SYS.1.1 Allgemeiner Server
Basis-Anforderungen
SYS.1.1.A1 Geeignete Aufstellung [Haustechnik] (B)
SYS.1.1.A2 Benutzerauthentisierung an Servern (B)
SYS.1.1.A3 Restriktive Rechtevergabe (B)
SYS.1.1.A4 Rollentrennung (B)
SYS.1.1.A5 Schutz der Administrationsschnittstellen (B)
SYS.1.1.A6 Deaktivierung nicht benötigter Dienste und Kennungen (B)
SYS.1.1.A7 Updates und Patches für Firmware, Betriebssystem und Anwendungen (B)
SYS.1.1.A8 Regelmäßige Datensicherung (B)
SYS.1.1.A9 Einsatz von Virenschutz-Programmen (B)
SYS.1.1.A10 Protokollierung (B)
Standard-Anforderungen
SYS.1.1.A11 Festlegung einer Sicherheitsrichtlinie für Server (S)
SYS.1.1.A12 Planung des Server-Einsatzes (S)
SYS.1.1.A13 Beschaffung von Servern (S)
SYS.1.1.A14 Erstellung eines Benutzer- und Administrationskonzepts (S)
SYS.1.1.A15 Unterbrechungsfreie und stabile Stromversorgung [Haustechnik] (S)
SYS.1.1.A16 Sichere Installation und Grundkonfiguration von Servern (S)
SYS.1.1.A17 Einsatzfreigabe für Server (S)
SYS.1.1.A18 Verschlüsselung der Kommunikationsverbindungen (S)
SYS.1.1.A19 Einrichtung lokaler Paketfilter (S)
SYS.1.1.A20 Beschränkung des Zugangs über Netze (S)
SYS.1.1.A21 Betriebsdokumentation für Server (S)
SYS.1.1.A22 Einbindung in die Notfallplanung (S)
SYS.1.1.A23 Systemüberwachung und Monitoring von Servern (S)
SYS.1.1.A24 Sicherheitsprüfungen (S)
SYS.1.1.A25 Geregelte Außerbetriebnahme eines Servers (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.1.1.A26 Verwendung von Mehr-Faktor-Authentisierung (H)
SYS.1.1.A27 Hostbasierte Angriffserkennung (H)
SYS.1.1.A28 Steigerung der Verfügbarkeit durch Redundanz (H)
SYS.1.1.A29 Einrichtung einer Testumgebung (H)
SYS.1.1.A30 Ein Dienst pro Server (H)
SYS.1.1.A31 Application Whitelisting (H)
SYS.1.1.A32 Zusätzlicher Schutz von privilegierten Anmeldeinformationen (H)
SYS.1.1.A33 Aktive Verwaltung der Wurzelzertifikate (H)
SYS.1.1.A34 Festplattenverschlüsselung (H)
SYS.1.2.2 Windows Server 2012
Basis-Anforderungen
SYS.1.2.2.A1 Planung von Windows Server 2012 (B)
SYS.1.2.2.A2 Sichere Installation von Windows Server 2012 (B)
SYS.1.2.2.A3 Sichere Administration von Windows Server 2012 (B)
Standard-Anforderungen
SYS.1.2.2.A4 Sichere Konfiguration von Windows Server 2012 (S)
SYS.1.2.2.A5 Schutz vor Schadsoftware auf Windows Server 2012 (S)
SYS.1.2.2.A6 Sichere Authentisierung und Autorisierung in Windows Server 2012 (S)
SYS.1.2.2.A7 Prüfung der Sicherheitskonfiguration von Windows Server 2012 (S)
SYS.1.2.2.A8 Schutz der Systemintegrität (S)
SYS.1.2.2.A9 Lokale Kommunikationsfilterung (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.1.2.2.A10 Festplattenverschlüsselung bei Windows Server 2012 (H)
SYS.1.2.2.A11 Angriffserkennung bei Windows Server 2012 (H)
SYS.1.2.2.A12 Redundanz und Hochverfügbarkeit bei Windows Server 2012 (H)
SYS.1.2.2.A13 Starke Authentifizierung bei Windows Server 2012 (H)
SYS.1.2.2.A14 Herunterfahren verschlüsselter Server und virtueller Maschinen (H)
SYS.1.3 Server unter Linux und Unix
Basis-Anforderungen
SYS.1.3.A1 Authentisierung von Administratoren und Benutzern [Benutzer] (B)
SYS.1.3.A2 Sorgfältige Vergabe von IDs (B)
SYS.1.3.A3 Kein automatisches Einbinden von Wechsellaufwerken (B)
SYS.1.3.A4 Schutz vor Ausnutzung von Schwachstellen in Anwendungen (B)
SYS.1.3.A5 Sichere Installation von Software-Paketen (B)
Standard-Anforderungen
SYS.1.3.A6 Verwaltung von Benutzern und Gruppen (S)
SYS.1.3.A7 ENTFALLEN (S)
SYS.1.3.A8 Verschlüsselter Zugriff über Secure Shell (S)
SYS.1.3.A9 Absicherung des Bootvorgangs (S)
SYS.1.3.A10 Verhinderung der Ausbreitung bei der Ausnutzung von Schwachstellen (S)
SYS.1.3.A11 Einsatz der Sicherheitsmechanismen von NFS (S)
SYS.1.3.A12 Einsatz der Sicherheitsmechanismen von NIS (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.1.3.A13 ENTFALLEN (H)
SYS.1.3.A14 Verhinderung des Ausspähens von System- und Benutzerinformationen (H)
SYS.1.3.A15 Zusätzliche Absicherung des Bootvorgangs (H)
SYS.1.3.A16 Zusätzliche Verhinderung der Ausbreitung bei der Ausnutzung von Schwachstellen (H)
SYS.1.3.A17 Zusätzlicher Schutz des Kernels (H)
SYS.1.5 Virtualisierung
Basis-Anforderungen
SYS.1.5.A1 Einspielen von Aktualisierungen und Sicherheitsupdates (B)
SYS.1.5.A2 Sicherer Einsatz virtueller IT-Systeme (B)
SYS.1.5.A3 Sichere Konfiguration virtueller IT-Systeme (B)
SYS.1.5.A4 Sichere Konfiguration eines Netzes für virtuelle Infrastrukturen (B)
SYS.1.5.A5 Schutz der Administrationsschnittstellen (B)
SYS.1.5.A6 Protokollierung in der virtuellen Infrastruktur (B)
SYS.1.5.A7 Zeitsynchronisation in virtuellen IT-Systemen (B)
Standard-Anforderungen
SYS.1.5.A8 Planung einer virtuellen Infrastruktur [Leiter IT, Leiter Netze] (S)
SYS.1.5.A9 Netzplanung für virtuelle Infrastrukturen [Leiter IT, Leiter Netze] (S)
SYS.1.5.A10 Einführung von Verwaltungsprozessen für virtuelle IT-Systeme [Leiter IT] (S)
SYS.1.5.A11 Administration der Virtualisierungsinfrastruktur über ein gesondertes Managementnetz (S)
SYS.1.5.A12 Rechte- und Rollenkonzept für die Administration einer virtuellen Infrastruktur (S)
SYS.1.5.A13 Auswahl geeigneter Hardware für Virtualisierungsumgebungen (S)
SYS.1.5.A14 Einheitliche Konfigurationsstandards für virtuelle IT-Systeme [Leiter IT] (S)
SYS.1.5.A15 Betrieb von Gast-Betriebssystemen mit unterschiedlichem Schutzbedarf (S)
SYS.1.5.A16 Kapselung der virtuellen Maschinen (S)
SYS.1.5.A17 Überwachung des Betriebszustands und der Konfiguration der virtuellen Infrastruktur (S)
SYS.1.5.A18 Schulung der Administratoren virtueller Umgebungen [Vorgesetzte] (S)
SYS.1.5.A19 Regelmäßige Audits der Virtualisierungsinfrastruktur (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.1.5.A20 Verwendung von hochverfügbaren Architekturen [Leiter IT, Leiter Netze] (H)
SYS.1.5.A21 Sichere Konfiguration virtueller IT-Systeme bei erhöhtem Schutzbedarf (H)
SYS.1.5.A22 Härtung des Virtualisierungsservers (H)
SYS.1.5.A23 Rechte-Einschränkung der virtuellen Maschinen (H)
SYS.1.5.A24 Deaktivierung von Snapshots virtueller IT-Systeme (H)
SYS.1.5.A25 Minimale Nutzung von Konsolenzugriffen auf virtuelle IT-Systeme (H)
SYS.1.5.A26 Einsatz einer PKI [Leiter IT, Leiter Netze] (H)
SYS.1.5.A27 Einsatz zertifizierter Virtualisierungssoftware [Leiter IT] (H)
SYS.1.5.A28 Verschlüsselung von virtuellen IT-Systemen (H)
SYS.1.7 IBM Z-System
Basis-Anforderungen
SYS.1.7.A1 Einsatz restriktiver z/OS-Kennungen (B)
SYS.1.7.A2 Absicherung sicherheitskritischer z/OS-Dienstprogramme (B)
SYS.1.7.A3 Wartung von Z-Systemen (B)
SYS.1.7.A4 Schulung des z/OS-Bedienungspersonals (B)
SYS.1.7.A5 Einsatz und Sicherung systemnaher z/OS-Terminals (B)
SYS.1.7.A6 Einsatz und Sicherung der Remote Support Facility [Leiter IT] (B)
SYS.1.7.A7 Restriktive Autorisierung unter z/OS (B)
SYS.1.7.A8 Einsatz des z/OS-Sicherheitssystems RACF (B)
SYS.1.7.A9 Mandantenfähigkeit unter z/OS (B)
SYS.1.7.A10 Absichern des Login-Vorgangs unter z/OS (B)
SYS.1.7.A11 Schutz der Session-Daten (B)
Standard-Anforderungen
SYS.1.7.A12 Planung von Z-Systemen (S)
SYS.1.7.A13 Erstellung von Sicherheitsrichtlinien für z/OS-Systeme (S)
SYS.1.7.A14 Berichtswesen zum sicheren Betrieb von z/OS (S)
SYS.1.7.A15 Überprüfungen zum sicheren Betrieb von z/OS [IS-Revisionsteam] (S)
SYS.1.7.A16 Überwachung von z/OS-Systemen (S)
SYS.1.7.A17 Synchronisierung von z/OS-Passwörtern und RACF-Kommandos (S)
SYS.1.7.A18 Rollenkonzept für z/OS-Systeme (S)
SYS.1.7.A19 Absicherung von z/OS-Transaktionsmonitoren (S)
SYS.1.7.A20 Stilllegung von z/OS-Systemen (S)
SYS.1.7.A21 Absicherung des Startvorgangs von z/OS-Systemen (S)
SYS.1.7.A22 Absicherung der Betriebsfunktionen von z/OS (S)
SYS.1.7.A23 Absicherung von z/VM (S)
SYS.1.7.A24 Datenträgerverwaltung unter z/OS-Systemen (S)
SYS.1.7.A25 Festlegung der Systemdimensionierung von z/OS (S)
SYS.1.7.A26 WorkLoad Management für z/OS-Systeme (S)
SYS.1.7.A27 Zeichensatzkonvertierung bei z/OS-Systemen (S)
SYS.1.7.A28 Lizenzschlüssel-Management für z/OS-Software (S)
SYS.1.7.A29 Absicherung von Unix System Services bei z/OS-Systemen (S)
SYS.1.7.A30 Absicherung der z/OS-Trace-Funktionen (S)
SYS.1.7.A31 Notfallvorsorge für z/OS-Systeme (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.1.7.A32 Festlegung von Standards für z/OS-Systemdefinitionen (H)
SYS.1.7.A33 Trennung von Test- und Produktionssystemen unter z/OS (H)
SYS.1.7.A34 Batch-Job-Planung für z/OS-Systeme (H)
SYS.1.7.A35 Einsatz von RACF-Exits (H)
SYS.1.7.A36 Interne Kommunikation von Betriebssystemen (H)
SYS.1.7.A37 Parallel Sysplex unter z/OS (H)
SYS.1.7.A38 Einsatz des VTAM Session Management Exit unter z/OS (H)
SYS.1.8 Speicherlösungen
Basis-Anforderungen
SYS.1.8.A1 Geeignete Aufstellung von Speichersystemen [Haustechnik, Leiter IT] (B)
SYS.1.8.A2 Sichere Grundkonfiguration von Speicherlösungen (B)
SYS.1.8.A3 Restriktive Rechtevergabe (B)
SYS.1.8.A4 Schutz der Administrationsschnittstellen (B)
SYS.1.8.A5 Protokollierung bei Speichersystemen (B)
Standard-Anforderungen
SYS.1.8.A6 Erstellung einer Sicherheitsrichtlinie für Speicherlösungen [Informationssicherheitsbeauftragter (ISB)] (S)
SYS.1.8.A7 Planung von Speicherlösungen [Informationssicherheitsbeauftragter (ISB), Leiter IT] (S)
SYS.1.8.A8 Auswahl einer geeigneten Speicherlösung [Informationssicherheitsbeauftragter (ISB), Leiter IT] (S)
SYS.1.8.A9 Auswahl von Lieferanten für eine Speicherlösung [Informationssicherheitsbeauftragter (ISB), Leiter IT] (S)
SYS.1.8.A10 Erstellung und Pflege eines Betriebshandbuchs [Informationssicherheitsbeauftragter (ISB), Leiter IT] (S)
SYS.1.8.A11 Sicherer Betrieb einer Speicherlösung (S)
SYS.1.8.A12 Schulung der Administratoren [Vorgesetzte] (S)
SYS.1.8.A13 Überwachung und Verwaltung von Speicherlösungen (S)
SYS.1.8.A14 Absicherung eines SANs durch Segmentierung (S)
SYS.1.8.A15 Sichere Trennung von Mandanten in Speicherlösungen (S)
SYS.1.8.A16 Sicheres Löschen in SAN-Umgebungen (S)
SYS.1.8.A17 Dokumentation der Systemeinstellungen von Speichersystemen (S)
SYS.1.8.A18 Sicherheitsaudits und Berichtswesen bei Speichersystemen [Informationssicherheitsbeauftragter (ISB)] (S)
SYS.1.8.A19 Aussonderung von Speicherlösungen (S)
SYS.1.8.A20 Notfallvorsorge und Notfallreaktion für Speicherlösungen [Leiter IT] (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.1.8.A21 Einsatz von Speicherpools zur Mandantentrennung (H)
SYS.1.8.A22 Einsatz einer hochverfügbaren SAN-Lösung [Informationssicherheitsbeauftragter (ISB)] (H)
SYS.1.8.A23 Einsatz von Verschlüsselung für Speicherlösungen [Informationssicherheitsbeauftragter (ISB)] (H)
SYS.1.8.A24 Sicherstellung der Integrität der SAN-Fabric (H)
SYS.1.8.A25 Mehrfaches Überschreiben der Daten einer LUN (H)
SYS.1.8.A26 Absicherung eines SANs durch Hard-Zoning (H)
SYS.2.1 Allgemeiner Client
Basis-Anforderungen
SYS.2.1.A1 Sichere Benutzerauthentisierung (B)
SYS.2.1.A2 Rollentrennung (B)
SYS.2.1.A3 Aktivieren von Autoupdate-Mechanismen (B)
SYS.2.1.A4 Regelmäßige Datensicherung (B)
SYS.2.1.A5 Verwendung einer Bildschirmsperre [Benutzer] (B)
SYS.2.1.A6 Einsatz von Viren-Schutzprogrammen (B)
SYS.2.1.A7 Protokollierung auf Clients (B)
SYS.2.1.A8 Absicherung des Bootvorgangs (B)
Standard-Anforderungen
SYS.2.1.A9 Festlegung einer Sicherheitsrichtlinie für Clients (S)
SYS.2.1.A10 Planung des Einsatzes von Clients (S)
SYS.2.1.A11 Beschaffung von Clients (S)
SYS.2.1.A12 Kompatibilitätsprüfung von Software (S)
SYS.2.1.A13 Zugriff auf Ausführungsumgebungen mit unbeobachtbarer Codeausführung (S)
SYS.2.1.A14 Updates und Patches für Firmware, Betriebssystem und Anwendungen (S)
SYS.2.1.A15 Sichere Installation und Konfiguration von Clients (S)
SYS.2.1.A16 Deaktivierung und Deinstallation nicht benötigter Komponenten und Kennungen (S)
SYS.2.1.A17 Einsatzfreigabe für Clients (S)
SYS.2.1.A18 Nutzung von TLS [Benutzer] (S)
SYS.2.1.A19 Restriktive Rechtevergabe (S)
SYS.2.1.A20 Schutz der Administrationsschnittstellen (S)
SYS.2.1.A21 Verhinderung der unautorisierten Nutzung von Rechnermikrofonen und Kameras (S)
SYS.2.1.A22 Abmelden nach Aufgabenerfüllung [Benutzer] (S)
SYS.2.1.A23 Bevorzugung von Client-Server-Diensten (S)
SYS.2.1.A24 Umgang mit externen Medien und Wechseldatenträgern (S)
SYS.2.1.A25 Mitarbeiterrichtlinie zur sicheren IT-Nutzung [Benutzer] (S)
SYS.2.1.A26 Schutz vor Ausnutzung von Schwachstellen in Anwendungen (S)
SYS.2.1.A27 Geregelte Außerbetriebnahme eines Clients (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.2.1.A28 Verschlüsselung der Clients (H)
SYS.2.1.A29 Systemüberwachung und Monitoring der Clients (H)
SYS.2.1.A30 Einrichten einer Referenzinstallation für Clients (H)
SYS.2.1.A31 Einrichtung lokaler Paketfilter (H)
SYS.2.1.A32 Einsatz zusätzlicher Maßnahmen zum Schutz vor Exploits (H)
SYS.2.1.A33 Application Whitelisting (H)
SYS.2.1.A34 Einsatz von Anwendungsisolation (H)
SYS.2.1.A35 Aktive Verwaltung der Wurzelzertifikate (H)
SYS.2.1.A36 Selbstverwalteter Einsatz von SecureBoot und TPM (H)
SYS.2.1.A37 Verwendung von Mehr-Faktor-Authentisierung (H)
SYS.2.1.A38 Einbindung in die Notfallplanung (H)
SYS.2.1.A39 Unterbrechungsfreie und stabile Stromversorgung [Haustechnik] (H)
SYS.2.1.A40 Betriebsdokumentation (H)
SYS.2.1.A41 Verhinderung der Überlastung der lokalen Festplatte (H)
SYS.2.2.2 Clients unter Windows 8.1
Basis-Anforderungen
SYS.2.2.2.A1 Auswahl einer geeigneten Windows 8.1-Version (B)
SYS.2.2.2.A2 Festlegung eines Anmeldeverfahrens für Windows 8.1 (B)
SYS.2.2.2.A3 Einsatz von Viren-Schutzprogrammen unter Windows 8.1 (B)
Standard-Anforderungen
SYS.2.2.2.A4 Beschaffung von Windows 8.1 (S)
SYS.2.2.2.A5 Lokale Sicherheitsrichtlinien für Windows 8.1 (S)
SYS.2.2.2.A6 Datei- und Freigabeberechtigungen unter Windows 8.1 (S)
SYS.2.2.2.A7 Einsatz der Windows-Benutzerkontensteuerung UAC (S)
SYS.2.2.2.A8 Keine Verwendung der Heimnetzgruppen-Funktion [Benutzer] (S)
SYS.2.2.2.A9 Datenschutz und Datensparsamkeit bei Windows 8.1-Clients [Benutzer] (S)
SYS.2.2.2.A10 Integration von Online-Konten in das Betriebssystem [Benutzer] (S)
SYS.2.2.2.A11 Konfiguration von Synchronisationsmechanismen in Windows 8.1 (S)
SYS.2.2.2.A12 Sichere zentrale Authentisierung in Windows-Netzen (S)
SYS.2.2.2.A13 Anbindung von Windows 8.1 an den Microsoft Store (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.2.2.2.A14 Anwendungssteuerung mit Software Restriction Policies und AppLocker (H)
SYS.2.2.2.A15 Verschlüsselung des Dateisystems mit EFS (H)
SYS.2.2.2.A16 Verwendung der Windows PowerShell (H)
SYS.2.2.2.A17 Sicherer Einsatz des Wartungscenters (H)
SYS.2.2.2.A18 Aktivierung des Last-Access-Zeitstempels (H)
SYS.2.2.2.A19 Verwendung der Anmeldeinformationsverwaltung (H)
SYS.2.2.2.A20 Sicherheit beim Fernzugriff über RDP (H)
SYS.2.2.2.A21 Einsatz von File und Registry Virtualization (H)
SYS.2.2.3 Clients unter Windows 10
Basis-Anforderungen
SYS.2.2.3.A1 Planung des Einsatzes von Cloud-Diensten unter Windows 10 (B)
SYS.2.2.3.A2 Auswahl und Beschaffung einer geeigneten Windows 10-Version (B)
SYS.2.2.3.A3 ENTFALLEN (B)
SYS.2.2.3.A4 Telemetrie und Datenschutzeinstellungen unter Windows 10 (B)
SYS.2.2.3.A5 Schutz vor Schadsoftware unter Windows 10 (B)
SYS.2.2.3.A6 Integration von Online-Konten in das Betriebssystem [Benutzer] (B)
Standard-Anforderungen
SYS.2.2.3.A7 Lokale Sicherheitsrichtlinien für Windows 10 (S)
SYS.2.2.3.A8 Zentrale Verwaltung der Sicherheitsrichtlinien von Clients (S)
SYS.2.2.3.A9 Sichere zentrale Authentisierung in Windows-Netzen (S)
SYS.2.2.3.A10 Konfiguration zum Schutz von Anwendungen unter Windows 10 (S)
SYS.2.2.3.A11 Schutz der Anmeldeinformationen unter Windows 10 (S)
SYS.2.2.3.A12 Datei- und Freigabeberechtigungen unter Windows 10 (S)
SYS.2.2.3.A13 Einsatz der SmartScreen-Funktion (S)
SYS.2.2.3.A14 Einsatz des Sprachassistenten Cortana [Benutzer] (S)
SYS.2.2.3.A15 Einsatz der Synchronisationsmechanismen unter Windows 10 (S)
SYS.2.2.3.A16 Anbindung von Windows 10 an den Microsoft-Store (S)
SYS.2.2.3.A17 Keine Speicherung von Daten zur automatischen Anmeldung (S)
SYS.2.2.3.A18 Einsatz der Windows-Remoteunterstützung (S)
SYS.2.2.3.A19 Sicherheit beim Fernzugriff über RDP [Benutzer] (S)
SYS.2.2.3.A20 Einsatz der Benutzerkontensteuerung UAC für privilegierte Konten (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.2.2.3.A21 Einsatz des Encrypting File Systems (H)
SYS.2.2.3.A22 Verwendung der Windows PowerShell (H)
SYS.2.2.3.A23 Erweiterter Schutz der Anmeldeinformationen unter Windows 10 (H)
SYS.2.2.3.A24 Aktivierung des Last-Access-Zeitstempels (H)
SYS.2.2.3.A25 Umgang mit Fernzugriffsfunktionen der „Connected User Experience and Telemetry“ (H)
SYS.2.3 Clients unter Linux und Unix
Basis-Anforderungen
SYS.2.3.A1 Authentisierung von Administratoren und Benutzern [Benutzer] (B)
SYS.2.3.A2 Auswahl einer geeigneten Distribution (B)
SYS.2.3.A3 Nutzung von Cloud- und Online-Funktionen [Benutzer] (B)
SYS.2.3.A4 Einspielen von Updates und Patches auf unixartigen Systemen (B)
SYS.2.3.A5 Sichere Installation von Software-Paketen (B)
Standard-Anforderungen
SYS.2.3.A6 Kein automatisches Einbinden von Wechsellaufwerken [Benutzer] (S)
SYS.2.3.A7 Restriktive Rechtevergabe auf Dateien und Verzeichnisse (S)
SYS.2.3.A8 Einsatz von Techniken zur Rechtebeschränkung von Anwendungen (S)
SYS.2.3.A9 Sichere Verwendung von Passwörtern auf der Kommandozeile [Benutzer] (S)
SYS.2.3.A10 ENTFALLEN (S)
SYS.2.3.A11 Verhinderung der Überlastung der lokalen Festplatte (S)
SYS.2.3.A12 Sicherer Einsatz von Appliances (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.2.3.A13 ENTFALLEN (H)
SYS.2.3.A14 Absicherung gegen Nutzung unbefugter Peripheriegeräte (H)
SYS.2.3.A15 Zusätzlicher Schutz vor der Ausführung unerwünschter Dateien (H)
SYS.2.3.A16 Zusätzliche Absicherung des Bootvorgangs (H)
SYS.2.3.A17 Zusätzliche Verhinderung der Ausbreitung bei der Ausnutzung von Schwachstellen (H)
SYS.2.3.A18 Zusätzlicher Schutz des Kernels (H)
SYS.2.3.A19 Festplatten- oder Dateiverschlüsselung (H)
SYS.2.3.A20 Abschaltung kritischer SysRq-Funktionen (H)
SYS.2.4 Clients unter macOS
Basis-Anforderungen
SYS.2.4.A1 Planung des sicheren Einsatzes von macOS (B)
SYS.2.4.A2 Nutzung der integrierten Sicherheitsfunktionen von macOS (B)
SYS.2.4.A3 Verwendung geeigneter Benutzerkonten [Benutzer] (B)
Standard-Anforderungen
SYS.2.4.A4 Verwendung einer Festplattenverschlüsselung (S)
SYS.2.4.A5 Deaktivierung sicherheitskritischer Funktionen von macOS (S)
SYS.2.4.A6 Verwendung aktueller Mac-Hardware (S)
SYS.2.4.A7 Zwei-Faktor-Authentisierung für Apple-ID [Benutzer] (S)
SYS.2.4.A8 Keine Nutzung von iCloud für schützenswerte Daten [Benutzer] (S)
SYS.2.4.A9 Verwendung von zusätzlichen Schutzprogrammen unter macOS (S)
SYS.2.4.A10 Aktivierung der Personal Firewall unter macOS (S)
SYS.2.4.A11 Geräteaussonderung von Macs (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.2.4.A12 Firmware-Kennwort und Boot-Schutz auf Macs [Benutzer] (H)
SYS.3.1 Laptops
Basis-Anforderungen
SYS.3.1.A1 Regelungen zur mobilen Nutzung von Laptops (B)
SYS.3.1.A2 Zugriffsschutz am Laptop [Benutzer] (B)
SYS.3.1.A3 Einsatz von Personal Firewalls (B)
SYS.3.1.A4 Einsatz von Antivirenprogrammen [Benutzer] (B)
SYS.3.1.A5 Datensicherung [Benutzer] (B)
Standard-Anforderungen
SYS.3.1.A6 Sicherheitsrichtlinien für Laptops (S)
SYS.3.1.A7 Geregelte Übergabe und Rücknahme eines Laptops [Benutzer] (S)
SYS.3.1.A8 Sicherer Anschluss von Laptops an Datennetze [Benutzer] (S)
SYS.3.1.A9 Sicherer Fernzugriff (S)
SYS.3.1.A10 Abgleich der Datenbestände von Laptops [Benutzer] (S)
SYS.3.1.A11 Sicherstellung der Energieversorgung [Benutzer] (S)
SYS.3.1.A12 Verlustmeldung [Benutzer] (S)
SYS.3.1.A13 Verschlüsselung von Laptops (S)
SYS.3.1.A14 Geeignete Aufbewahrung von Laptops [Benutzer] (S)
SYS.3.1.A15 Geeignete Auswahl von Laptops [Beschaffungsstelle] (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.3.1.A16 Zentrale Administration von Laptops (H)
SYS.3.1.A17 Sammelaufbewahrung (H)
SYS.3.1.A18 Einsatz von Diebstahl-Sicherungen (H)
SYS.3.2.1 Allgemeine Smartphones und Tablets
Basis-Anforderungen
SYS.3.2.1.A1 Festlegung einer Richtlinie für den Einsatz von Smartphones und Tablets (B)
SYS.3.2.1.A2 Festlegung einer Strategie für die Cloud-Nutzung (B)
SYS.3.2.1.A3 Sichere Grundkonfiguration für mobile Geräte (B)
SYS.3.2.1.A4 Verwendung eines Zugriffschutzes [Benutzer] (B)
SYS.3.2.1.A5 Updates von Betriebssystem und Apps (B)
SYS.3.2.1.A6 Datenschutzeinstellungen (B)
SYS.3.2.1.A7 Verhaltensregeln bei Sicherheitsvorfällen [Fachverantwortliche, Benutzer] (B)
SYS.3.2.1.A8 Keine Installation von Apps aus unsicheren Quellen (B)
Standard-Anforderungen
SYS.3.2.1.A9 Restriktive Nutzung von funktionalen Erweiterungen (S)
SYS.3.2.1.A10 Richtlinie für Mitarbeiter zur Benutzung von mobilen Geräten [Benutzer] (S)
SYS.3.2.1.A11 Verschlüsselung des Speichers (S)
SYS.3.2.1.A12 Verwendung nicht personalisierter Gerätenamen (S)
SYS.3.2.1.A13 Regelungen zum Screensharing und Casting (S)
SYS.3.2.1.A14 Schutz vor Phishing und Schadprogrammen im Browser (S)
SYS.3.2.1.A15 Deaktivierung von Download-Boostern (S)
SYS.3.2.1.A16 Deaktivierung nicht benutzter Kommunikationsschnittstellen [Benutzer] (S)
SYS.3.2.1.A17 Verwendung der SIM-Karten-PIN (S)
SYS.3.2.1.A18 Verwendung biometrischer Authentisierung (S)
SYS.3.2.1.A19 Verwendung von Sprachassistenten (S)
SYS.3.2.1.A20 Auswahl und Freigabe von Apps (S)
SYS.3.2.1.A21 Definition der erlaubten Informationen und Applikationen auf mobilen Geräten [Fachverantwortliche, Benutzer] (S)
SYS.3.2.1.A22 Einbindung mobiler Geräte in die interne Infrastruktur via VPN (S)
SYS.3.2.1.A28 Verwendung der Filteroption für Webseiten (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.3.2.1.A23 Zusätzliche Authentisierung für vertrauliche Anwendungen (H)
SYS.3.2.1.A24 Einsatz einer geschlossenen Benutzergruppe (H)
SYS.3.2.1.A25 Nutzung von getrennten Arbeitsumgebungen (H)
SYS.3.2.1.A26 Nutzung von PIM-Containern (H)
SYS.3.2.1.A27 Einsatz besonders abgesicherter Endgeräte (H)
SYS.3.2.1.A29 Verwendung eines institutionsbezogenen APN (H)
SYS.3.2.1.A30 Einschränkung der App-Installation mittels Whitelist (H)
SYS.3.2.2 Mobile Device Management (MDM)
Basis-Anforderungen
SYS.3.2.2.A1 Festlegung einer Strategie für das Mobile Device Management (B)
SYS.3.2.2.A2 Festlegung erlaubter mobiler Endgeräte (B)
SYS.3.2.2.A3 Auswahl eines MDM-Produkts (B)
SYS.3.2.2.A4 Verteilung der Grundkonfiguration auf mobile Endgeräte (B)
SYS.3.2.2.A5 Sichere Grundkonfiguration für mobile Endgeräte (B)
SYS.3.2.2.A6 Protokollierung und Gerätestatus (B)
SYS.3.2.2.A20 Regelmäßige Überprüfung des MDM (B)
Standard-Anforderungen
SYS.3.2.2.A7 Auswahl und Freigabe von Apps (S)
SYS.3.2.2.A8 Festlegung erlaubter Informationen auf mobilen Endgeräten (S)
SYS.3.2.2.A9 Auswahl und Installation von Sicherheits-Apps (S)
SYS.3.2.2.A10 Sichere Anbindung der mobilen Endgeräte an die Institution (S)
SYS.3.2.2.A11 Berechtigungsmanagement im MDM (S)
SYS.3.2.2.A12 Absicherung der MDM-Betriebsumgebung (S)
SYS.3.2.2.A21 Verwaltung von Zertifikaten (S)
SYS.3.2.2.A22 Fernlöschung und Außerbetriebnahme von Endgeräten (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.3.2.2.A13 ENTFALLEN (H)
SYS.3.2.2.A14 Benutzung externer Reputation-Services für Apps (H)
SYS.3.2.2.A15 ENTFALLEN (H)
SYS.3.2.2.A16 ENTFALLEN (H)
SYS.3.2.2.A17 Kontrolle der Nutzung von mobilen Endgeräten (H)
SYS.3.2.2.A18 ENTFALLEN (H)
SYS.3.2.2.A19 Einsatz von Geofencing (H)
SYS.3.2.2.A23 Durchsetzung von Compliance-Anforderungen (H)
SYS.3.2.3 iOS (for Enterprise)
Basis-Anforderungen
SYS.3.2.3.A1 Strategie für die iOS-Nutzung (B)
SYS.3.2.3.A2 Planung des Einsatzes von Cloud-Diensten (B)
SYS.3.2.3.A3 ENTFALLEN (B)
SYS.3.2.3.A4 ENTFALLEN (B)
SYS.3.2.3.A5 ENTFALLEN (B)
SYS.3.2.3.A6 ENTFALLEN (B)
SYS.3.2.3.A7 Verhinderung des unautorisierten Löschens von Konfigurationsprofilen (B)
SYS.3.2.3.A8 ENTFALLEN (B)
Standard-Anforderungen
SYS.3.2.3.A9 ENTFALLEN (S)
SYS.3.2.3.A10 Verwendung biometrischer Authentisierung (S)
SYS.3.2.3.A11 Verwendung nicht personalisierter Gerätenamen (S)
SYS.3.2.3.A12 Verwendung von Apple-IDs (S)
SYS.3.2.3.A13 Verwendung der Konfigurationsoption „Einschränkungen unter iOS“ (S)
SYS.3.2.3.A14 Verwendung der iCloud-Infrastruktur (S)
SYS.3.2.3.A15 Verwendung der Continuity-Funktionen (S)
SYS.3.2.3.A16 ENTFALLEN (S)
SYS.3.2.3.A17 Verwendung der Gerätecode-Historie (S)
SYS.3.2.3.A18 Verwendung der Konfigurationsoption für den Browser Safari (S)
SYS.3.2.3.A19 ENTFALLEN (S)
SYS.3.2.3.A20 Einbindung der Geräte in die interne Infrastruktur via VPN (S)
SYS.3.2.3.A21 Freigabe von Apps und Einbindung des Apple App Stores (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.3.2.3.A22 ENTFALLEN (H)
SYS.3.2.3.A23 Verwendung der automatischen Konfigurationsprofillöschung (H)
SYS.3.2.3.A24 ENTFALLEN (H)
SYS.3.2.3.A25 Verwendung der Konfigurationsoption für AirPrint (H)
SYS.3.2.3.A26 Keine Verbindung mit Host-Systemen (H)
SYS.3.2.3.A27 ENTFALLEN (H)
SYS.3.2.4 Android
Basis-Anforderungen
SYS.3.2.4.A1 Auswahl von Android-basierten Geräten (B)
Standard-Anforderungen
SYS.3.2.4.A2 Deaktivieren der Entwickler-Optionen (S)
SYS.3.2.4.A3 Einsatz des Multi-User- und Gäste-Modus (S)
SYS.3.2.4.A4 Regelung und Konfiguration von Cloud-Print (S)
SYS.3.2.4.A5 Erweiterte Sicherheitseinstellungen (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.3.2.4.A6 Einsatz eines Produkts zum Schutz vor Schadsoftware (H)
SYS.3.2.4.A7 Verwendung einer Firewall (H)
SYS.3.3 Mobiltelefon
Basis-Anforderungen
SYS.3.3.A1 Sicherheitsrichtlinien und Regelungen für die Mobiltelefon-Nutzung (B)
SYS.3.3.A2 Sperrmaßnahmen bei Verlust eins Mobiltelefons [Benutzer] (B)
SYS.3.3.A3 Sensibilisierung und Schulung der Mitarbeiter im Umgang mit Mobiltelefonen (B)
SYS.3.3.A4 Aussonderung und ordnungsgemäße Entsorgung von Mobiltelefonen und darin verwendeter Speicherkarten (B)
Standard-Anforderungen
SYS.3.3.A5 Nutzung der Sicherheitsmechanismen von Mobiltelefonen [Benutzer] (S)
SYS.3.3.A6 Updates von Mobiltelefonen [Benutzer] (S)
SYS.3.3.A7 Beschaffung von Mobiltelefonen (S)
SYS.3.3.A8 Nutzung drahtloser Schnittstellen von Mobiltelefonen [Benutzer] (S)
SYS.3.3.A9 Sicherstellung der Energieversorgung von Mobiltelefonen [Benutzer] (S)
SYS.3.3.A10 Sichere Datenübertragung über Mobiltelefone [Benutzer] (S)
SYS.3.3.A11 Ausfallvorsorge bei Mobiltelefonen [Benutzer] (S)
SYS.3.3.A12 Einrichtung eines Mobiltelefon-Pools (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.3.3.A13 Schutz vor der Erstellung von Bewegungsprofilen bei der Mobilfunk-Nutzung [Benutzer] (H)
SYS.3.3.A14 Schutz vor Rufnummernermittlung bei der Mobiltelefon-Nutzung [Benutzer] (H)
SYS.3.3.A15 Schutz vor Abhören der Raumgespräche über Mobiltelefone (H)
SYS.4.1 Drucker, Kopierer und Multifunktionsgeräte
Basis-Anforderungen
SYS.4.1.A1 Planung des Einsatzes von Druckern, Kopierern und Multifunktionsgeräten (B)
SYS.4.1.A2 Geeignete Aufstellung und Zugriff auf Drucker, Kopierer und Multifunktionsgeräte (B)
SYS.4.1.A3 ENTFALLEN (B)
SYS.4.1.A12 Ordnungsgemäße Entsorgung von Geräten und schützenswerten Betriebsmitteln (B)
SYS.4.1.A13 ENTFALLEN (B)
SYS.4.1.A22 Ordnungsgemäße Entsorgung ausgedruckter Dokumente (B)
Standard-Anforderungen
SYS.4.1.A4 Erstellung eines Sicherheitskonzeptes für den Einsatz von Druckern, Kopieren und Multifunktionsgeräten (S)
SYS.4.1.A5 Erstellung von Benutzerrichtlinien für den Umgang mit Druckern, Kopierern und Multifunktionsgeräten [Informationssicherheitsbeauftragter (ISB)] (S)
SYS.4.1.A6 ENTFALLEN (S)
SYS.4.1.A7 Beschränkung der administrativen Fernzugriffe auf Drucker, Kopierer und Multifunktionsgeräte (S)
SYS.4.1.A8 ENTFALLEN (S)
SYS.4.1.A9 ENTFALLEN (S)
SYS.4.1.A10 ENTFALLEN (S)
SYS.4.1.A11 Einschränkung der Anbindung von Druckern, Kopierern und Multifunktionsgeräten (S)
SYS.4.1.A15 Verschlüsselung von Informationen bei Druckern, Kopierern und Multifunktionsgeräten (S)
SYS.4.1.A17 Schutz von Nutz- und Metadaten (S)
SYS.4.1.A18 Konfiguration von Druckern, Kopierern und Multifunktionsgeräten (S)
SYS.4.1.A19 Sicheres Löschen von Informationen bei Druckern, Kopierern und Multifunktionsgeräten (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.4.1.A14 Authentisierung und Autorisierung bei Druckern, Kopierern und Multifunktionsgeräten (H)
SYS.4.1.A16 Notfallvorsorge bei Druckern, Kopierern und Multifunktionsgeräten (H)
SYS.4.1.A20 Erweiterter Schutz von Informationen bei Druckern, Kopierern und Multifunktionsgeräten (H)
SYS.4.1.A21 Erweiterte Absicherung von Druckern, Kopierern und Multifunktionsgeräten (H)
SYS.4.3 Eingebettete Systeme
Basis-Anforderungen
SYS.4.3.A1 Regelungen zum Umgang mit eingebetteten Systemen [Leiter IT] (B)
SYS.4.3.A2 Deaktivieren nicht benutzter Schnittstellen und Dienste bei eingebetteten Systemen [Entwickler] (B)
SYS.4.3.A3 Protokollierung sicherheitsrelevanter Ereignisse bei eingebetteten Systemen (B)
Standard-Anforderungen
SYS.4.3.A4 Erstellung von Beschaffungskriterien für eingebettete Systeme [Beschaffer, Leiter IT] (S)
SYS.4.3.A5 Schutz vor schädigenden Umwelteinflüssen bei eingebetteten Systemen [Entwickler, Planer] (S)
SYS.4.3.A6 Verhindern von Debugging-Möglichkeiten bei eingebetteten Systemen [Entwickler] (S)
SYS.4.3.A7 Hardware-Realisierung von Funktionen eingebetteter Systeme [Entwickler, Planer, Beschaffer] (S)
SYS.4.3.A8 Einsatz eines sicheren Betriebssystem für eingebettete Systeme [Entwickler, Planer, Beschaffer] (S)
SYS.4.3.A9 Einsatz kryptografischer Prozessoren bzw. Koprozessoren bei eingebetteten Systemen [Entwickler, Planer, Beschaffer] (S)
SYS.4.3.A10 Wiederherstellung von eingebetteten Systemen (S)
SYS.4.3.A11 Sichere Aussonderung eines eingebetteten Systems [Leiter IT] (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.4.3.A12 Auswahl einer vertrauenswürdigen Lieferanten- und Logistikkette sowie qualifizierter Hersteller für eingebettete Systeme [Beschaffer, Leiter IT] (H)
SYS.4.3.A13 Einsatz eines zertifizierten Betriebssystems [Entwickler, Planer, Beschaffer] (H)
SYS.4.3.A14 Abgesicherter und authentisierter Bootprozess bei eingebetteten Systemen [Entwickler, Planer, Beschaffer] (H)
SYS.4.3.A15 Speicherschutz bei eingebetteten Systemen [Entwickler, Planer, Beschaffer] (H)
SYS.4.3.A16 Tamper-Schutz bei eingebetteten Systemen [Planer] (H)
SYS.4.3.A17 Automatische Überwachung der Baugruppenfunktion [Planer, Beschaffer] (H)
SYS.4.3.A18 Widerstandsfähigkeit eingebetteter Systeme gegen Seitenkanalangriffe [Entwickler, Beschaffer] (H)
SYS.4.4 Allgemeines IoT-Gerät
Basis-Anforderungen
SYS.4.4.A1 Einsatzkriterien für IoT-Geräte (B)
SYS.4.4.A2 Authentisierung (B)
SYS.4.4.A3 Regelmäßige Aktualisierung (B)
SYS.4.4.A4 ENTFALLEN (B)
SYS.4.4.A5 Einschränkung des Netzzugriffs (B)
Standard-Anforderungen
SYS.4.4.A6 Aufnahme von IoT-Geräten in die Sicherheitsrichtlinie der Institution (S)
SYS.4.4.A7 Planung des Einsatzes von IoT-Geräten (S)
SYS.4.4.A8 Beschaffungskriterien für IoT-Geräte [Beschaffungsstelle, Informationssicherheitsbeauftragter (ISB)] (S)
SYS.4.4.A9 Regelung des Einsatzes von IoT-Geräten (S)
SYS.4.4.A10 Sichere Installation und Konfiguration von IoT-Geräten (S)
SYS.4.4.A11 Verwendung von verschlüsselter Datenübertragung (S)
SYS.4.4.A12 Sichere Integration in übergeordnete Systeme (S)
SYS.4.4.A13 Deaktivierung und Deinstallation nicht benötigter Komponenten (S)
SYS.4.4.A14 Einsatzfreigabe (S)
SYS.4.4.A15 Restriktive Rechtevergabe (S)
SYS.4.4.A16 Beseitigung von Schadprogrammen auf IoT-Geräten (S)
SYS.4.4.A17 Überwachung des Netzverkehrs von IoT-Geräten (S)
SYS.4.4.A18 Protokollierung sicherheitsrelevanter Ereignisse bei IoT-Geräten (S)
SYS.4.4.A19 Schutz der Administrationsschnittstellen (S)
SYS.4.4.A20 Geregelte Außerbetriebnahme von IoT-Geräten (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.4.4.A21 Einsatzumgebung und Stromversorgung [Haustechnik] (H)
SYS.4.4.A22 Systemüberwachung (H)
SYS.4.4.A23 Auditierung von IoT-Geräten (H)
SYS.4.4.A24 Sichere Konfiguration und Nutzung eines eingebetteten Webservers (H)
SYS.4.5 Wechseldatenträger
Basis-Anforderungen
SYS.4.5.A1 Sensibilisierung der Mitarbeiter zum sicheren Umgang mit Wechseldatenträgern (B)
SYS.4.5.A2 Verlust- bzw. Manipulationsmeldung [Benutzer] (B)
SYS.4.5.A3 ENTFALLEN (B)
SYS.4.5.A12 Schutz vor Schadsoftware [Benutzer] (B)
Standard-Anforderungen
SYS.4.5.A4 Erstellung einer Richtlinie zum sicheren Umgang mit Wechseldatenträgern (S)
SYS.4.5.A5 Regelung zur Mitnahme von Wechseldatenträgern (S)
SYS.4.5.A6 Datenträgerverwaltung [Fachverantwortliche] (S)
SYS.4.5.A7 Sicheres Löschen der Datenträger vor und nach der Verwendung [Fachverantwortliche] (S)
SYS.4.5.A8 ENTFALLEN (S)
SYS.4.5.A13 Angemessene Kennzeichnung der Datenträger beim Versand [Benutzer] (S)
Anforderungen bei erhöhtem Schutzbedarf
SYS.4.5.A9 ENTFALLEN (H)
SYS.4.5.A10 Datenträgerverschlüsselung (H)
SYS.4.5.A11 Integritätsschutz durch Checksummen oder digitale Signaturen (H)
SYS.4.5.A14 Sichere Versandart und Verpackung (H)
SYS.4.5.A15 Zertifizierte Produkte (H)
SYS.4.5.A16 Nutzung dedizierter Systeme zur Datenprüfung (H)