APP.1.1 Office-Produkte
Basis-Anforderungen
APP.1.1.A1 Sicherstellen der Integrität von Office-Produkten (B)
APP.1.1.A2 Einschränken von Aktiven Inhalten (B)
APP.1.1.A3 Sicheres Öffnen von Dokumenten aus externen Quellen [Benutzer] (B)
APP.1.1.A4 Absichern des laufenden Betriebs von Office-Produkten (B)
Standard-Anforderungen
APP.1.1.A5 Auswahl geeigneter Office-Produkte (S)
APP.1.1.A6 Testen neuer Versionen von Office-Produkten (S)
APP.1.1.A7 Installation und sichere Standardkonfiguration von Office-Produkten (S)
APP.1.1.A8 Regelmäßige Versionskontrolle von Office-Produkten (S)
APP.1.1.A9 Beseitigung von Restinformationen vor Weitergabe von Dokumenten [Benutzer] (S)
APP.1.1.A10 Regelung der Software-Entwicklung durch Endbenutzer [Benutzer] (S)
APP.1.1.A11 Geregelter Einsatz von Erweiterungen für Office-Produkte (S)
APP.1.1.A12 Verzicht auf Cloud-Speicherung [Benutzer] (S)
APP.1.1.A13 Verwendung von Viewer-Funktionen [Benutzer] (S)
APP.1.1.A14 Schutz gegen nachträgliche Veränderungen von Dokumenten [Benutzer] (S)
Anforderungen bei erhöhtem Schutzbedarf
APP.1.1.A15 Einsatz von Verschlüsselung und Digitalen Signaturen (H)
APP.1.1.A16 Integritätsprüfung von Dokumenten (H)
APP.1.2 Web-Browser
Basis-Anforderungen
APP.1.2.A1 Verwendung von Sandboxing (B)
APP.1.2.A2 Unterstützung sicherer Verschlüsselung der Kommunikation (B)
APP.1.2.A3 Verwendung von vertrauenswürdigen Zertifikaten [Benutzer] (B)
APP.1.2.A4 Versionsprüfung und Aktualisierung des Webbrowsers (B)
Standard-Anforderungen
APP.1.2.A5 Verwendung einer zentralen Basiskonfiguration (S)
APP.1.2.A6 Kennwortmanagement im Webbrowser [Benutzer] (S)
APP.1.2.A7 Datensparsamkeit in Webbrowsern [Benutzer] (S)
APP.1.2.A8 Verwendung von Plug-ins und Erweiterungen [Benutzer] (S)
Anforderungen bei erhöhtem Schutzbedarf
APP.1.2.A9 Einsatz einer isolierten Webbrowser-Umgebung (H)
APP.1.2.A10 Verwendung des privaten Modus [Benutzer] (H)
APP.1.2.A11 Überprüfung auf schädliche Inhalte (H)
APP.1.2.A12 Zwei-Browser-Strategie (H)
APP.1.4 Mobile Anwendung (Apps)
Basis-Anforderungen
APP.1.4.A1 Anforderungsanalyse für die Nutzung von Apps [Fachverantwortliche] (B)
APP.1.4.A2 Regelungen für die Verwendung von mobilen Endgeräten und Apps [Benutzer] (B)
APP.1.4.A3 Verwendung sicherer Quellen für Apps [Benutzer] (B)
APP.1.4.A4 Test und Freigabe von Apps [Datenschutzbeauftragter, Fachverantwortliche] (B)
APP.1.4.A5 Minimierung und Kontrolle von App-Berechtigungen [Fachverantwortliche] (B)
APP.1.4.A6 Patchmanagement für Apps (B)
APP.1.4.A7 Sichere Speicherung lokaler App-Daten (B)
APP.1.4.A8 Verhinderung von Datenabfluss (B)
Standard-Anforderungen
APP.1.4.A9 Sichere Anbindung an Backend-Systeme [Fachverantwortliche] (S)
APP.1.4.A10 Sichere Authentisierung von Apps (S)
APP.1.4.A11 Zentrales Management von Apps (S)
APP.1.4.A12 Sichere Deinstallation von Apps (S)
Anforderungen bei erhöhtem Schutzbedarf
APP.1.4.A13 Entwicklung von Fallback-Lösungen für Apps [Fachverantwortliche] (H)
APP.1.4.A14 Unterstützung zusätzlicher Authentisierungsmerkmale bei Apps (H)
APP.1.4.A15 Durchführung von Penetrationstests für Apps (H)
APP.2.1 Allgemeiner Verzeichnisdienst
Basis-Anforderungen
APP.2.1.A1 Erstellung einer Sicherheitsrichtlinie für Verzeichnisdienste (B)
APP.2.1.A2 Planung des Einsatzes von Verzeichnisdiensten [Datenschutzbeauftragter, Fachverantwortliche] (B)
APP.2.1.A3 Einrichtung von Zugriffsberechtigungen auf Verzeichnisdienste [Fachverantwortliche] (B)
APP.2.1.A4 Sichere Installation von Verzeichnisdiensten (B)
APP.2.1.A5 Sichere Konfiguration und Konfigurationsänderungen von Verzeichnisdiensten (B)
APP.2.1.A6 Sicherer Betrieb von Verzeichnisdiensten (B)
Standard-Anforderungen
APP.2.1.A7 Erstellung eines Sicherheitskonzepts für den Einsatz von Verzeichnisdiensten (S)
APP.2.1.A8 Planung einer Partitionierung und Replikation im Verzeichnisdienst (S)
APP.2.1.A9 Geeignete Auswahl von Komponenten für Verzeichnisdienste [Fachverantwortliche] (S)
APP.2.1.A10 Schulung zu Administration und Betrieb von Verzeichnisdiensten (S)
APP.2.1.A11 Einrichtung des Zugriffs auf Verzeichnisdienste (S)
APP.2.1.A12 Überwachung von Verzeichnisdiensten (S)
APP.2.1.A13 Absicherung der Kommunikation mit Verzeichnisdiensten (S)
APP.2.1.A14 Geregelte Außerbetriebnahme eines Verzeichnisdienstes [Fachverantwortliche] (S)
APP.2.1.A15 Migration von Verzeichnisdiensten (S)
Anforderungen bei erhöhtem Schutzbedarf
APP.2.1.A16 Erstellung eines Notfallplans für den Ausfall eines Verzeichnisdienstes (H)
APP.2.2 Active Directory
Basis-Anforderungen
APP.2.2.A1 Planung des Active Directory [Fachverantwortliche] (B)
APP.2.2.A2 Planung der Active-Directory-Administration [Fachverantwortliche] (B)
APP.2.2.A3 Planung der Gruppenrichtlinien unter Windows (B)
APP.2.2.A4 Schulung zur Active-Directory-Verwaltung (B)
APP.2.2.A5 Härtung des Active Directory (B)
APP.2.2.A6 Aufrechterhaltung der Betriebssicherheit von Active Directory (B)
APP.2.2.A7 Umsetzung sicherer Verwaltungsmethoden für Active Directory [Fachverantwortliche] (B)
Standard-Anforderungen
APP.2.2.A8 Konfiguration des „Sicheren Kanals“ unter Windows (S)
APP.2.2.A9 Schutz der Authentisierung beim Einsatz von Active Directory (S)
APP.2.2.A10 Sicherer Einsatz von DNS für Active Directory (S)
APP.2.2.A11 Überwachung der Active-Directory-Infrastruktur (S)
APP.2.2.A12 Datensicherung für Domänen-Controller (S)
Anforderungen bei erhöhtem Schutzbedarf
APP.2.2.A13 Einsatz von Zwei-Faktor-Authentisierung (H)
APP.2.2.A14 Verwendung dedizierter privilegierter Administrationssysteme (H)
APP.2.2.A15 Trennung von Administrations- und Produktionsumgebung (H)
APP.2.3 OpenLDAP
Basis-Anforderungen
APP.2.3.A1 Planung und Auswahl von Backends und Overlays für OpenLDAP (B)
APP.2.3.A2 Sichere Installation von OpenLDAP (B)
APP.2.3.A3 Sichere Konfiguration von OpenLDAP (B)
APP.2.3.A4 Konfiguration der durch OpenLDAP verwendeten Datenbank (B)
APP.2.3.A5 Sichere Vergabe von Zugriffsrechten auf dem OpenLDAP (B)
APP.2.3.A6 Sichere Authentisierung gegenüber OpenLDAP (B)
Standard-Anforderungen
APP.2.3.A7 Schulung von Administratoren von OpenLDAP (S)
APP.2.3.A8 Einschränkungen von Attributen bei OpenLDAP (S)
APP.2.3.A9 Partitionierung und Replikation bei OpenLDAP (S)
APP.2.3.A10 Sichere Aktualisierung von OpenLDAP (S)
APP.2.3.A11 Einschränkung der OpenLDAP-Laufzeitumgebung (S)
APP.2.3.A12 Protokollierung und Überwachung von OpenLDAP [Datenschutzbeauftragter] (S)
APP.2.3.A13 Datensicherung von OpenLDAP (S)
Anforderungen bei erhöhtem Schutzbedarf
APP.3.1 Webanwendungen
Basis-Anforderungen
APP.3.1.A1 Authentisierung bei Webanwendungen [Entwickler] (B)
APP.3.1.A2 Zugriffskontrolle bei Webanwendungen [Entwickler] (B)
APP.3.1.A3 Sicheres Session-Management [Entwickler] (B)
APP.3.1.A4 Kontrolliertes Einbinden von Daten und Inhalten bei Webanwendungen [Entwickler] (B)
APP.3.1.A5 Protokollierung sicherheitsrelevanter Ereignisse von Webanwendungen [Entwickler] (B)
APP.3.1.A6 ENTFALLEN (B)
APP.3.1.A7 Schutz vor unerlaubter automatisierter Nutzung von Webanwendungen [Entwickler] (B)
APP.3.1.A14 Schutz vertraulicher Daten [Entwickler] (B)
APP.3.1.A16 Umfassende Eingabevalidierung und Ausgabekodierung [Entwickler] (B)
APP.3.1.A19 Schutz vor SQL-Injection [Entwickler] (B)
Standard-Anforderungen
APP.3.1.A8 Systemarchitektur einer Webanwendung [Beschaffer, Entwickler] (S)
APP.3.1.A9 Beschaffung, Entwicklung und Erweiterung von Webanwendungen [Entwickler, Beschaffer] (S)
APP.3.1.A10 ENTFALLEN (S)
APP.3.1.A11 Sichere Anbindung von Hintergrundsystemen (S)
APP.3.1.A12 Sichere Konfiguration von Webanwendungen (S)
APP.3.1.A13 Restriktive Herausgabe sicherheitsrelevanter Informationen (S)
APP.3.1.A15 Verifikation essenzieller Änderungen [Entwickler] (S)
APP.3.1.A17 Fehlerbehandlung [Entwickler] (S)
APP.3.1.A18 ENTFALLEN (S)
APP.3.1.A21 Sichere HTTP-Konfiguration bei Webanwendungen [Entwickler] (S)
APP.3.1.A22 Überprüfung von Webanwendungen (S)
APP.3.1.A23 Verhinderung von Cross-Site-Request-Forgery [Entwickler] (S)
Anforderungen bei erhöhtem Schutzbedarf
APP.3.1.A20 Einsatz von Web Application Firewalls (H)
APP.3.1.A24 Verhinderung der Blockade von Ressourcen [Entwickler] (H)
APP.3.1.A25 Kryptografische Sicherung vertraulicher Daten [Entwickler] (H)
APP.3.2 Webserver
Basis-Anforderungen
APP.3.2.A1 Sichere Konfiguration eines Webservers (B)
APP.3.2.A2 Schutz der Webserver-Dateien (B)
APP.3.2.A3 Absicherung von Datei-Uploads und -Downloads (B)
APP.3.2.A4 Protokollierung von Ereignissen (B)
APP.3.2.A5 Authentisierung (B)
APP.3.2.A6 ENTFALLEN (B)
APP.3.2.A7 Rechtliche Rahmenbedingungen für Webangebote [Fachverantwortliche] (B)
APP.3.2.A11 Verschlüsselung über TLS (B)
Standard-Anforderungen
APP.3.2.A8 Planung des Einsatzes eines Webservers (S)
APP.3.2.A9 Festlegung einer Sicherheitsrichtlinie für den Webserver (S)
APP.3.2.A10 Auswahl eines geeigneten Webhosters (S)
APP.3.2.A12 Geeigneter Umgang mit Fehlern und Fehlermeldungen (S)
APP.3.2.A13 Zugriffskontrolle für Webcrawler (S)
APP.3.2.A14 Integritätsprüfungen und Schutz vor Schadsoftware (S)
APP.3.2.A16 Penetrationstest und Revision (S)
APP.3.2.A20 Benennung von Ansprechpartnern [Fachverantwortliche, Leiter IT] (S)
Anforderungen bei erhöhtem Schutzbedarf
APP.3.2.A15 Redundanz (H)
APP.3.2.A17 Einsatz erweiterter Authentisierungsmethoden für Webserver (H)
APP.3.2.A18 Schutz vor Denial-of-Service-Angriffen (H)
APP.3.2.A19 ENTFALLEN (H)
APP.3.3 Fileserver
Basis-Anforderungen
APP.3.3.A1 ENTFALLEN (B)
APP.3.3.A2 Einsatz von RAID-Systemen (B)
APP.3.3.A3 Einsatz von Viren-Schutzprogrammen (B)
APP.3.3.A4 ENTFALLEN (B)
APP.3.3.A5 Restriktive Rechtevergabe (B)
APP.3.3.A15 Planung von Fileservern (B)
Standard-Anforderungen
APP.3.3.A6 Beschaffung eines Fileservers und Auswahl eines Dienstes (S)
APP.3.3.A7 Auswahl eines Dateisystems (S)
APP.3.3.A8 Strukturierte Datenhaltung [Benutzer] (S)
APP.3.3.A9 Sicheres Speichermanagement (S)
APP.3.3.A10 ENTFALLEN (S)
APP.3.3.A11 Einsatz von Speicherbeschränkungen (S)
APP.3.3.A14 Einsatz von Error-Correction-Codes (S)
Anforderungen bei erhöhtem Schutzbedarf
APP.3.3.A12 Verschlüsselung des Datenbestandes (H)
APP.3.3.A13 Replizieren zwischen Standorten (H)
APP.3.4 Samba
Basis-Anforderungen
APP.3.4.A1 Planung des Einsatzes eines Samba-Servers (B)
APP.3.4.A2 Sichere Grundkonfiguration eines Samba-Servers (B)
Standard-Anforderungen
APP.3.4.A3 Sichere Konfiguration des Samba-Servers (S)
APP.3.4.A4 Vermeidung der NTFS-Eigenschaften auf einem Samba-Server (S)
APP.3.4.A5 Sichere Konfiguration der Zugriffssteuerung bei einem Samba-Server (S)
APP.3.4.A6 Sichere Konfiguration von Winbind unter Samba (S)
APP.3.4.A7 Sichere Konfiguration von DNS unter Samba (S)
APP.3.4.A8 Sichere Konfiguration von LDAP unter Samba (S)
APP.3.4.A9 Sichere Konfiguration von Kerberos unter Samba (S)
APP.3.4.A10 Sicherer Einsatz externer Programme auf einem Samba-Server (S)
APP.3.4.A11 Sicherer Einsatz von Kommunikationsprotokollen beim Einsatz eines Samba-Servers (S)
APP.3.4.A12 Schulung der Administratoren eines Samba-Servers (S)
APP.3.4.A13 Regelmäßige Sicherung wichtiger Systemkomponenten eines Samba-Servers (S)
APP.3.4.A14 ENTFALLEN (S)
Anforderungen bei erhöhtem Schutzbedarf
APP.3.4.A15 Verschlüsselung der Datenpakete unter Samba (H)
APP.3.6 DNS-Server
Basis-Anforderungen
APP.3.6.A1 Planung des DNS-Einsatzes (B)
APP.3.6.A2 Einsatz redundanter DNS-Server (B)
APP.3.6.A3 Verwendung von separaten DNS-Servern für interne und externe Anfragen (B)
APP.3.6.A4 Sichere Grundkonfiguration eines DNS-Servers (B)
APP.3.6.A5 ENTFALLEN (B)
APP.3.6.A6 Absicherung von dynamischen DNS-Updates (B)
APP.3.6.A7 Überwachung von DNS-Servern (B)
APP.3.6.A8 Verwaltung von Domainnamen [Leiter IT] (B)
APP.3.6.A9 Erstellen eines Notfallplans für DNS-Server (B)
Standard-Anforderungen
APP.3.6.A10 Auswahl eines geeigneten DNS-Server-Produktes (S)
APP.3.6.A11 Ausreichende Dimensionierung der DNS-Server (S)
APP.3.6.A12 Schulung der Verantwortlichen [Vorgesetzte] (S)
APP.3.6.A13 Einschränkung der Sichtbarkeit von Domain-Informationen (S)
APP.3.6.A14 Platzierung der Nameserver (S)
APP.3.6.A15 Auswertung der Logdaten (S)
APP.3.6.A16 Integration eines DNS-Servers in eine „P-A-P“-Struktur (S)
APP.3.6.A17 Einsatz von DNSSEC (S)
APP.3.6.A18 Erweiterte Absicherung von Zonentransfers (S)
APP.3.6.A19 Aussonderung von DNS-Servern (S)
Anforderungen bei erhöhtem Schutzbedarf
APP.3.6.A20 Prüfung des Notfallplans auf Durchführbarkeit (H)
APP.3.6.A21 Hidden-Master (H)
APP.3.6.A22 Anbindung der DNS-Server über unterschiedliche Provider [Leiter IT] (H)
APP.4.2 SAP-ERP-System
Basis-Anforderungen
APP.4.2.A1 Sichere Konfiguration des SAP-ABAP-Stacks (B)
APP.4.2.A2 Sichere Konfiguration des SAP-JAVA-Stacks (B)
APP.4.2.A3 Netzsicherheit (B)
APP.4.2.A4 Absicherung der ausgelieferten SAP-Standardbenutzer-Kennungen (B)
APP.4.2.A5 Konfiguration und Absicherung der SAP-Benutzerverwaltung (B)
APP.4.2.A6 Erstellung und Umsetzung eines Benutzer- und Berechtigungskonzeptes [Fachabteilung, Entwickler, Leiter IT] (B)
APP.4.2.A7 Absicherung der SAP-Datenbanken (B)
APP.4.2.A8 Absicherung der SAP-RFC-Schnittstelle (B)
APP.4.2.A9 Absicherung und Überwachung des Message-Servers (B)
APP.4.2.A10 Regelmäßige Implementierung von Sicherheitskorrekturen [Fachabteilung] (B)
Standard-Anforderungen
APP.4.2.A11 Sichere Installation eines SAP-ERP-Systems (S)
APP.4.2.A12 SAP-Berechtigungsentwicklung [Fachabteilung, Entwickler, Leiter IT] (S)
APP.4.2.A13 SAP-Passwortsicherheit (S)
APP.4.2.A14 Identifizierung kritischer SAP-Berechtigungen [Fachabteilung] (S)
APP.4.2.A15 Sichere Konfiguration des SAP-Routers (S)
APP.4.2.A16 Umsetzung von Sicherheitsanforderungen für das Betriebssystem Windows (S)
APP.4.2.A17 Umsetzung von Sicherheitsanforderungen für das Betriebssystem Unix (S)
APP.4.2.A18 Abschaltung von unsicherer Kommunikation (S)
APP.4.2.A19 Definition der Sicherheitsrichtlinien für Benutzer (S)
APP.4.2.A20 Sichere SAP-GUI-Einstellungen (S)
APP.4.2.A21 Konfiguration des Security Audit Logs (S)
APP.4.2.A22 Schutz des Spools im SAP-ERP-System [Entwickler] (S)
APP.4.2.A23 Schutz der SAP-Hintergrundverarbeitung [Entwickler] (S)
APP.4.2.A24 Aktivierung und Absicherung des Internet Communication Frameworks (S)
APP.4.2.A25 Sichere Konfiguration des SAP Web Dispatchers (S)
APP.4.2.A26 Schutz des kundeneigenen Codes im SAP-ERP-System (S)
APP.4.2.A27 Audit des SAP-ERP-Systems [Fachabteilung] (S)
APP.4.2.A28 Erstellung eines Notfallkonzeptes [Notfallbeauftragter] (S)
APP.4.2.A29 Einrichten eines Notfallbenutzers (S)
APP.4.2.A30 Implementierung eines kontinuierlichen Monitorings der Sicherheitseinstellungen (S)
APP.4.2.A31 Konfiguration von SAP Single-Sign-On (S)
Anforderungen bei erhöhtem Schutzbedarf
APP.4.2.A32 Echtzeiterfassung und Alarmierung von irregulären Vorgängen (H)
APP.4.3 Relationale Datenbanksysteme
Basis-Anforderungen
APP.4.3.A1 Erstellung einer Sicherheitsrichtlinie für Datenbanksysteme (B)
APP.4.3.A2 Installation des Datenbankmanagementsystems (B)
APP.4.3.A3 Basishärtung des Datenbankmanagementsystems (B)
APP.4.3.A4 Geregeltes Anlegen neuer Datenbanken (B)
APP.4.3.A5 Benutzer- und Berechtigungskonzept (B)
APP.4.3.A6 Passwortänderung [Fachverantwortliche] (B)
APP.4.3.A7 Zeitnahes Einspielen von Sicherheitsupdates (B)
APP.4.3.A8 Datenbank-Protokollierung (B)
APP.4.3.A9 Datensicherung eines Datenbanksystems (B)
Standard-Anforderungen
APP.4.3.A10 Auswahl geeigneter Datenbankmanagementsysteme (S)
APP.4.3.A11 Ausreichende Dimensionierung der Hardware [Leiter IT, Fachverantwortliche] (S)
APP.4.3.A12 Einheitlicher Konfigurationsstandard von Datenbankmanagementsystemen [Leiter IT] (S)
APP.4.3.A13 Restriktive Handhabung von Datenbank-Links (S)
APP.4.3.A14 Überprüfung der Datensicherung eines Datenbanksystems (S)
APP.4.3.A15 Schulung der Datenbankadministratoren [Vorgesetzte, Leiter IT] (S)
APP.4.3.A16 Verschlüsselung der Datenbankanbindung (S)
APP.4.3.A17 Datenübernahme oder Migration [Fachverantwortliche] (S)
APP.4.3.A18 Überwachung des Datenbankmanagementsystems (S)
APP.4.3.A19 Schutz vor schädlichen Datenbank-Skripten [Entwickler] (S)
APP.4.3.A20 Regelmäßige Audits (S)
Anforderungen bei erhöhtem Schutzbedarf
APP.4.3.A21 Einsatz von Datenbank Security Tools (H)
APP.4.3.A22 Notfallvorsorge (H)
APP.4.3.A23 Archivierung (H)
APP.4.3.A24 Datenverschlüsselung in der Datenbank (H)
APP.4.3.A25 Sicherheitsüberprüfungen von Datenbanksystemen (H)
APP.4.6 SAP ABAP-Programmierung
Basis-Anforderungen
APP.4.6.A1 Absicherung von Reports mit Berechtigungsprüfungen [Entwickler] (B)
APP.4.6.A2 Formal korrekte Auswertung von Berechtigungsprüfungen [Entwickler] (B)
APP.4.6.A3 Berechtigungsprüfung vor dem Start einer Transaktion [Entwickler] (B)
APP.4.6.A4 Verzicht auf proprietäre Berechtigungsprüfungen [Entwickler] (B)
Standard-Anforderungen
APP.4.6.A5 Erstellung einer Richtlinie für die ABAP-Entwicklung (S)
APP.4.6.A6 Vollständige Ausführung von Berechtigungsprüfungen [Entwickler] (S)
APP.4.6.A7 Berechtigungsprüfung während der Eingabeverarbeitung [Entwickler] (S)
APP.4.6.A8 Schutz vor unberechtigten oder manipulierenden Zugriffen auf das Dateisystem [Entwickler] (S)
APP.4.6.A9 Berechtigungsprüfung in remote-fähigen Funktionsbausteinen [Entwickler] (S)
APP.4.6.A10 Verhinderung der Ausführung von Betriebssystemkommandos [Entwickler] (S)
APP.4.6.A11 Vermeidung von eingeschleustem Schadcode [Entwickler] (S)
APP.4.6.A12 Vermeidung von generischer Modulausführung [Entwickler] (S)
APP.4.6.A13 Vermeidung von generischem Zugriff auf Tabelleninhalte [Entwickler] (S)
APP.4.6.A14 Vermeidung von nativen SQL-Anweisungen [Entwickler] (S)
APP.4.6.A15 Vermeidung von Datenlecks [Entwickler] (S)
APP.4.6.A16 Verzicht auf systemabhängige Funktionsausführung [Entwickler] (S)
APP.4.6.A17 Verzicht auf mandantenabhängige Funktionsausführung [Entwickler] (S)
APP.4.6.A18 Vermeidung von Open-SQL-Injection-Schwachstellen [Entwickler] (S)
APP.4.6.A19 Schutz vor Cross-Site-Scripting [Entwickler] (S)
APP.4.6.A20 Keine Zugriffe auf Daten eines anderen Mandanten [Entwickler] (S)
APP.4.6.A21 Verbot von verstecktem ABAP-Quelltext [Entwickler] (S)
Anforderungen bei erhöhtem Schutzbedarf
APP.4.6.A22 Einsatz von ABAP-Codeanalyse Werkzeugen (H)
APP.5.1 Allgemeine Groupware
Basis-Anforderungen
APP.5.1.A1 Sichere Installation von Groupware-Systemen (B)
APP.5.1.A2 Sichere Konfiguration der Groupware-Clients (B)
APP.5.1.A3 Sicherer Betrieb von Groupware-Systemen (B)
APP.5.1.A4 Datensicherung und Archivierung bei Groupware (B)
APP.5.1.A7 Planung des sicheren Einsatzes von Groupware-Systemen (B)
APP.5.1.A22 Spam- und Virenschutz auf dem E-Mailserver (B)
Standard-Anforderungen
APP.5.1.A5 ENTFALLEN (S)
APP.5.1.A6 Festlegung von Vertretungsregelungen bei E-Mail-Nutzung [Vorgesetzte] (S)
APP.5.1.A8 Festlegung einer Sicherheitsrichtlinie für Groupware (S)
APP.5.1.A9 ENTFALLEN (S)
APP.5.1.A10 ENTFALLEN (S)
APP.5.1.A11 ENTFALLEN (S)
APP.5.1.A12 Schulung zu Sicherheitsmechanismen von Groupware-Clients für Benutzer (S)
APP.5.1.A13 ENTFALLEN (S)
APP.5.1.A14 ENTFALLEN (S)
APP.5.1.A15 ENTFALLEN (S)
APP.5.1.A16 Umgang mit SPAM durch Benutzer [Benutzer] (S)
APP.5.1.A17 Auswahl eines Groupware- oder E-Mail-Providers (S)
APP.5.1.A18 Erweiterter Spamschutz auf dem E-Mailserver (S)
APP.5.1.A19 ENTFALLEN (S)
Anforderungen bei erhöhtem Schutzbedarf
APP.5.1.A20 ENTFALLEN (H)
APP.5.1.A21 Ende-zu-Ende-Verschlüsselung (H)
APP.5.2 Microsoft Exchange und Outlook
Basis-Anforderungen
APP.5.2.A1 Planung des Einsatzes von Microsoft Exchange und Outlook (B)
APP.5.2.A2 Auswahl einer geeigneten Microsoft Exchange-Infrastruktur (B)
APP.5.2.A3 Berechtigungsmanagement und Zugriffsrechte (B)
APP.5.2.A4 ENTFALLEN (B)
APP.5.2.A5 Datensicherung von Microsoft Exchange (B)
Standard-Anforderungen
APP.5.2.A6 ENTFALLEN (S)
APP.5.2.A7 Migration von Microsoft Exchange-Systemen (S)
APP.5.2.A8 ENTFALLEN (S)
APP.5.2.A9 Sichere Konfiguration von Microsoft Exchange-Servern (S)
APP.5.2.A10 Sichere Konfiguration von Outlook (S)
APP.5.2.A11 Absicherung der Kommunikation zwischen Microsoft Exchange-Systemen (S)
APP.5.2.A12 Einsatz von Outlook Anywhere, MAPI over HTTP und Outlook Web App (S)
APP.5.2.A13 ENTFALLEN (S)
APP.5.2.A14 Schulung zu Sicherheitsmechanismen von Outlook für Anwender [Informationssicherheitsbeauftragter (ISB)] (S)
APP.5.2.A15 Betriebsdokumentation für Microsoft Exchange (S)
APP.5.2.A16 ENTFALLEN (S)
APP.5.2.A19 Erstellung einer Sicherheitsrichtlinie für Microsoft Exchange (S)
Anforderungen bei erhöhtem Schutzbedarf
APP.5.2.A17 Verschlüsselung von Microsoft Exchange-Datenbankdateien (H)
APP.5.2.A18 ENTFALLEN (H)