzerrichtlinien für den Umgang mit Druckern, Kopierern und Multifunktionsgeräten [Informationssicherheitsbeauftragter (ISB)] (S)
SYS.4.1.A6 ENTFALLEN (S)
SYS.4.1.A7 Beschränkung der administrativen Fernzugriffe auf Drucker, Kopierer und Multifunktionsgeräte (S)
SYS.4.1.A8 ENTFALLEN (S)
SYS.4.1.A9 ENTFALLEN (S)
SYS.4.1.A10 ENTFALLEN (S)
SYS.4.1.A11 Einschränkung der Anbindung von Druckern, Kopierern und Multifunktionsgeräten (S)
SYS.4.1.A15 Verschlüsselung von Informationen bei Druckern, Kopierern und Multifunktionsgeräten (S)
SYS.4.1.A17 Schutz von Nutz- und Metadaten (S)
SYS.4.1.A18 Konfiguration von Druckern, Kopierern und Multifunktionsgeräten (S)
SYS.4.1.A19 Sicheres Löschen von Informationen bei Druckern, Kopierern und Multifunktionsgeräten (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.4.1.A14 Authentisierung und Autorisierung bei Druckern, Kopierern und Multifunktionsgeräten (H)
SYS.4.1.A16 Notfallvorsorge bei Druckern, Kopierern und Multifunktionsgeräten (H)
SYS.4.1.A20 Erweiterter Schutz von Informationen bei Druckern, Kopierern und Multifunktionsgeräten (H)
SYS.4.1.A21 Erweiterte Absicherung von Druckern, Kopierern und Multifunktionsgeräten (H)
SYS.4.3 Eingebettete Systeme
Basis-Anforderungen
SYS.4.3.A1 Regelungen zum Umgang mit eingebetteten Systemen [Leiter IT] (B)
SYS.4.3.A2 Deaktivieren nicht benutzter Schnittstellen und Dienste bei eingebetteten Systemen [Entwickler] (B)
SYS.4.3.A3 Protokollierung sicherheitsrelevanter Ereignisse bei eingebetteten Systemen (B)
Standard-Anforderungen
SYS.4.3.A4 Erstellung von Beschaffungskriterien für eingebettete Systeme [Beschaffer, Leiter IT] (S)
SYS.4.3.A5 Schutz vor schädigenden Umwelteinflüssen bei eingebetteten Systemen [Entwickler, Planer] (S)
SYS.4.3.A6 Verhindern von Debugging-Möglichkeiten bei eingebetteten Systemen [Entwickler] (S)
SYS.4.3.A7 Hardware-Realisierung von Funktionen eingebetteter Systeme [Entwickler, Planer, Beschaffer] (S)
SYS.4.3.A8 Einsatz eines sicheren Betriebssystem für eingebettete Systeme [Entwickler, Planer, Beschaffer] (S)
SYS.4.3.A9 Einsatz kryptografischer Prozessoren bzw. Koprozessoren bei eingebetteten Systemen [Entwickler, Planer, Beschaffer] (S)
SYS.4.3.A10 Wiederherstellung von eingebetteten Systemen (S)
SYS.4.3.A11 Sichere Aussonderung eines eingebetteten Systems [Leiter IT] (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.4.3.A12 Auswahl einer vertrauenswürdigen Lieferanten- und Logistikkette sowie qualifizierter Hersteller für eingebettete Systeme [Beschaffer, Leiter IT] (H)
SYS.4.3.A13 Einsatz eines zertifizierten Betriebssystems [Entwickler, Planer, Beschaffer] (H)
SYS.4.3.A14 Abgesicherter und authentisierter Bootprozess bei eingebetteten Systemen [Entwickler, Planer, Beschaffer] (H)
SYS.4.3.A15 Speicherschutz bei eingebetteten Systemen [Entwickler, Planer, Beschaffer] (H)
SYS.4.3.A16 Tamper-Schutz bei eingebetteten Systemen [Planer] (H)
SYS.4.3.A17 Automatische Überwachung der Baugruppenfunktion [Planer, Beschaffer] (H)
SYS.4.3.A18 Widerstandsfähigkeit eingebetteter Systeme gegen Seitenkanalangriffe [Entwickler, Beschaffer] (H)
SYS.4.4 Allgemeines IoT-Gerät
Basis-Anforderungen
SYS.4.4.A1 Einsatzkriterien für IoT-Geräte (B)
SYS.4.4.A2 Authentisierung (B)
SYS.4.4.A3 Regelmäßige Aktualisierung (B)
SYS.4.4.A4 ENTFALLEN (B)
SYS.4.4.A5 Einschränkung des Netzzugriffs (B)
Standard-Anforderungen
SYS.4.4.A6 Aufnahme von IoT-Geräten in die Sicherheitsrichtlinie der Institution (S)
SYS.4.4.A7 Planung des Einsatzes von IoT-Geräten (S)
SYS.4.4.A8 Beschaffungskriterien für IoT-Geräte [Beschaffungsstelle, Informationssicherheitsbeauftragter (ISB)] (S)
SYS.4.4.A9 Regelung des Einsatzes von IoT-Geräten (S)
SYS.4.4.A10 Sichere Installation und Konfiguration von IoT-Geräten (S)
SYS.4.4.A11 Verwendung von verschlüsselter Datenübertragung (S)
SYS.4.4.A12 Sichere Integration in übergeordnete Systeme (S)
SYS.4.4.A13 Deaktivierung und Deinstallation nicht benötigter Komponenten (S)
SYS.4.4.A14 Einsatzfreigabe (S)
SYS.4.4.A15 Restriktive Rechtevergabe (S)
SYS.4.4.A16 Beseitigung von Schadprogrammen auf IoT-Geräten (S)
SYS.4.4.A17 Überwachung des Netzverkehrs von IoT-Geräten (S)
SYS.4.4.A18 Protokollierung sicherheitsrelevanter Ereignisse bei IoT-Geräten (S)
SYS.4.4.A19 Schutz der Administrationsschnittstellen (S)
SYS.4.4.A20 Geregelte Außerbetriebnahme von IoT-Geräten (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.4.4.A21 Einsatzumgebung und Stromversorgung [Haustechnik] (H)
SYS.4.4.A22 Systemüberwachung (H)
SYS.4.4.A23 Auditierung von IoT-Geräten (H)
SYS.4.4.A24 Sichere Konfiguration und Nutzung eines eingebetteten Webservers (H)
SYS.4.5 Wechseldatenträger
Basis-Anforderungen
SYS.4.5.A1 Sensibilisierung der Mitarbeiter zum sicheren Umgang mit Wechseldatenträgern (B)
SYS.4.5.A2 Verlust- bzw. Manipulationsmeldung [Benutzer] (B)
SYS.4.5.A3 ENTFALLEN (B)
SYS.4.5.A12 Schutz vor Schadsoftware [Benutzer] (B)
Standard-Anforderungen
SYS.4.5.A4 Erstellung einer Richtlinie zum sicheren Umgang mit Wechseldatenträgern (S)
SYS.4.5.A5 Regelung zur Mitnahme von Wechseldatenträgern (S)
SYS.4.5.A6 Datenträgerverwaltung [Fachverantwortliche] (S)
SYS.4.5.A7 Sicheres Löschen der Datenträger vor und nach der Verwendung [Fachverantwortliche] (S)
SYS.4.5.A8 ENTFALLEN (S)
SYS.4.5.A13 Angemessene Kennzeichnung der Datenträger beim Versand [Benutzer] (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.4.5.A9 ENTFALLEN (H)
SYS.4.5.A10 Datenträgerverschlüsselung (H)
SYS.4.5.A11 Integritätsschutz durch Checksummen oder digitale Signaturen (H)
SYS.4.5.A14 Sichere Versandart und Verpackung (H)
SYS.4.5.A15 Zertifizierte Produkte (H)
SYS.4.5.A16 Nutzung dedizierter Systeme zur Datenprüfung (H)

APP.1.1 Office-Produkte
Basis-Anforderungen
APP.1.1.A1 Sicherstellen der Integrität von Office-Produkten (B)
APP.1.1.A2 Einschränken von Aktiven Inhalten (B)
APP.1.1.A3 Sicheres Öffnen von Dokumenten aus externen Quellen [Benutzer] (B)
APP.1.1.A4 Absichern des laufenden Betriebs von Office-Produkten (B)
Standard-Anforderungen
APP.1.1.A5 Auswahl geeigneter Office-Produkte (S)
APP.1.1.A6 Testen neuer Versionen von Office-Produkten (S)
APP.1.1.A7 Installation und sichere Standardkonfiguration von Office-Produkten (S)
APP.1.1.A8 Regelmäßige Versionskontrolle von Office-Produkten (S)
APP.1.1.A9 Beseitigung von Restinformationen vor Weitergabe von Dokumenten [Benutzer] (S)
APP.1.1.A10 Regelung der Software-Entwicklung durch Endbenutzer [Benutzer] (S)
APP.1.1.A11 Geregelter Einsatz von Erweiterungen für Office-Produkte (S)
APP.1.1.A12 Verzicht auf Cloud-Speicherung [Benutzer] (S)
APP.1.1.A13 Verwendung von Viewer-Funktionen [Benutzer] (S)
APP.1.1.A14 Schutz gegen nachträgliche Veränderungen von Dokumenten [Benutzer] (S)
Anforderungen bei erhöhtem Schutzbedarf
APP.1.1.A15 Einsatz von Verschlüsselung und Digitalen Signaturen (H)
APP.1.1.A16 Integritätsprüfung von Dokumenten (H)
APP.1.2 Web-Browser
Basis-Anforderungen
APP.1.2.A1 Verwendung von Sandboxing (B)
APP.1.2.A2 Unterstützung sicherer Verschlüsselung der Kommunikation (B)
APP.1.2.A3 Verwendung von vertrauenswürdigen Zertifikaten [Benutzer] (B)
APP.1.2.A4 Versionsprüfung und Aktualisierung des Webbrowsers (B)
Standard-Anforderungen
APP.1.2.A5 Verwendung einer zentralen Basiskonfiguration (S)
APP.1.2.A6 Kennwortmanagement im Webbrowser [Benutzer] (S)
APP.1.2.A7 Datensparsamkeit in Webbrowsern [Benutzer] (S)
APP.1.2.A8 Verwendung von Plug-ins und Erweiterungen [Benutzer] (S)
Anforderungen bei erhöhtem Schutzbedarf
APP.1.2.A9 Einsatz einer isolierten Webbrowser-Umgebung (H)
APP.1.2.A10 Verwendung des privaten Modus [Benutzer] (H)
APP.1.2.A11 Überprüfung auf schädliche Inhalte (H)
APP.1.2.A12 Zwei-Browser-Strategie (H)
APP.1.4 Mobile Anwendung (Apps)
Basis-Anforderungen
APP.1.4.A1 Anforderungsanalyse für die Nutzung von Apps [Fachverantwortliche] (B)
APP.1.4.A2 Regelungen für die Verwendung von mobilen Endgeräten und Apps [Benutzer] (B)
APP.1.4.A3 Verwendung sicherer Quellen für Apps [Benutzer] (B)
APP.1.4.A4 Test und Freigabe von Apps [Datenschutzbeauftragter, Fachverantwortliche] (B)
APP.1.4.A5 Minimierung und Kontrolle von App-Berechtigungen [Fachverantwortliche] (B)
APP.1.4.A6 Patchmanagement für Apps (B)
APP.1.4.A7 Sichere Speicherung lokaler App-Daten (B)
APP.1.4.A8 Verhinderung von Datenabfluss (B)
Standard-Anforderungen
APP.1.4.A9 Sichere Anbindung an Backend-Systeme [Fachverantwortliche] (S)
APP.1.4.A10 Sichere Authentisierung von Apps (S)
APP.1.4.A11 Zentrales Management von Apps (S)
APP.1.4.A12 Sichere Deinstallation von Apps (S)
Anforderungen bei erhöhtem Schutzbedarf
APP.1.4.A13 Entwicklung von Fallback-Lösungen für Apps [Fachverantwortliche] (H)
APP.1.4.A14 Unterstützung zusätzlicher Authentisierungsmerkmale bei Apps (H)
APP.1.4.A15 Durchführung von Penetrationstests für Apps (H)
APP.2.1 Allgemeiner Verzeichnisdienst
Basis-Anforderungen
APP.2.1.A1 Erstellung einer Sicherheitsrichtlinie für Verzeichnisdienste (B)
APP.2.1.A2 Planung des Einsatzes von Verzeichnisdiensten [Datenschutzbeauftragter, Fachverantwortliche] (B)
APP.2.1.A3 Einrichtung von Zugriffsberechtigungen auf Verzeichnisdienste [Fachverantwortliche] (B)
APP.2.1.A4 Sichere Installation von Verzeichnisdiensten (B)
APP.2.1.A5 Sichere Konfiguration und Konfigurationsänderungen von Verzeichnisdiensten (B)
APP.2.1.A6 Sicherer Betrieb von Verzeichnisdiensten (B)
Standard-Anforderungen
APP.2.1.A7 Erstellung eines Sicherheitskonzepts für den Einsatz von Verzeichnisdiensten (S)
APP.2.1.A8 Planung einer Partitionierung und Replikation im Verzeichnisdienst (S)
APP.2.1.A9 Geeignete Auswahl von Komponenten für Verzeichnisdienste [Fachverantwortliche] (S)
APP.2.1.A10 Schulung zu Administration und Betrieb von Verzeichnisdiensten (S)
APP.2.1.A11 Einrichtung des Zugriffs auf Verzeichnisdienste (S)
APP.2.1.A12 Überwachung von Verzeichnisdiensten (S)
APP.2.1.A13 Absicherung der Kommunikation mit Verzeichnisdiensten (S)
APP.2.1.A14 Geregelte Außerbetriebnahme eines Verzeichnisdienstes [Fachverantwortliche] (S)
APP.2.1.A15 Migration von Verzeichnisdiensten (S)
Anforderungen bei erhöhtem Schutzbedarf
APP.2.1.A16 Erstellung eines Notfallplans für den Ausfall eines Verzeichnisdienstes (H)
APP.2.2 Active Directory
Basis-Anforderungen
APP.2.2.A1 Planung des Active Directory [Fachverantwortliche] (B)
APP.2.2.A2 Planung der Active-Directory-Administration [Fachverantwortliche] (B)
APP.2.2.A3 Planung der Gruppenrichtlinien unter Windows (B)
APP.2.2.A4 Schulung zur Active-Directory-Verwaltung (B)
APP.2.2.A5 Härtung des Active Directory (B)
APP.2.2.A6 Aufrechterhaltung der Betriebssicherheit von Active Directory (B)
APP.2.2.A7 Umsetzung sicherer Verwaltungsmethoden für Active Directory [Fachverantwortliche] (B)
Standard-Anforderungen
APP.2.2.A8 Konfiguration des „Sicheren Kanals“ unter Windows (S)
APP.2.2.A9 Schutz der Authentisierung beim Einsatz von Active Directory (S)
APP.2.2.A10 Sicherer Einsatz von DNS für Active Directory (S)
APP.2.2.A11 Überwachung der Active-Directory-Infrastruktur (S)
APP.2.2.A12 Datensicherung für Domänen-Controller (S)
Anforderungen bei erhöhtem Schutzbedarf
APP.2.2.A13 Einsatz von Zwei-Faktor-Authentisierung (H)
APP.2.2.A14 Verwendung dedizierter privilegierter Administrationssysteme (H)
APP.2.2.A15 Trennung von Administrations- und Produktionsumgebung (H)
APP.2.3 OpenLDAP
Basis-Anforderungen
APP.2.3.A1 Planung und Auswahl von Backends und Overlays für OpenLDAP (B)
APP.2.3.A2 Sichere Installation von OpenLDAP (B)
APP.2.3.A3 Sichere Konfiguration von OpenLDAP (B)
APP.2.3.A4 Konfiguration der durch OpenLDAP verwendeten Datenbank (B)
APP.2.3.A5 Sichere Vergabe von Zugriffsrechten auf dem OpenLDAP (B)
APP.2.3.A6 Sichere Authentisierung gegenüber OpenLDAP (B)
Standard-Anforderungen
APP.2.3.A7 Schulung von Administratoren von OpenLDAP (S)
APP.2.3.A8 Einschränkungen von Attributen bei OpenLDAP (S)
APP.2.3.A9 Partitionierung und Replikation bei OpenLDAP (S)
APP.2.3.A10 Sichere Aktualisierung von OpenLDAP (S)
APP.2.3.A11 Einschränkung der OpenLDAP-Laufzeitumgebung (S)
APP.2.3.A12 Protokollierung und Überwachung von OpenLDAP [Datenschutzbeauftragter] (S)
APP.2.3.A13 Datensicherung von OpenLDAP (S)
Anforderungen bei erhöhtem Schutzbedarf
APP.3.1 Webanwendungen
Basis-Anforderungen
APP.3.1.A1 Authentisierung bei Webanwendungen [Entwickler] (B)
APP.3.1.A2 Zugriffskontrolle bei Webanwendungen [Entwickler] (B)
APP.3.1.A3 Sicheres Session-Management [Entwickler] (B)
APP.3.1.A4 Kontrolliertes Einbinden von Daten und Inhalten bei Webanwendungen [Entwickler] (B)
APP.3.1.A5 Protokollierung sicherheitsrelevanter Ereignisse von Webanwendungen [Entwickler] (B)
APP.3.1.A6 ENTFALLEN (B)
APP.3.1.A7 Schutz vor unerlaubter automatisierter Nutzung von Webanwendungen [Entwickler] (B)
APP.3.1.A14 Schutz vertraulicher Daten [Entwickler] (B)
APP.3.1.A16 Umfassende Eingabevalidierung und Ausgabekodierung [Entwickler] (B)
APP.3.1.A19 Schutz vor SQL-Injection [Entwickler] (B)
Standard-Anforderungen
APP.3.1.A8 Systemarchitektur einer Webanwendung [Beschaffer, Entwickler] (S)
APP.3.1.A9 Beschaffung, Entwicklung und Erweiterung von Webanwendungen [Entwickler, Beschaffer] (S)
APP.3.1.A10 ENTFALLEN (S)
APP.3.1.A11 Sichere Anbindung von Hintergrundsystemen (S)
APP.3.1.A12 Sichere Konfiguration von Webanwendungen (S)
APP.3.1.A13 Restriktive Herausgabe sicherheitsrelevanter Informationen (S)
APP.3.1.A15 Verifikation essenzieller Änderungen [Entwickler] (S)
APP.3.1.A17 Fehlerbehandlung [Entwickler] (S)
APP.3.1.A18 ENTFALLEN (S)
APP.3.1.A21 Sichere HTTP-Konfiguration bei Webanwendungen [Entwickler] (S)
APP.3.1.A22 Überprüfung von Webanwendungen (S)
APP.3.1.A23 Verhinderung von Cross-Site-Request-Forgery [Entwickler] (S)
Anforderungen bei erhöhtem Schutzbedarf
APP.3.1.A20 Einsatz von Web Application Firewalls (H)
APP.3.1.A24 Verhinderung der Blockade von Ressourcen [Entwickler] (H)
APP.3.1.A25 Kryptografische Sicherung vertraulicher Daten [Entwickler] (H)
APP.3.2 Webserver
Basis-Anforderungen
APP.3.2.A1 Sichere Konfiguration eines Webservers (B)
APP.3.2.A2 Schutz der Webserver-Dateien (B)
APP.3.2.A3 Absicherung von Datei-Uploads und -Downloads (B)
APP.3.2.A4 Protokollierung von Ereignissen (B)
APP.3.2.A5 Authentisierung (B)
APP.3.2.A6 ENTFALLEN (B)
APP.3.2.A7 Rechtliche Rahmenbedingungen für Webangebote [Fachverantwortliche] (B)
APP.3.2.A11 Verschlüsselung über TLS (B)
Standard-Anforderungen
APP.3.2.A8 Planung des Einsatzes eines Webservers (S)
APP.3.2.A9 Festlegung einer Sicherheitsrichtlinie für den Webserver (S)
APP.3.2.A10 Auswahl eines geeigneten Webhosters (S)
APP.3.2.A12 Geeigneter Umgang mit Fehlern und Fehlermeldungen (S)
APP.3.2.A13 Zugriffskontrolle für Webcrawler (S)
APP.3.2.A14 Integritätsprüfungen und Schutz vor Schadsoftware (S)
APP.3.2.A16 Penetrationstest und Revision (S)
APP.3.2.A20 Benennung von Ansprechpartnern [Fachverantwortliche, Leiter IT] (S)
Anforderungen bei erhöhtem Schutzbedarf
APP.3.2.A15 Redundanz (H)
APP.3.2.A17 Einsatz erweiterter Authentisierungsmethoden für Webserver (H)
APP.3.2.A18 Schutz vor Denial-of-Service-Angriffen (H)
APP.3.2.A19 ENTFALLEN (H)
APP.3.3 Fileserver
Basis-Anforderungen
APP.3.3.A1 ENTFALLEN (B)
APP.3.3.A2 Einsatz von RAID-Systemen (B)
APP.3.3.A3 Einsatz von Viren-Schutzprogrammen (B)
APP.3.3.A4 ENTFALLEN (B)
APP.3.3.A5 Restriktive Rechtevergabe (B)
APP.3.3.A15 Planung von Fileservern (B)
Standard-Anforderungen
APP.3.3.A6 Beschaffung eines Fileservers und Auswahl eines Dienstes (S)
APP.3.3.A7 Auswahl eines Dateisystems (S)
APP.3.3.A8 Strukturierte Datenhaltung [Benutzer] (S)
APP.3.3.A9 Sicheres Speichermanagement (S)
APP.3.3.A10 ENTFALLEN (S)
APP.3.3.A11 Einsatz von Speicherbeschränkungen (S)
APP.3.3.A14 Einsatz von Error-Correction-Codes (S)
Anforderungen bei erhöhtem Schutzbedarf
APP.3.3.A12 Verschlüsselung des Datenbestandes (H)
APP.3.3.A13 Replizieren zwischen Standorten (H)
APP.3.4 Samba
Basis-Anforderungen
APP.3.4.A1 Planung des Einsatzes eines Samba-Servers (B)
APP.3.4.A2 Sichere Grundkonfiguration eines Samba-Servers (B)
Standard-Anforderungen
APP.3.4.A3 Sichere Konfiguration des Samba-Servers (S)
APP.3.4.A4 Vermeidung der NTFS-Eigenschaften auf einem Samba-Server (S)
APP.3.4.A5 Sichere Konfiguration der Zugriffssteuerung bei einem Samba-Server (S)
APP.3.4.A6 Sichere Konfiguration von Winbind unter Samba (S)
APP.3.4.A7 Sichere Konfiguration von DNS unter Samba (S)
APP.3.4.A8 Sichere Konfiguration von LDAP unter Samba (S)
APP.3.4.A9 Sichere Konfiguration von Kerberos unter Samba (S)
APP.3.4.A10 Sicherer Einsatz externer Programme auf einem Samba-Server (S)
APP.3.4.A11 Sicherer Einsatz von Kommunikationsprotokollen beim Einsatz eines Samba-Servers (S)
APP.3.4.A12 Schulung der Administratoren eines Samba-Servers (S)
APP.3.4.A13 Regelmäßige Sicherung wichtiger Systemkomponenten eines Samba-Servers (S)
APP.3.4.A14 ENTFALLEN (S)
Anforderungen bei erhöhtem Schutzbedarf
APP.3.4.A15 Verschlüsselung der Datenpakete unter Samba (H)
APP.3.6 DNS-Server
Basis-Anforderungen
APP.3.6.A1 Planung des DNS-Einsatzes (B)
APP.3.6.A2 Einsatz redundanter DNS-Server (B)
APP.3.6.A3 Verwendung von separaten DNS-Servern für interne und externe Anfragen (B)
APP.3.6.A4 Sichere Grundkonfiguration eines DNS-Servers (B)
APP.3.6.A5 ENTFALLEN (B)
APP.3.6.A6 Absicherung von dynamischen DNS-Updates (B)
APP.3.6.A7 Überwachung von DNS-Servern (B)
APP.3.6.A8 Verwaltung von Domainnamen [Leiter IT] (B)
APP.3.6.A9 Erstellen eines Notfallplans für DNS-Server (B)
Standard-Anforderungen
APP.3.6.A10 Auswahl eines geeigneten DNS-Server-Produktes (S)
APP.3.6.A11 Ausreichende Dimensionierung der DNS-Server (S)
APP.3.6.A12 Schulung der Verantwortlichen [Vorgesetzte] (S)
APP.3.6.A13 Einschränkung der Sichtbarkeit von Domain-Informationen (S)
APP.3.6.A14 Platzierung der Nameserver (S)
APP.3.6.A15 Auswertung der Logdaten (S)
APP.3.6.A16 Integration eines DNS-Servers in eine „P-A-P“-Struktur (S)
APP.3.6.A17 Einsatz von DNSSEC (S)
APP.3.6.A18 Erweiterte Absicherung von Zonentransfers (S)
APP.3.6.A19 Aussonderung von DNS-Servern (S)
Anforderungen bei erhöhtem Schutzbedarf
APP.3.6.A20 Prüfung des Notfallplans auf Durchführbarkeit (H)
APP.3.6.A21 Hidden-Master (H)
APP.3.6.A22 Anbindung der DNS-Server über unterschiedliche Provider [Leiter IT] (H)
APP.4.2 SAP-ERP-System
Basis-Anforderungen
APP.4.2.A1 Sichere Konfiguration des SAP-ABAP-Stacks (B)
APP.4.2.A2 Sichere Konfiguration des SAP-JAVA-Stacks (B)
APP.4.2.A3 Netzsicherheit (B)
APP.4.2.A4 Absicherung der ausgelieferten SAP-Standardbenutzer-Kennungen (B)
APP.4.2.A5 Konfiguration und Absicherung der SAP-Benutzerverwaltung (B)
APP.4.2.A6 Erstellung und Umsetzung eines Benutzer- und Berechtigungskonzeptes [Fachabteilung, Entwickler, Leiter IT] (B)
APP.4.2.A7 Absicherung der SAP-Datenbanken (B)
APP.4.2.A8 Absicherung der SAP-RFC-Schnittstelle (B)
APP.4.2.A9 Absicherung und Überwachung des Message-Servers (B)
APP.4.2.A10 Regelmäßige Implementierung von Sicherheitskorrekturen [Fachabteilung] (B)
Standard-Anforderungen
APP.4.2.A11 Sichere Installation eines SAP-ERP-Systems (S)
APP.4.2.A12 SAP-Berechtigungsentwicklung [Fachabteilung, Entwickler, Leiter IT] (S)
APP.4.2.A13 SAP-Passwortsicherheit (S)
APP.4.2.A14 Identifizierung kritischer SAP-Berechtigungen [Fachabteilung] (S)
APP.4.2.A15 Sichere Konfiguration des SAP-Routers (S)
APP.4.2.A16 Umsetzung von Sicherheitsanforderungen für das Betriebssystem Windows (S)
APP.4.2.A17 Umsetzung von Sicherheitsanforderungen für das Betriebssystem Unix (S)
APP.4.2.A18 Abschaltung von unsicherer Kommunikation (S)
APP.4.2.A19 Definition der Sicherheitsrichtlinien für Benutzer (S)
APP.4.2.A20 Sichere SAP-GUI-Einstellungen (S)
APP.4.2.A21 Konfiguration des Security Audit Logs (S)
APP.4.2.A22 Schutz des Spools im SAP-ERP-System [Entwickler] (S)
APP.4.2.A23 Schutz der SAP-Hintergrundverarbeitung [Entwickler] (S)
APP.4.2.A24 Aktivierung und Absicherung des Internet Communication Frameworks (S)
APP.4.2.A25 Sichere Konfiguration des SAP Web Dispatchers (S)
APP.4.2.A26 Schutz des kundeneigenen Codes im SAP-ERP-System (S)
APP.4.2.A27 Audit des SAP-ERP-Systems [Fachabteilung] (S)
APP.4.2.A28 Erstellung eines Notfallkonzeptes [Notfallbeauftragter] (S)
APP.4.2.A29 Einrichten eines Notfallbenutzers (S)
APP.4.2.A30 Implementierung eines kontinuierlichen Monitorings der Sicherheitseinstellungen (S)
APP.4.2.A31 Konfiguration von SAP Single-Sign-On (S)
Anforderungen bei erhöhtem Schutzbedarf
APP.4.2.A32 Echtzeiterfassung und Alarmierung von irregulären Vorgängen (H)
APP.4.3 Relationale Datenbanksysteme
Basis-Anforderungen
APP.4.3.A1 Erstellung einer Sicherheitsrichtlinie für Datenbanksysteme (B)
APP.4.3.A2 Installation des Datenbankmanagementsystems (B)
APP.4.3.A3 Basishärtung des Datenbankmanagementsystems (B)
APP.4.3.A4 Geregeltes Anlegen neuer Datenbanken (B)
APP.4.3.A5 Benutzer- und Berechtigungskonzept (B)
APP.4.3.A6 Passwortänderung [Fachverantwortliche] (B)
APP.4.3.A7 Zeitnahes Einspielen von Sicherheitsupdates (B)
APP.4.3.A8 Datenbank-Protokollierung (B)
APP.4.3.A9 Datensicherung eines Datenbanksystems (B)
Standard-Anforderungen
APP.4.3.A10 Auswahl geeigneter Datenbankmanagementsysteme (S)
APP.4.3.A11 Ausreichende Dimensionierung der Hardware [Leiter IT, Fachverantwortliche] (S)
APP.4.3.A12 Einheitlicher Konfigurationsstandard von Datenbankmanagementsystemen [Leiter IT] (S)
APP.4.3.A13 Restriktive Handhabung von Datenbank-Links (S)
APP.4.3.A14 Überprüfung der Datensicherung eines Datenbanksystems (S)
APP.4.3.A15 Schulung der Datenbankadministratoren [Vorgesetzte, Leiter IT] (S)
APP.4.3.A16 Verschlüsselung der Datenbankanbindung (S)
APP.4.3.A17 Datenübernahme oder Migration [Fachverantwortliche] (S)
APP.4.3.A18 Überwachung des Datenbankmanagementsystems (S)
APP.4.3.A19 Schutz vor schädlichen Datenbank-Skripten [Entwickler] (S)
APP.4.3.A20 Regelmäßige Audits (S)
Anforderungen bei erhöhtem Schutzbedarf
APP.4.3.A21 Einsatz von Datenbank Security Tools (H)
APP.4.3.A22 Notfallvorsorge (H)
APP.4.3.A23 Archivierung (H)
APP.4.3.A24 Datenverschlüsselung in der Datenbank (H)
APP.4.3.A25 Sicherheitsüberprüfungen von Datenbanksystemen (H)
APP.4.6 SAP ABAP-Programmierung
Basis-Anforderungen
APP.4.6.A1 Absicherung von Reports mit Berechtigungsprüfungen [Entwickler] (B)
APP.4.6.A2 Formal korrekte Auswertung von Berechtigungsprüfungen [Entwickler] (B)
APP.4.6.A3 Berechtigungsprüfung vor dem Start einer Transaktion [Entwickler] (B)
APP.4.6.A4 Verzicht auf proprietäre Berechtigungsprüfungen [Entwickler] (B)
Standard-Anforderungen
APP.4.6.A5 Erstellung einer Richtlinie für die ABAP-Entwicklung (S)
APP.4.6.A6 Vollständige Ausführung von Berechtigungsprüfungen [Entwickler] (S)
APP.4.6.A7 Berechtigungsprüfung während der Eingabeverarbeitung [Entwickler] (S)
APP.4.6.A8 Schutz vor unberechtigten oder manipulierenden Zugriffen auf das Dateisystem [Entwickler] (S)
APP.4.6.A9 Berechtigungsprüfung in remote-fähigen Funktionsbausteinen [Entwickler] (S)
APP.4.6.A10 Verhinderung der Ausführung von Betriebssystemkommandos [Entwickler] (S)
APP.4.6.A11 Vermeidung von eingeschleustem Schadcode [Entwickler] (S)
APP.4.6.A12 Vermeidung von generischer Modulausführung [Entwickler] (S)
APP.4.6.A13 Vermeidung von generischem Zugriff auf Tabelleninhalte [Entwickler] (S)
APP.4.6.A14 Vermeidung von nativen SQL-Anweisungen [Entwickler] (S)
APP.4.6.A15 Vermeidung von Datenlecks [Entwickler] (S)
APP.4.6.A16 Verzicht auf systemabhängige Funktionsausführung [Entwickler] (S)
APP.4.6.A17 Verzicht auf mandantenabhängige Funktionsausführung [Entwickler] (S)
APP.4.6.A18 Vermeidung von Open-SQL-Injection-Schwachstellen [Entwickler] (S)
APP.4.6.A19 Schutz vor Cross-Site-Scripting [Entwickler] (S)
APP.4.6.A20 Keine Zugriffe auf Daten eines anderen Mandanten [Entwickler] (S)
APP.4.6.A21 Verbot von verstecktem ABAP-Quelltext [Entwickler] (S)
Anforderungen bei erhöhtem Schutzbedarf
APP.4.6.A22 Einsatz von ABAP-Codeanalyse Werkzeugen (H)
APP.5.1 Allgemeine Groupware
Basis-Anforderungen
APP.5.1.A1 Sichere Installation von Groupware-Systemen (B)
APP.5.1.A2 Sichere Konfiguration der Groupware-Clients (B)
APP.5.1.A3 Sicherer Betrieb von Groupware-Systemen (B)
APP.5.1.A4 Datensicherung und Archivierung bei Groupware (B)
APP.5.1.A7 Planung des sicheren Einsatzes von Groupware-Systemen (B)
APP.5.1.A22 Spam- und Virenschutz auf dem E-Mailserver (B)
Standard-Anforderungen
APP.5.1.A5 ENTFALLEN (S)
APP.5.1.A6 Festlegung von Vertretungsregelungen bei E-Mail-Nutzung [Vorgesetzte] (S)
APP.5.1.A8 Festlegung einer Sicherheitsrichtlinie für Groupware (S)
APP.5.1.A9 ENTFALLEN (S)
APP.5.1.A10 ENTFALLEN (S)
APP.5.1.A11 ENTFALLEN (S)
APP.5.1.A12 Schulung zu Sicherheitsmechanismen von Groupware-Clients für Benutzer (S)
APP.5.1.A13 ENTFALLEN (S)
APP.5.1.A14 ENTFALLEN (S)
APP.5.1.A15 ENTFALLEN (S)
APP.5.1.A16 Umgang mit SPAM durch Benutzer [Benutzer] (S)
APP.5.1.A17 Auswahl eines Groupware- oder E-Mail-Providers (S)
APP.5.1.A18 Erweiterter Spamschutz auf dem E-Mailserver (S)
APP.5.1.A19 ENTFALLEN (S)
Anforderungen bei erhöhtem Schutzbedarf
APP.5.1.A20 ENTFALLEN (H)
APP.5.1.A21 Ende-zu-Ende-Verschlüsselung (H)
APP.5.2 Microsoft Exchange und Outlook
Basis-Anforderungen
APP.5.2.A1 Planung des Einsatzes von Microsoft Exchange und Outlook (B)
APP.5.2.A2 Auswahl einer geeigneten Microsoft Exchange-Infrastruktur (B)
APP.5.2.A3 Berechtigungsmanagement und Zugriffsrechte (B)
APP.5.2.A4 ENTFALLEN (B)
APP.5.2.A5 Datensicherung von Microsoft Exchange (B)
Standard-Anforderungen
APP.5.2.A6 ENTFALLEN (S)
APP.5.2.A7 Migration von Microsoft Exchange-Systemen (S)
APP.5.2.A8 ENTFALLEN (S)
APP.5.2.A9 Sichere Konfiguration von Microsoft Exchange-Servern (S)
APP.5.2.A10 Sichere Konfiguration von Outlook (S)
APP.5.2.A11 Absicherung der Kommunikation zwischen Microsoft Exchange-Systemen (S)
APP.5.2.A12 Einsatz von Outlook Anywhere, MAPI over HTTP und Outlook Web App (S)
APP.5.2.A13 ENTFALLEN (S)
APP.5.2.A14 Schulung zu Sicherheitsmechanismen von Outlook für Anwender [Informationssicherheitsbeauftragter (ISB)] (S)
APP.5.2.A15 Betriebsdokumentation für Microsoft Exchange (S)
APP.5.2.A16 ENTFALLEN (S)
APP.5.2.A19 Erstellung einer Sicherheitsrichtlinie für Microsoft Exchange (S)
Anforderungen bei erhöhtem Schutzbedarf
APP.5.2.A17 Verschlüsselung von Microsoft Exchange-Datenbankdateien (H)
APP.5.2.A18 ENTFALLEN (H)

DER.1 Detektion von sicherheitsrelevanten Ereignissen
Basis-Anforderungen
DER.1.A1 Erstellung einer Sicherheitsrichtlinie für die Detektion von sicherheitsrelevanten Ereignissen [Informationssicherheitsbeauftragter (ISB)] (B)
DER.1.A2 Einhaltung rechtlicher Bedingungen bei der Auswertung von Protokolldaten [Informationssicherheitsbeauftragter (ISB)] (B)
DER.1.A3 Festlegung von Meldewegen für sicherheitsrelevante Ereignisse (B)
DER.1.A4 Sensibilisierung der Mitarbeiter [Vorgesetzte, Benutzer] (B)
DER.1.A5 Einsatz von mitgelieferten Systemfunktionen zur Detektion [Fachverantwortliche] (B)
Standard-Anforderungen
DER.1.A6 Kontinuierliche Überwachung und Auswertung von Protokolldaten (S)
DER.1.A7 Schulung von Verantwortlichen [Vorgesetzte, Leiter IT] (S)
DER.1.A8 Festlegung von zu schützenden Segmenten [Fachverantwortliche] (S)
DER.1.A9 Einsatz zusätzlicher Detektionssysteme [Fachverantwortliche] (S)
DER.1.A10 Einsatz von TLS-/SSH-Proxies [Fachverantwortliche] (S)
DER.1.A11 Nutzung einer zentralen Protokollierungsinfrastruktur für die Auswertung sicherheitsrelevanter Ereignisse [Fachverantwortliche] (S)
DER.1.A12 Auswertung von Informationen aus externen Quellen [Informationssicherheitsbeauftragter (ISB), Fachverantwortliche] (S)
DER.1.A13 Regelmäßige Audits der Detektionssysteme (S)
Anforderungen bei erhöhtem Schutzbedarf
DER.1.A14 Auswertung der Protokolldaten durch spezialisiertes Personal [Leiter IT] (H)
DER.1.A15 Zentrale Detektion und Echtzeitüberprüfung von Ereignismeldungen (H)
DER.1.A16 Einsatz von Detektionssystemen nach Schutzbedarfsanforderungen (H)
DER.1.A17 Automatische Reaktion auf sicherheitsrelevante Ereignisse (H)
DER.1.A18 Durchführung regelmäßiger Integritätskontrollen (H)
DER.2.1 Behandlung von Sicherheitsvorfällen
Basis-Anforderungen
DER.2.1.A1 Definition eines Sicherheitsvorfalls [Leiter IT] (B)
DER.2.1.A2 Erstellung einer Richtlinie zur Behandlung von Sicherheitsvorfällen (B)
DER.2.1.A3 Festlegung von Verantwortlichkeiten und Ansprechpartnern bei Sicherheitsvorfällen [Leiter IT] (B)
DER.2.1.A4 Benachrichtigung betroffener Stellen bei Sicherheitsvorfällen [Pressestelle, Institutionsleitung, Leiter IT, Datenschutzbeauftragter, Notfallbeauftragter] (B)
DER.2.1.A5 Behebung von Sicherheitsvorfällen [Leiter IT, IT-Betrieb] (B)
DER.2.1.A6 Wiederherstellung der Betriebsumgebung nach Sicherheitsvorfällen [Leiter IT, IT-Betrieb] (B)
Standard-Anforderungen
DER.2.1.A7 Etablierung einer Vorgehensweise zur Behandlung von Sicherheitsvorfällen [Institutionsleitung] (S)
DER.2.1.A8 Aufbau von Organisationsstrukturen zur Behandlung von Sicherheitsvorfällen (S)
DER.2.1.A9 Festlegung von Meldewegen für Sicherheitsvorfälle [Leiter IT] (S)
DER.2.1.A10 Eindämmen der Auswirkung von Sicherheitsvorfällen [Leiter IT, Notfallbeauftragter, IT-Betrieb] (S)
DER.2.1.A11 Einstufung von Sicherheitsvorfällen [Leiter IT, IT-Betrieb] (S)
DER.2.1.A12 Festlegung der Schnittstellen der Sicherheitsvorfallbehandlung zur Störungs- und Fehlerbehebung [Notfallbeauftragter] (S)
DER.2.1.A13 Einbindung in das Sicherheits- und Notfallmanagement [Notfallbeauftragter] (S)
DER.2.1.A14 Eskalationsstrategie für Sicherheitsvorfälle [Leiter IT] (S)
DER.2.1.A15 Schulung der Mitarbeiter der zentralen Anlaufstelle des IT-Betriebs zur Behandlung von Sicherheitsvorfällen [Leiter IT] (S)
DER.2.1.A16 Dokumentation der Behandlung von Sicherheitsvorfällen (S)
DER.2.1.A17 Nachbereitung von Sicherheitsvorfällen (S)
DER.2.1.A18 Weiterentwicklung der Prozesse durch Erkenntnisse aus Sicherheitsvorfällen und Branchenentwicklungen [Fachverantwortliche] (S)
Anforderungen bei erhöhtem Schutzbedarf
DER.2.1.A19 Festlegung von Prioritäten für die Behandlung von Sicherheitsvorfällen [Institutionsleitung] (H)
DER.2.1.A20 Einrichtung einer internen Meldestelle für Sicherheitsvorfälle (H)
DER.2.1.A21 Einrichtung eines Expertenteams für die Behandlung von Sicherheitsvorfällen (H)
DER.2.1.A22 Überprüfung des Managementsystems zur Behandlung von Sicherheitsvorfällen (H)
DER.2.2 Vorsorge für die IT-Forensik
Basis-Anforderungen
DER.2.2.A1 Prüfung rechtlicher und regulatorischer Rahmenbedingungen zur Erfassung und Auswertbarkeit [Datenschutzbeauftragter, Institutionsleitung] (B)
DER.2.2.A2 Erstellung eines Leitfadens für Erstmaßnahmen bei einem IT-Sicherheitsvorfall (B)
DER.2.2.A3 Vorauswahl von Forensik-Dienstleistern (B)
Standard-Anforderungen
DER.2.2.A4 Festlegung von Schnittstellen zum Krisen- und Notfallmanagement (S)
DER.2.2.A5 Erstellung eines Leitfadens für Beweissicherungsmaßnahmen bei IT-Sicherheitsvorfällen (S)
DER.2.2.A6 Schulung des Personals für die Umsetzung der forensischen Sicherung (S)
DER.2.2.A7 Auswahl von Werkzeugen zur Forensik (S)
DER.2.2.A8 Auswahl und Reihenfolge der zu sichernden Beweismittel [Ermittlungsleiter] (S)
DER.2.2.A9 Vorauswahl forensisch relevanter Daten [Ermittlungsleiter] (S)
DER.2.2.A10 IT-forensische Sicherung von Beweismitteln [Ermittler, Ermittlungsleiter] (S)
DER.2.2.A11 Dokumentation der Beweissicherung [Ermittler, Ermittlungsleiter] (S)
DER.2.2.A12 Sichere Verwahrung von Originaldatenträgern und Beweismitteln [Ermittler, Ermittlungsleiter] (S)
Anforderungen bei erhöhtem Schutzbedarf
DER.2.2.A13 Rahmenverträge mit externen Dienstleistern (H)
DER.2.2.A14 Festlegung von Standardverfahren für die Beweissicherung (H)
DER.2.2.A15 Durchführung von Übungen zur Beweissicherung (H)
DER.2.3 Bereinigung weitreichender Sicherheitsvorfälle
Basis-Anforderungen
DER.2.3.A1 Einrichtung eines Leitungsgremiums [Informationssicherheitsbeauftragter (ISB)] (B)
DER.2.3.A2 Entscheidung für eine Bereinigungsstrategie [Informationssicherheitsbeauftragter (ISB), Leiter IT] (B)
DER.2.3.A3 Isolierung der betroffenen Netzabschnitte (B)
DER.2.3.A4 Sperrung und Änderung von Zugangsdaten und kryptografischen Schlüsseln (B)
DER.2.3.A5 Schließen des initialen Einbruchswegs (B)
DER.2.3.A6 Rückführung in den Produktivbetrieb (B)
Standard-Anforderungen
DER.2.3.A7 Gezielte Systemhärtung (S)
DER.2.3.A8 Etablierung sicherer, unabhängiger Kommunikationskanäle (S)
Anforderungen bei erhöhtem Schutzbedarf
DER.2.3.A9 Hardwaretausch betroffener IT-Systeme (H)
DER.2.3.A10 Umbauten zur Erschwerung eines erneuten Angriffs durch denselben Angreifer (H)
DER.3.1 Audits und Revisionen
Basis-Anforderungen
DER.3.1.A1 Definition von Verantwortlichkeiten [Institutionsleitung] (B)
DER.3.1.A2 Vorbereitung eines Audits oder einer Revision (B)
DER.3.1.A3 Durchführung eines Audits [Auditteam] (B)
DER.3.1.A4 Durchführung einer Revision (B)
Standard-Anforderungen
DER.3.1.A5 Integration in den Informationssicherheitsprozess (S)
DER.3.1.A6 Definition der Prüfungsgrundlage und eines einheitlichen Bewertungsschemas (S)
DER.3.1.A7 Erstellung eines Auditprogramms (S)
DER.3.1.A8 Erstellung einer Revisionsliste (S)
DER.3.1.A9 Auswahl eines geeigneten Audit- oder Revionsteams (S)
DER.3.1.A10 Erstellung eines Audit- oder Revisionsplans [Auditteam] (S)
DER.3.1.A11 Kommunikation und Verhalten während der Prüfungen [Auditteam] (S)
DER.3.1.A12 Durchführung eines Auftaktgesprächs [Auditteam] (S)
DER.3.1.A13 Sichtung und Prüfung der Dokumente [Auditteam] (S)
DER.3.1.A14 Auswahl von Stichproben [Auditteam] (S)
DER.3.1.A15 Auswahl von geeigneten Prüfmethoden [Auditteam] (S)
DER.3.1.A16 Ablaufplan der Vor-Ort-Prüfung [Auditteam] (S)
DER.3.1.A17 Durchführung der Vor-Ort-Prüfung [Auditteam] (S)
DER.3.1.A18 Durchführung von Interviews [Auditteam] (S)
DER.3.1.A19 Überprüfung des Risikobehandlungsplans [Auditteam] (S)
DER.3.1.A20 Durchführung einer Abschlussbesprechung [Auditteam] (S)
DER.3.1.A21 Auswertung der Prüfungen [Auditteam] (S)
DER.3.1.A22 Erstellung eines Auditberichts [Auditteam] (S)
DER.3.1.A23 Dokumentation der Revisionsergebnisse (S)
DER.3.1.A24 Abschluss des Audits oder der Revision [Auditteam] (S)
DER.3.1.A25 Nachbereitung eines Audits (S)
DER.3.1.A26 Überwachen und Anpassen des Auditprogramms (S)
DER.3.1.A27 Aufbewahrung und Archivierung von Unterlagen zu Audits und Revisionen (S)
Anforderungen bei erhöhtem Schutzbedarf
DER.3.1.A28 Sicherheitsüberprüfung der Auditoren (H)
DER.3.2 Revision auf Basis des Leitfadens IS-Revision
Basis-Anforderungen
DER.3.2.A1 Definition von Verantwortlichkeiten für die IS-Revision
DER.3.2.A2 Erstellung eines IS-Revisionshandbuches
DER.3.2.A3 Definition der Prüfungsgrundlage und eines einheitlichen Bewertungsschemas [IS-Revisionsteam]
DER.3.2.A4 Erstellung einer Planung für die IS-Revision
DER.3.2.A5 Auswahl eines geeigneten IS-Revisionsteams
DER.3.2.A6 Vorbereitung einer IS-Revision [IS-Revisionsteam]
DER.3.2.A7 Durchführung einer IS-Revision [IS-Revisionsteam]
DER.3.2.A8 Aufbewahrung von IS-Revisionsberichten
Standard-Anforderungen
DER.3.2.A9 Integration in den Informationssicherheitsprozess [Informationssicherheitsbeauftragter (ISB)]
DER.3.2.A10 Kommunikationsabsprache
DER.3.2.A11 Durchführung eines Auftaktgeprächs für eine Querschnittsrevision [IS-Revisionsteam]
DER.3.2.A12 Erstellung eines Prüfplans [IS-Revisionsteam]
DER.3.2.A13 Sichtung und Prüfung der Dokumente [IS-Revisionsteam]
DER.3.2.A14 Auswahl der Zielobjekte und Maßnahmen [IS-Revisionsteam]
DER.3.2.A15 Auswahl von geeigneten Prüfmethoden [IS-Revisionsteam]
DER.3.2.A16 Ablaufplan der Vor-Ort-Prüfung [IS-Revisionsteam]
DER.3.2.A17 Durchführung der Vor-Ort-Prüfung [IS-Revisionsteam]
DER.3.2.A18 Durchführung von Interviews [IS-Revisionsteam]
DER.3.2.A19 Überprüfung des Risikobehandlungsplans [IS-Revisionsteam]
DER.3.2.A20 Nachbereitung der Vor-Ort-Prüfung [IS-Revisionsteam]
DER.3.2.A21 Erstellung eines IS-Revisionsberichts [IS-Revisionsteam]
DER.3.2.A22 Nachbereitung und Einleitung des Follow-up [Informationssicherheitsbeauftragter (ISB)]
Anforderungen bei erhöhtem Schutzbedarf
DER.3.2.A23 Sicherheitsüberprüfung der IS-Revisoren(CI)
DER.4 Notfallmanagement
Basis-Anforderungen
Standard-Anforderungen
DER.4.A1 Erstellung eines Notfallhandbuchs (S)
DER.4.A2 Integration von Notfallmanagement und Informationssicherheitsmanagement [Informationssicherheitsbeauftragter (ISB)] (S)
Anforderungen bei erhöhtem Schutzbedarf
DER.4.A3 Festlegung des Geltungsbereichs und der Notfallmanagementstrategie [Institutionsleitung] (H)
DER.4.A4 Leitlinie zum Notfallmanagement und Übernahme der Gesamtverantwortung durch die Institutionsleitung [Institutionsleitung] (H)
DER.4.A5 Aufbau einer geeigneten Organisationsstruktur für das Notfallmanagement [Institutionsleitung] (H)
DER.4.A6 Bereitstellung angemessener Ressourcen für das Notfallmanagement [Institutionsleitung] (H)
DER.4.A7 Erstellung eines Notfallkonzepts [Institutionsleitung] (H)
DER.4.A8 Integration der Mitarbeiter in den Notfallmanagement-Prozess [Vorgesetzte, Leiter Personal] (H)
DER.4.A9 Integration von Notfallmanagement in organisationsweite Abläufe und Prozesse [Institutionsleitung] (H)
DER.4.A10 Tests und Notfallübungen [Institutionsleitung] (H)
DER.4.A11 ENTFALLEN (H)
DER.4.A12 Dokumentation im Notfallmanagement-Prozess (H)
DER.4.A13 Überprüfung und Steuerung des Notfallmanagement-Systems [Institutionsleitung] (H)
DER.4.A14 Regelmäßige Überprüfung und Verbesserung der Notfallmaßnahmen [Institutionsleitung] (H)
DER.4.A15 Bewertung der Leistungsfähigkeit des Notfallmanagementsystems [Institutionsleitung] (H)
DER.4.A16 Notfallvorsorge- und Notfallreaktionsplanung für ausgelagerte Komponenten [Institutionsleitung] (H)

OPS.1.1.2 Ordnungsgemäße IT-Administration
Basis-Anforderungen
OPS.1.1.2.A1 Personalauswahl für administrative Tätigkeiten [Leiter Personal] (B)
OPS.1.1.2.A2 Vertretungsregelungen und Notfallvorsorge (B)
OPS.1.1.2.A3 Geregelte Einstellung von IT-Administratoren (B)
OPS.1.1.2.A4 Beendigung der Tätigkeit als IT-Administrator [Leiter Personal] (B)
OPS.1.1.2.A5 Nachweisbarkeit von administrativen Tätigkeiten (B)
OPS.1.1.2.A6 Schutz administrativer Tätigkeiten (B)
Standard-Anforderungen
OPS.1.1.2.A7 Regelung der IT-Administrationstätigkeit (S)
OPS.1.1.2.A8 Administration von Fachanwendungen (S)
OPS.1.1.2.A9 Ausreichende Ressourcen für den IT-Betrieb (S)
OPS.1.1.2.A10 Fortbildung und Information (S)
OPS.1.1.2.A11 Dokumentation von IT-Administrationstätigkeiten [IT-Betrieb] (S)
OPS.1.1.2.A12 Regelungen für Wartungs- und Reparaturarbeiten [IT-Betrieb] (S)
OPS.1.1.2.A13 ENTFALLEN (S)
Anforderungen bei erhöhtem Schutzbedarf
OPS.1.1.2.A14 Sicherheitsüberprüfung von Administratoren [Leiter Personal] (H)
OPS.1.1.2.A15 Aufteilung von Administrationstätigkeiten (H)
OPS.1.1.2.A16 Zugangsbeschränkungen für administrative Zugänge (H)
OPS.1.1.2.A17 IT-Administration im Vier-Augen-Prinzip (H)
OPS.1.1.2.A18 Durchgängige Protokollierung administrativer Tätigkeiten (H)
OPS.1.1.2.A19 Berücksichtigung von Hochverfügbarkeitsanforderungen (H)
OPS.1.1.3 Patch- und Änderungsmanagement
Basis-Anforderungen
OPS.1.1.3.A1 Konzept für das Patch- und Änderungsmanagement [Fachverantwortliche] (B)
OPS.1.1.3.A2 Festlegung der Verantwortlichkeiten [Leiter IT] (B)
OPS.1.1.3.A3 Konfiguration von Autoupdate-Mechanismen (B)
Standard-Anforderungen
OPS.1.1.3.A4 Planung des Änderungsmanagementprozesses [Änderungsmanager] (S)
OPS.1.1.3.A5 Umgang mit Änderungsanforderungen [Änderungsmanager] (S)
OPS.1.1.3.A6 Abstimmung von Änderungsanforderungen [Änderungsmanager] (S)
OPS.1.1.3.A7 Integration des Änderungsmanagements in die Geschäftsprozesse [Änderungsmanager] (S)
OPS.1.1.3.A8 Sicherer Einsatz von Werkzeugen für das Patch- und Änderungsmanagement (S)
OPS.1.1.3.A9 Test- und Abnahmeverfahren für neue Hard- und Software (S)
OPS.1.1.3.A10 Sicherstellung der Integrität und Authentizität von Softwarepaketen (S)
OPS.1.1.3.A11 Kontinuierliche Dokumentation der Informationsverarbeitung [Änderungsmanager] (S)
Anforderungen bei erhöhtem Schutzbedarf
OPS.1.1.3.A12 Skalierbarkeit beim Änderungsmanagement (H)
OPS.1.1.3.A13 Erfolgsmessung von Änderungsanforderungen (H)
OPS.1.1.3.A14 Synchronisierung innerhalb des Änderungsmanagements [Änderungsmanager] (H)
OPS.1.1.4 Schutz vor Schadprogrammen
Basis-Anforderungen
OPS.1.1.4.A1 Erstellung eines Konzepts für den Schutz vor Schadprogrammen (B)
OPS.1.1.4.A2 Nutzung systemspezifischer Schutzmechanismen (B)
OPS.1.1.4.A3 Auswahl eines Virenschutzprogrammes für Endgeräte (B)
OPS.1.1.4.A4 Auswahl eines Virenschutzprogrammes für Gateways und IT-Systeme zum Datenaustausch [Fachverantwortliche] (B)
OPS.1.1.4.A5 Betrieb und Konfiguration von Virenschutzprogrammen (B)
OPS.1.1.4.A6 Regelmäßige Aktualisierung der eingesetzten Virenschutzprogramme und Signaturen (B)
OPS.1.1.4.A7 Sensibilisierung und Verpflichtung der Benutzer [Benutzer] (B)
Standard-Anforderungen
OPS.1.1.4.A8 Nutzung von Cloud-Diensten zur Detektionsverbesserung (S)
OPS.1.1.4.A9 Meldung von Infektionen mit Schadprogrammen [Benutzer] (S)
Anforderungen bei erhöhtem Schutzbedarf
OPS.1.1.4.A10 Nutzung spezieller Analyseumgebungen (H)
OPS.1.1.4.A11 Einsatz mehrerer Scan-Engines (H)
OPS.1.1.4.A12 Einsatz von Datenträgerschleusen (H)
OPS.1.1.4.A13 Umgang mit nicht vertrauenswürdigen Dateien (H)
OPS.1.1.4.A14 Auswahl und Einsatz von Cyber-Sicherheitsprodukten gegen gezielte Angriffe (H)
OPS.1.1.4.A15 Externe Beratung zum Schutz vor Schadprogrammen (H)
OPS.1.1.5 Protokollierung
Basis-Anforderungen
OPS.1.1.5.A1 Erstellung einer Sicherheitsrichtlinie für die Protokollierung [Informationssicherheitsbeauftragter (ISB), Fachverantwortliche] (B)
OPS.1.1.5.A2 Festlegung von Rollen und Verantwortlichkeiten [Leiter IT] (B)
OPS.1.1.5.A3 Konfiguration der Protokollierung auf System- und Netzebene (B)
OPS.1.1.5.A4 Zeitsynchronisation der IT-Systeme (B)
OPS.1.1.5.A5 Einhaltung rechtlicher Rahmenbedingungen [Informationssicherheitsbeauftragter (ISB)] (B)
Standard-Anforderungen
OPS.1.1.5.A6 Aufbau einer zentralen Protokollierungsinfrastruktur (S)
OPS.1.1.5.A7 Sichere Administration von Protokollierungsservern (S)
OPS.1.1.5.A8 Archivierung von Protokollierungsdaten (S)
OPS.1.1.5.A9 Bereitstellung von Protokollierungsdaten für die Auswertung (S)
OPS.1.1.5.A10 Zugriffsschutz für Protokollierungsdaten (S)
Anforderungen bei erhöhtem Schutzbedarf
OPS.1.1.5.A11 Steigerung des Protokollierungsumfangs (H)
OPS.1.1.5.A12 Verschlüsselung der Protokollierungsdaten (H)
OPS.1.1.5.A13 Hochverfügbare Protokollierungssysteme [Informationssicherheitsbeauftragter (ISB)] (H)
OPS.1.1.6 Software-Tests und -Freigaben
Basis-Anforderungen
OPS.1.1.6.A1 Planung der Software-Tests (B)
OPS.1.1.6.A2 Durchführung von funktionalen Software-Tests [Tester] (B)
OPS.1.1.6.A3 Auswertung der Testergebnisse [Tester] (B)
OPS.1.1.6.A4 Freigabe der Software [Fachverantwortliche] (B)
OPS.1.1.6.A5 Durchführung nicht-funktionaler Software-Tests [Tester] (B)
Standard-Anforderungen
OPS.1.1.6.A6 Geordnete Einweisung der Software-Tester [IT-Betrieb, Fachverantwortliche] (S)
OPS.1.1.6.A7 Personalauswahl der Software-Tester [Personalabteilung] (S)
OPS.1.1.6.A8 Fort- und Weiterbildung der Software-Tester [Leiter Personal] (S)
OPS.1.1.6.A9 Beschaffung von Test-Software [IT-Betrieb, Tester] (S)
OPS.1.1.6.A10 Erstellung eines Abnahmeplans (S)
OPS.1.1.6.A11 Verwendung von anonymisierten oder pseudonymisierten Testdaten [Datenschutzbeauftragter, Tester] (S)
OPS.1.1.6.A12 Durchführung von Regressionstests [Tester] (S)
OPS.1.1.6.A13 Trennung von Test- und Qualitätsmanagement-Umgebung von der Produktivumgebung [IT-Betrieb] (S)
Anforderungen bei erhöhtem Schutzbedarf
OPS.1.1.6.A14 Durchführung von Penetrationstests [Tester] (H)
OPS.1.2.2 Archivierung
Basis-Anforderungen
OPS.1.2.2.A1 Ermittlung von Einflussfaktoren für die elektronische Archivierung [Informationssicherheitsbeauftragter (ISB)] (B)
OPS.1.2.2.A2 Entwicklung eines Archivierungskonzepts [Informationssicherheitsbeauftragter (ISB)] (B)
OPS.1.2.2.A3 Geeignete Aufstellung von Archivsystemen und Lagerung von Archivmedien [Leiter IT, IT-Betrieb] (B)
OPS.1.2.2.A4 Konsistente Indizierung von Daten bei der Archivierung [Leiter IT, IT-Betrieb, Benutzer] (B)
OPS.1.2.2.A5 Regelmäßige Aufbereitung von archivierten Datenbeständen [Leiter IT] (B)
OPS.1.2.2.A6 Schutz der Integrität der Indexdatenbank von Archivsystemen [Leiter IT, IT-Betrieb] (B)
OPS.1.2.2.A7 Regelmäßige Datensicherung der System- und Archivdaten [Leiter IT, IT-Betrieb] (B)
OPS.1.2.2.A8 Protokollierung der Archivzugriffe [Leiter IT, IT-Betrieb] (B)
OPS.1.2.2.A9 Auswahl geeigneter Datenformate für die Archivierung von Dokumenten [Leiter IT, IT-Betrieb] (B)
Standard-Anforderungen
OPS.1.2.2.A10 Erstellung einer Richtlinie für die Nutzung von Archivsystemen [Leiter IT, IT-Betrieb] (S)
OPS.1.2.2.A11 Einweisung in die Administration und Bedienung des Archivsystems [Leiter IT, IT-Betrieb, Benutzer] (S)
OPS.1.2.2.A12 Überwachung der Speicherressourcen von Archivmedien [Leiter IT, IT-Betrieb] (S)
OPS.1.2.2.A13 Regelmäßige Revision der Archivierungsprozesse (S)
OPS.1.2.2.A14 Regelmäßige Beobachtung des Marktes für Archivsysteme [Leiter IT] (S)
OPS.1.2.2.A15 Regelmäßige Aufbereitung von kryptografisch gesicherten Daten bei der Archivierung [Leiter IT, IT-Betrieb] (S)
OPS.1.2.2.A16 Regelmäßige Erneuerung technischer Archivsystem-Komponenten [Leiter IT, IT-Betrieb] (S)
OPS.1.2.2.A17 Auswahl eines geeigneten Archivsystems [Leiter IT] (S)
OPS.1.2.2.A18 Verwendung geeigneter Archivmedien [Leiter IT, IT-Betrieb] (S)
OPS.1.2.2.A19 Regelmäßige Funktions- und Recoverytests bei der Archivierung [Leiter IT, IT-Betrieb] (S)
Anforderungen bei erhöhtem Schutzbedarf
OPS.1.2.2.A20 Geeigneter Einsatz kryptografischer Verfahren bei der Archivierung [Leiter IT] (H)
OPS.1.2.2.A21 Übertragung von Papierdaten in elektronische Archive (H)
OPS.1.2.4 Telearbeit
Basis-Anforderungen
OPS.1.2.4.A1 Regelungen für Telearbeit [Vorgesetzte, Personalabteilung] (B)
OPS.1.2.4.A2 Sicherheitstechnische Anforderungen an den Telearbeitsrechner (B)
OPS.1.2.4.A3 Sicherheitstechnische Anforderungen an die Kommunikationsverbindung [IT-Betrieb, Leiter IT] (B)
OPS.1.2.4.A4 Datensicherung bei der Telearbeit [IT-Betrieb, Telearbeiter] (B)
OPS.1.2.4.A5 Sensibilisierung und Schulung der Telearbeiter (B)
Standard-Anforderungen
OPS.1.2.4.A6 Erstellen eines Sicherheitskonzeptes für Telearbeit (S)
OPS.1.2.4.A7 Regelung der Nutzung von Kommunikationsmöglichkeiten bei Telearbeit [IT-Betrieb, Telearbeiter] (S)
OPS.1.2.4.A8 Informationsfluss zwischen Telearbeiter und Institution [Vorgesetzte, Telearbeiter] (S)
OPS.1.2.4.A9 Betreuungs- und Wartungskonzept für Telearbeitsplätze [IT-Betrieb, Leiter IT, Telearbeiter] (S)
OPS.1.2.4.A10 Durchführung einer Anforderungsanalyse für den Telearbeitsplatz [IT-Betrieb, Leiter IT] (S)
Anforderungen bei erhöhtem Schutzbedarf
OPS.1.2.5 Fernwartung
Basis-Anforderungen
OPS.1.2.5.A1 Planung des Einsatzes der Fernwartung (B)
OPS.1.2.5.A2 Sicherer Verbindungsaufbau bei der Fernwartung von Clients [Benutzer] (B)
OPS.1.2.5.A3 Absicherung der Schnittstellen zur Fernwartung (B)
OPS.1.2.5.A4 Regelungen zu Kommunikationsverbindungen (B)
Standard-Anforderungen
OPS.1.2.5.A5 Einsatz von Online-Diensten [Benutzer] (S)
OPS.1.2.5.A6 Erstellung einer Richtlinie für die Fernwartung (S)
OPS.1.2.5.A7 Dokumentation bei der Fernwartung (S)
OPS.1.2.5.A8 Sichere Protokolle bei der Fernwartung (S)
OPS.1.2.5.A9 Auswahl und Beschaffung geeigneter Fernwartungswerkzeuge (S)
OPS.1.2.5.A10 Verwaltung der Fernwartungswerkzeuge [Benutzer] (S)
OPS.1.2.5.A11 ENTFALLEN (S)
OPS.1.2.5.A12 ENTFALLEN (S)
OPS.1.2.5.A13 ENTFALLEN (S)
OPS.1.2.5.A15 ENTFALLEN (S)
OPS.1.2.5.A16 ENTFALLEN (S)
OPS.1.2.5.A17 Authentisierungsmechanismen bei der Fernwartung (S)
OPS.1.2.5.A18 ENTFALLEN (S)
OPS.1.2.5.A19 Fernwartung durch Dritte (S)
OPS.1.2.5.A20 Betrieb der Fernwartung (S)
OPS.1.2.5.A21 Erstellung eines Notfallplans für den Ausfall der Fernwartung (S)
OPS.1.2.5.A24 Absicherung integrierter Fernwartungssysteme (S)
Anforderungen bei erhöhtem Schutzbedarf
OPS.1.2.5.A14 Dedizierte Systeme bei der Fernwartung (H)
OPS.1.2.5.A22 Redundante Kommunikationsverbindungen (H)
OPS.1.2.5.A23 ENTFALLEN (H)
OPS.2.1 Outsourcing für Kunden
Basis-Anforderungen
OPS.2.1.A1 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben (B)
Standard-Anforderungen
OPS.2.1.A2 Rechtzeitige Beteiligung der Personalvertretung [Leiter Organisation] (S)
OPS.2.1.A3 Auswahl eines geeigneten Outsourcing-Dienstleisters (S)
OPS.2.1.A4 Vertragsgestaltung mit dem Outsourcing-Dienstleister (S)
OPS.2.1.A5 Festlegung einer Strategie zum Outsourcing (S)
OPS.2.1.A6 Erstellung eines Sicherheitskonzepts für das Outsourcing-Vorhaben [Fachverantwortliche] (S)
OPS.2.1.A7 Festlegung der möglichen Kommunikationspartner [Leiter Organisation] (S)
OPS.2.1.A8 Regelungen für den Einsatz des Personals des Outsourcing-Dienstleiters [Leiter Personal] (S)
OPS.2.1.A9 Vereinbarung über die Anbindung an Netze der Outsourcing-Partner (S)
OPS.2.1.A10 Vereinbarung über Datenaustausch zwischen den Outsourcing-Partnern (S)
OPS.2.1.A11 Planung und Aufrechterhaltung der Informationssicherheit im laufenden Outsourcing-Betrieb (S)
OPS.2.1.A12 Änderungsmanagement [IT-Betrieb, Änderungsmanager] (S)
OPS.2.1.A13 Sichere Migration bei Outsourcing-Vorhaben (S)
OPS.2.1.A14 Notfallvorsorge beim Outsourcing [Notfallbeauftragter] (S)
OPS.2.1.A15 Geordnete Beendigung eines Outsourcing-Verhältnisses [Leiter Beschaffung] (S)
Anforderungen bei erhöhtem Schutzbedarf
OPS.2.1.A16 Sicherheitsüberprüfung von Mitarbeitern (H)
OPS.2.2 Cloud-Nutzung
Basis-Anforderungen
OPS.2.2.A1 Erstellung einer Cloud-Nutzungs-Strategie [Fachverantwortliche, Institutionsleitung, Datenschutzbeauftragter] (B)
OPS.2.2.A2 Erstellung einer Sicherheitsrichtlinie für die Cloud-Nutzung [Fachverantwortliche] (B)
OPS.2.2.A3 Service-Definition für Cloud-Dienste durch den Cloud-Kunden [Fachverantwortliche] (B)
OPS.2.2.A4 Festlegung von Verantwortungsbereichen und Schnittstellen [Fachverantwortliche] (B)
Standard-Anforderungen
OPS.2.2.A5 Planung der sicheren Migration zu einem Cloud-Dienst [Fachverantwortliche] (S)
OPS.2.2.A6 Planung der sicheren Einbindung von Cloud-Diensten [IT-Betrieb] (S)
OPS.2.2.A7 Erstellung eines Sicherheitskonzeptes für die Cloud-Nutzung [IT-Betrieb] (S)
OPS.2.2.A8 Sorgfältige Auswahl eines Cloud-Diensteanbieters [Institutionsleitung] (S)
OPS.2.2.A9 Vertragsgestaltung mit dem Cloud-Diensteanbieter [Institutionsleitung] (S)
OPS.2.2.A10 Sichere Migration zu einem Cloud-Dienst [Fachverantwortliche, IT-Betrieb] (S)
OPS.2.2.A11 Erstellung eines Notfallkonzeptes für einen Cloud-Dienst [IT-Betrieb] (S)
OPS.2.2.A12 Aufrechterhaltung der Informationssicherheit im laufenden Cloud-Nutzungs-Betrieb [IT-Betrieb] (S)
OPS.2.2.A13 Nachweis einer ausreichenden Informationssicherheit bei der Cloud-Nutzung (S)
OPS.2.2.A14 Geordnete Beendigung eines Cloud-Nutzungs-Verhältnisses [Fachverantwortliche, Institutionsleitung] (S)
Anforderungen bei erhöhtem Schutzbedarf
OPS.2.2.A15 Sicherstellung der Portabilität von Cloud-Diensten [Fachverantwortliche, IT-Betrieb] (H)
OPS.2.2.A16 Durchführung eigener Datensicherungen [Fachverantwortliche, IT-Betrieb] (H)
OPS.2.2.A17 Einsatz von Verschlüsselung bei Cloud-Nutzung [IT-Betrieb] (H)
OPS.2.2.A18 Einsatz von Verbunddiensten [Fachverantwortliche, IT-Betrieb] (H)
OPS.2.2.A19 Sicherheitsüberprüfung von Mitarbeitern [Leiter Personal] (H)
OPS.3.1 Outsourcing für Dienstleister
Basis-Anforderungen
OPS.3.1.A1 Erstellung eines Grobkonzeptes für die Outsourcing-Dienstleistung (B)
Standard-Anforderungen
OPS.3.1.A2 Vertragsgestaltung mit den Outsourcing-Kunden (S)
OPS.3.1.A3 Erstellung eines Sicherheitskonzepts für das Outsourcing-Vorhaben (S)
OPS.3.1.A4 Festlegung der möglichen Kommunikationspartner [Leiter Organisation, Datenschutzbeauftragter] (S)
OPS.3.1.A5 Regelungen für den Einsatz des Personals des Outsourcing-Dienstleisters [Leiter Personal] (S)
OPS.3.1.A6 Regelungen für den Einsatz von Fremdpersonal [Leiter Personal] (S)
OPS.3.1.A7 Erstellung eines Mandantentrennungskonzeptes durch den Outsourcing-Dienstleister (S)
OPS.3.1.A8 Vereinbarung über die Anbindung an Netze der Outsourcing-Partner (S)
OPS.3.1.A9 Vereinbarung über Datenaustausch zwischen den Outsourcing-Partnern (S)
OPS.3.1.A10 Planung und Aufrechterhaltung der Informationssicherheit im laufenden Outsourcing-Betrieb (S)
OPS.3.1.A11 Zutritts-, Zugangs- und Zugriffskontrolle [Leiter Organisation] (S)
OPS.3.1.A12 Änderungsmanagement [IT-Betrieb, Änderungsmanager] (S)
OPS.3.1.A13 Sichere Migration bei Outsourcing-Vorhaben (S)
OPS.3.1.A14 Notfallvorsorge beim Outsourcing [Notfallbeauftragter] (S)
OPS.3.1.A15 Geordnete Beendigung eines Outsourcing-Verhältnisses [Institutionsleitung] (S)
Anforderungen bei erhöhtem Schutzbedarf
OPS.3.1.A16 Sicherheitsüberprüfung von Mitarbeitern [Leiter Personal] (H)

CON.1 Kryptokonzept
Basis-Anforderungen
CON.1.A1 Auswahl geeigneter kryptografischer Verfahren [Fachverantwortliche] (B)
CON.1.A2 Datensicherung bei Einsatz kryptografischer Verfahren [IT-Betrieb] (B)
Standard-Anforderungen
CON.1.A3 Verschlüsselung der Kommunikationsverbindungen (S)
CON.1.A4 Geeignetes Schlüsselmanagement (S)
CON.1.A5 Sicheres Löschen und Vernichten von kryptografischen Schlüsseln [IT-Betrieb] (S)
CON.1.A6 Bedarfserhebung für kryptografische Verfahren und Produkte [IT-Betrieb, Fachverantwortliche] (S)
Anforderungen bei erhöhtem Schutzbedarf
CON.1.A7 Erstellung einer Sicherheitsrichtlinie für den Einsatz kryptografischer Verfahren und Produkte (H)
CON.1.A8 Erhebung der Einflussfaktoren für kryptografische Verfahren und Produkte (H)
CON.1.A9 Auswahl eines geeigneten kryptografischen Produkts [IT-Betrieb, Fachverantwortliche] (H)
CON.1.A10 Entwicklung eines Kryptokonzepts (H)
CON.1.A11 Sichere Konfiguration der Kryptomodule [IT-Betrieb] (H)
CON.1.A12 Sichere Rollenteilung beim Einsatz von Kryptomodulen [IT-Betrieb] (H)
CON.1.A13 Anforderungen an die Betriebssystem-Sicherheit beim Einsatz von Kryptomodulen (H)
CON.1.A14 Schulung von Benutzern und Administratoren [Vorgesetzte, Fachverantwortliche, Leiter IT] (H)
CON.1.A15 Reaktion auf praktische Schwächung eines Kryptoverfahrens (H)
CON.1.A16 Physische Absicherung von Kryptomodulen [Leiter IT] (H)
CON.1.A17 Abstrahlsicherheit [Leiter IT] (H)
CON.1.A18 Kryptografische Ersatzmodule [IT-Betrieb] (H)
CON.2 Datenschutz
Basis-Anforderungen
CON.2.A1 Umsetzung Standard-Datenschutzmodell (B)
Standard-Anforderungen
Anforderungen bei erhöhtem Schutzbedarf
CON.3 Datensicherungskonzept
Basis-Anforderungen
CON.3.A1 Erhebung der Einflussfaktoren für Datensicherungen [Fachverantwortliche, IT-Betrieb] (B)
CON.3.A2 Festlegung der Verfahrensweise für die Datensicherung [Fachverantwortliche, IT-Betrieb] (B)
CON.3.A3 ENTFALLEN (B)
CON.3.A4 Erstellung eines Minimaldatensicherungskonzeptes [IT-Betrieb] (B)
CON.3.A5 Regelmäßige Datensicherung [IT-Betrieb] (B)
Standard-Anforderungen
CON.3.A6 Entwicklung eines Datensicherungskonzepts [Fachverantwortliche, IT-Betrieb] (S)
CON.3.A7 Beschaffung eines geeigneten Datensicherungssystems [Leiter IT] (S)
CON.3.A8 ENTFALLEN (S)
CON.3.A9 Voraussetzungen für die Online-Datensicherung [IT-Betrieb, Leiter IT] (S)
CON.3.A10 Verpflichtung der Mitarbeiter zur Datensicherung (S)
CON.3.A11 Sicherungskopie der eingesetzten Software [IT-Betrieb] (S)
CON.3.A12 Geeignete Aufbewahrung der Backup-Datenträger [IT-Betrieb] (S)
Anforderungen bei erhöhtem Schutzbedarf
CON.3.A13 Einsatz kryptografischer Verfahren bei der Datensicherung [IT-Betrieb] (H)
CON.4 Auswahl und Einsatz von Standardsoftware
Basis-Anforderungen
CON.4.A1 Sicherstellen der Integrität von Standardsoftware (B)
CON.4.A2 Entwicklung der Installationsanweisung für Standardsoftware (B)
CON.4.A3 Sichere Installation und Konfiguration von Standardsoftware (B)
Standard-Anforderungen
CON.4.A4 Festlegung der Verantwortlichkeiten im Bereich Standardsoftware [Fachabteilung] (S)
CON.4.A5 Erstellung eines Anforderungskatalogs für Standardsoftware [Fachabteilung] (S)
CON.4.A6 Auswahl einer geeigneten Standardsoftware [Fachabteilung, Beschaffungsstelle] (S)
CON.4.A7 Überprüfung der Lieferung von Standardsoftware [Fachabteilung] (S)
CON.4.A8 Lizenzverwaltung und Versionskontrolle von Standardsoftware (S)
CON.4.A9 Deinstallation von Standardsoftware (S)
Anforderungen bei erhöhtem Schutzbedarf
CON.4.A10 Implementierung zusätzlicher Sicherheitsfunktionen (H)
CON.4.A11 Nutzung zertifizierter Standardsoftware (H)
CON.4.A12 Einsatz von Verschlüsselung, Checksummen oder digitalen Signaturen (H)
CON.5 Entwicklung und Einsatz von Individualsoftware
Basis-Anforderungen
CON.5.A1 Festlegung benötigter Sicherheitsfunktionen der Individualsoftware [IT-Betrieb] (B)
CON.5.A2 ENTFALLEN (B)
CON.5.A3 Sichere Installation von Individualsoftware [IT-Betrieb] (B)
CON.5.A4 Heranführen von Benutzerinnen und Benutzern an Individualsoftware (B)
CON.5.A5 ENTFALLEN (B)
Standard-Anforderungen
CON.5.A6 Dokumentation der Anforderungen an die Individualsoftware (S)
CON.5.A7 ENTFALLEN (S)
CON.5.A8 Geeignete Steuerung der Anwendungsentwicklung (S)
CON.5.A9 Außerbetriebnahme von Individualsoftware (S)
CON.5.A10 ENTFALLEN (S)
CON.5.A11 Geeignete und rechtskonforme Beschaffung [Beschaffer] (S)
Anforderungen bei erhöhtem Schutzbedarf
CON.5.A12 Treuhänderische Hinterlegung (H)
CON.5.A13 Entwicklung eines Redundanzkonzeptes für Anwendungen [IT-Betrieb, Notfallbeauftragter] (H)
CON.6 Löschen und Vernichten
Basis-Anforderungen
CON.6.A1 Regelung der Vorgehensweise für die Löschung und Vernichtung von Informationen [Leiter IT, Leiter Organisation] (B)
CON.6.A2 Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln und Informationen [Mitarbeiter, Leiter Haustechnik, Leiter IT] (B)
Standard-Anforderungen
CON.6.A3 Löschen der Datenträger vor und nach dem Austausch [IT-Betrieb, Mitarbeiter] (S)
CON.6.A4 Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Datenträgern [Leiter IT, Leiter Organisation] (S)
CON.6.A5 Geregelte Außerbetriebnahme von IT-Systemen und Datenträgern [IT-Betrieb, Mitarbeiter, Fachverantwortliche, Leiter IT] (S)
CON.6.A6 Einweisung aller Mitarbeiter in die Methoden zur Löschung oder Vernichtung von Informationen [Leiter IT] (S)
CON.6.A7 Beseitigung von Restinformationen [IT-Betrieb, Mitarbeiter] (S)
CON.6.A8 Erstellung einer Richtlinie für die Löschung und Vernichtung von Informationen [Mitarbeiter, Leiter IT, Datenschutzbeauftragter] (S)
Anforderungen bei erhöhtem Schutzbedarf
CON.6.A9 Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Datenträgern bei erhöhtem Schutzbedarf [Leiter IT, Leiter Organisation] (H)
CON.6.A10 Beschaffung geeigneter Geräte zur Löschung oder Vernichtung von Daten [Leiter IT, Beschaffungsstelle, Leiter Organisation] (H)
CON.6.A11 Vernichtung von Datenträgern durch externe Dienstleister [Leiter Organisation, Datenschutzbeauftragter] (H)
CON.7 Informationssicherheit auf Auslandsreisen
Basis-Anforderungen
CON.7.A2 Sensibilisierung der Mitarbeiter zur Informationssicherheit auf Auslandsreisen (B)
CON.7.A3 Identifikation länderspezifischer Regelungen, Reise- und Umgebungsbedingungen [Personalabteilung] (B)
CON.7.A4 Verwendung von Sichtschutz-Folien [Benutzer] (B)
CON.7.A5 Verwendung der Bildschirm-/Code-Sperre [Benutzer] (B)
CON.7.A6 Zeitnahe Verlustmeldung [Benutzer] (B)
CON.7.A7 Sicherer Remote-Zugriff auf das Netz der Institution [IT-Betrieb, Benutzer] (B)
CON.7.A8 Sichere Nutzung von öffentlichen WLANs [Benutzer] (B)
CON.7.A9 Sicherer Umgang mit mobilen Datenträgern [Benutzer] (B)
CON.7.A10 Verschlüsselung tragbarer IT-Systeme und Datenträger [Benutzer, IT-Betrieb] (B)
CON.7.A11 Einsatz von Diebstahl-Sicherungen [Benutzer] (B)
CON.7.A12 Sicheres Vernichten von schutzbedürftigen Materialien und Dokumenten [Benutzer] (B)
Standard-Anforderungen
CON.7.A13 Mitnahme notwendiger Daten und Datenträger [Benutzer] (S)
CON.7.A14 Kryptografisch abgesicherte E-Mail-Kommunikation [Benutzer, IT-Betrieb] (S)
Anforderungen bei erhöhtem Schutzbedarf
CON.7.A15 Abstrahlsicherheit tragbarer IT-Systeme (H)
CON.7.A16 Integritätsschutz durch Check-Summen oder digitale Signaturen [Benutzer] (H)
CON.7.A17 Verwendung vorkonfigurierter Reise-Hardware [IT-Betrieb] (H)
CON.7.A18 Eingeschränkte Berechtigungen auf Auslandsreisen [IT-Betrieb] (H)
CON.8 Software-Entwicklung
Basis-Anforderungen
CON.8.A1 Definition von Rollen und Verantwortlichkeiten [Leiter Organisation] (B)
CON.8.A2 Auswahl eines Vorgehensmodells (B)
CON.8.A3 Auswahl einer Entwicklungsumgebung (B)
CON.8.A4 Einhaltung einer sicheren Vorgehensweise [Entwickler] (B)
CON.8.A5 Sicheres Systemdesign (B)
CON.8.A6 Verwendung von Bibliotheken aus vertrauenswürdigen Quellen (B)
CON.8.A7 Anwendung von Testverfahren [Tester] (B)
CON.8.A8 Bereitstellung von Patches, Updates und Änderungen [Entwickler] (B)
CON.8.A9 Berücksichtigung von Compliance-Anforderungen [Entwickler] (B)
CON.8.A10 Versionsverwaltung des Quellcodes [Entwickler] (B)
Standard-Anforderungen
CON.8.A11 Erstellung einer Richtlinie für die Software-Entwicklung (S)
CON.8.A12 Ausführliche Dokumentation (S)
CON.8.A13 Beschaffung von Werkzeugen (S)
CON.8.A14 Schulung des Projektteams zur Informationssicherheit (S)
CON.8.A15 Sicherer Einsatz der Test- und Entwicklungsumgebungen [Entwickler] (S)
CON.8.A16 Geeignete Steuerung der Software-Entwicklung (S)
Anforderungen bei erhöhtem Schutzbedarf
CON.8.A17 Auswahl vertrauenswürdiger Entwicklungswerkzeuge (H)
CON.8.A18 Regelmäßige Sicherheitsaudits für die Entwicklungsumgebung (H)
CON.8.A19 Regelmäßige Integritätsprüfung der Entwicklungsumgebung [IT-Betrieb] (H)
CON.9 Informationsaustausch
Basis-Anforderungen
CON.9.A1 Festlegung zulässiger Empfänger (B)
CON.9.A2 Regelung des Informationsaustausches (B)
CON.9.A3 Unterweisung des Personals zum Informationsaustausch (B)
Standard-Anforderungen
CON.9.A4 Vereinbarungen zum Informationsaustausch mit Externen (S)
CON.9.A5 Beseitigung von Restinformationen in Dateien vor Weitergabe [Benutzer] (S)
CON.9.A6 Kompatibilitätsprüfung des Sender- und Empfängersystems (S)
CON.9.A7 Sicherungskopie der übermittelten Daten (S)
CON.9.A8 Verschlüsselung und Signatur (S)
Anforderungen bei erhöhtem Schutzbedarf

ORP.1 Organisation
Basis-Anforderungen
ORP.1.A1 Festlegung von Verantwortlichkeiten und Regelungen [Institutionsleitung] (B)
ORP.1.A2 Zuweisung der Verantwortung [Institutionsleitung] (B)
ORP.1.A3 Beaufsichtigung oder Begleitung von Fremdpersonen [Mitarbeiter] (B)
ORP.1.A4 Funktionstrennung zwischen unvereinbaren Aufgaben (B)
ORP.1.A5 Vergabe von Berechtigungen [Leiter IT] (B)
Standard-Anforderungen
ORP.1.A6 Schutz von sensiblen Informationen am Arbeitsplatz [Mitarbeiter] (S)
ORP.1.A7 Geräteverwaltung [Leiter IT, Leiter Produktion und Fertigung, Leiter Haustechnik] (S)
ORP.1.A8 Betriebsmittelverwaltung [Leiter IT] (S)
ORP.1.A9 ENTFALLEN (S)
ORP.1.A10 Reaktion auf Verletzungen der Sicherheitsvorgaben [Informationssicherheitsbeauftragter (ISB)] (S)
ORP.1.A11 Rechtzeitige Beteiligung der Personalvertretung [Leiter IT] (S)
ORP.1.A12 Regelungen für Wartungs- und Reparaturarbeiten [IT-Betrieb, Haustechnik, ICS-Informationssicherheitsbeauftragter] (S)
ORP.1.A13 Sicherheit bei Umzügen [Leiter IT, Leiter Haustechnik] (S)
Anforderungen bei erhöhtem Schutzbedarf
ORP.1.A14 Kontrollgänge [Haustechnik, Informationssicherheitsbeauftragter (ISB)] (H)
ORP.2 Personal
Basis-Anforderungen
ORP.2.A1 Geregelte Einarbeitung neuer Mitarbeiter [Vorgesetzte] (B)
ORP.2.A2 Geregelte Verfahrensweise beim Weggang von Mitarbeitern [Vorgesetzte, IT-Betrieb] (B)
ORP.2.A3 Festlegung von Vertretungsregelungen [Vorgesetzte] (B)
ORP.2.A4 Festlegung von Regelungen für den Einsatz von Fremdpersonal (B)
ORP.2.A5 Vertraulichkeitsvereinbarungen für den Einsatz von Fremdpersonal (B)
Standard-Anforderungen
ORP.2.A6 Überprüfung von Kandidaten bei der Auswahl von Personal (S)
ORP.2.A7 Überprüfung der Vertrauenswürdigkeit von Mitarbeitern (S)
ORP.2.A8 Aufgaben und Zuständigkeiten von Mitarbeitern [Informationssicherheitsbeauftragter (ISB)] (S)
ORP.2.A9 Schulung von Mitarbeitern (S)
ORP.2.A10 Vermeidung von Störungen des Betriebsklimas (S)
Anforderungen bei erhöhtem Schutzbedarf
ORP.2.A11 Analyse der Sicherheitskultur (H)
ORP.2.A12 Benennung einer Vertrauensperson (H)
ORP.2.A13 Sicherheitsüberprüfung (H)
ORP.3 Sensibilisierung und Schulung
Basis-Anforderungen
ORP.3.A1 Sensibilisierung der Institutionsleitung für Informationssicherheit [Vorgesetzte, Institutionsleitung] (B)
ORP.3.A2 Ansprechpartner zu Sicherheitsfragen (B)
ORP.3.A3 Einweisung des Personals in den sicheren Umgang mit IT [Vorgesetzte, Personalabteilung, IT-Betrieb] (B)
Standard-Anforderungen
ORP.3.A4 Konzeption eines Sensibilisierungs- und Schulungsprogramms zur Informationssicherheit (S)
ORP.3.A5 Analyse der Zielgruppen für Sensibilisierungs- und Schulungsprogramme (S)
ORP.3.A6 Planung und Durchführung von Sensibilisierungen und Schulungen zur Informationssicherheit (S)
ORP.3.A7 Schulung zur Vorgehensweise nach IT-Grundschutz (S)
ORP.3.A8 Messung und Auswertung des Lernerfolgs [Personalabteilung] (S)
Anforderungen bei erhöhtem Schutzbedarf
ORP.3.A9 Spezielle Schulung von exponierten Personen und Institutionen (H)
ORP.4 Identitäts- und Berechtigungsmanagement
Basis-Anforderungen
ORP.4.A1 Regelung für die Einrichtung und Löschung von Benutzern und Benutzergruppen [IT-Betrieb] (B)
ORP.4.A2 Regelung für Einrichtung, Änderung und Entzug von Berechtigungen [IT-Betrieb] (B)
ORP.4.A3 Dokumentation der Benutzerkennungen und Rechteprofile [IT-Betrieb] (B)
ORP.4.A4 Aufgabenverteilung und Funktionstrennung [IT-Betrieb] (B)
ORP.4.A5 Vergabe von Zutrittsberechtigungen [IT-Betrieb] (B)
ORP.4.A6 Vergabe von Zugangsberechtigungen [IT-Betrieb] (B)
ORP.4.A7 Vergabe von Zugriffsrechten [IT-Betrieb] (B)
ORP.4.A8 Regelung des Passwortgebrauchs [Benutzer, IT-Betrieb] (B)
ORP.4.A9 Identifikation und Authentisierung [IT-Betrieb] (B)
ORP.4.A22 Regelung zur Passwortqualität [IT-Betrieb] (B)
ORP.4.A23 Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme [IT-Betrieb] (B)
Standard-Anforderungen
ORP.4.A10 Schutz von Benutzerkennungen mit weitreichenden Berechtigungen [IT-Betrieb] (S)
ORP.4.A11 Zurücksetzen von Passwörtern [IT-Betrieb] (S)
ORP.4.A12 Entwicklung eines Authentisierungskonzeptes für IT-Systeme und Anwendungen [IT-Betrieb] (S)
ORP.4.A13 Geeignete Auswahl von Authentisierungsmechanismen [IT-Betrieb] (S)
ORP.4.A14 Kontrolle der Wirksamkeit der Benutzertrennung am IT-System bzw. Anwendung [IT-Betrieb] (S)
ORP.4.A15 Vorgehensweise und Konzeption der Prozesse beim Identitäts- und Berechtigungsmanagement [IT-Betrieb] (S)
ORP.4.A16 Richtlinien für die Zugriffs- und Zugangskontrolle [IT-Betrieb] (S)
ORP.4.A17 Geeignete Auswahl von Identitäts- und Berechtigungsmanagement-Systemen [IT-Betrieb] (S)
ORP.4.A18 Einsatz eines zentralen Authentisierungsdienstes [IT-Betrieb] (S)
ORP.4.A19 Einweisung aller Mitarbeiter in den Umgang mit Authentisierungsverfahren und -mechanismen [Benutzer, IT-Betrieb] (S)
Anforderungen bei erhöhtem Schutzbedarf
ORP.4.A20 Notfallvorsorge für das Identitäts- und Berechtigungsmanagement-System [IT-Betrieb] (H)
ORP.4.A21 Mehr-Faktor-Authentisierung [IT-Betrieb] (H)
ORP.5 Compliance Management (Anforderungsmanagement)
Basis-Anforderungen
ORP.5.A1 Identifikation der rechtlichen Rahmenbedingungen [Leiter Organisation, Institutionsleitung] (B)
ORP.5.A2 Beachtung rechtlicher Rahmenbedingungen [Vorgesetzte, Leiter Organisation, Institutionsleitung] (B)
ORP.5.A3 Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen [Vorgesetzte, Personalabteilung] (B)
Standard-Anforderungen
ORP.5.A4 Konzeption und Organisation des Compliance Managements [Institutionsleitung] (S)
ORP.5.A5 Ausnahmegenehmigungen [Vorgesetzte, Informationssicherheitsbeauftragter (ISB)] (S)
ORP.5.A6 Einweisung des Personals in den sicheren Umgang mit IT [Vorgesetzte, Personalabteilung] (S)
ORP.5.A7 ENTFALLEN (S)
ORP.5.A8 Regelmäßige Überprüfungen des Compliance Managements (S)
Anforderungen bei erhöhtem Schutzbedarf
ORP.5.A9 ENTFALLEN (H)
ORP.5.A10 ENTFALLEN (H)
ORP.5.A11 ENTFALLEN (H)