Mindeststandards des BSI Wie Entwickler von Bund-Vorgaben profitieren

Das Bundesamt für Sicherheit in der Informationstechnik gibt mit den „Mindeststandards Bund“ harte Vorgaben heraus. Zwar richten sich diese primär an den Bund, aber auch Länder, Kommunen und Entwickler sollten sich dafür interessieren.

Anbieter zum Thema

PresseBox - unn | UNITED NEWS NETWORK GmbH

Insider Research

Das BSI ist vor allem für den IT-Grundschutz bekannt. Dieses riesige, komplexe Rahmenwerk gibt Organisationen jeglicher Art und Größe die Möglichkeit, IT-Sicherheit standardisiert zu etablieren und diese auch zertifizieren zu lassen. Dabei gibt der Grundschutz tatsächlich nur einen Rahmen vor, innerhalb dessen mit unterschiedlichsten Maßnahmen unterschiedliche Sicherheitsniveaus geschaffen werden können.

Entwickler werden aus zwei Gründen selten um dieses Produkt herumkommen: Zum einen werden viele IT-Unternehmen selbst auf den Grundschutz setzen, zum anderen werden schlicht Kunden und Partner ein gewissens Maß an IT-Security verlangen, das in der Praxis eben häufig mit diesem BSI-Framework realisiert wird.

Die Mindeststandards des BSI nach § 8 Absatz 1 des BSI-Gesetzes (BSIG), oder Mindeststandards Bund, sind hingegen noch relativ jung und deutlich weniger bekannt. Das liegt insbesondere daran, dass die Entwicklung erst vor gut zwei Jahren wirklich begonnen hat, zuvor wurden vor allem Grundlagen geschaffen.

Noch dazu richten sich die Mindeststandards Bund eben an den Bund – und somit verglichen mit der Masse an Organisationen, die sich seit jeher mit dem Grundschutz befassen, an eine relativ kleine Zielgruppe. Allerdings sind eben auch Länder und Kommunen aufgerufen, die Mindeststandards Bund zu adaptieren – und dort besteht auch entsprechendes Interesse.

Ein weiterer Unterschied zum Grundschutz: Die Mindeststandards Bund sind kein loses Rahmenwerk mit möglichen Bedrohungen, möglichen Maßnahmen und einem Vorgehensmodell, sondern ganz konkrete Vorgaben für besonders relevante, schutzbedürftige Bereiche.

Der Umsetzungsplan Bund

Die Verbindlichkeit dieser Vorgaben ergibt sich unter anderem aus dem „Umsetzungsplan Bund 2017 – Leitlinie für Informationssicherheit in der Bundesverwaltung“ (UP Bund). Und auch wenn Länder und Kommunen nicht explizit verpflichtet werden (können), macht IT-Security natürlich nicht an den Rechenzentren des Bunds einfach Halt – und insofern werden beide schon aus praktischen Gründen die Mindeststandards im Auge behalten.

Der UP Bund liefert aber noch eine weitere Zielgruppe – nämlich Sie als Entwickler! Unter Punkt „7.1 IT-Dienstleister und Provider“ wird klargestellt, dass auch beauftragte Dienstleister die Vorgaben aus dem UP-Bund und ganz explizit auch die Mindeststandards einzuhalten haben. Das heißt, dass zum einen alle Unternehmen, die für die Bundesverwaltung arbeiten wollen, entsprechende Maßnahmen durchführen müssen; und zum anderen heißt das für Anbieter von Produkten, dass auch ihre Produkte konform sein müssen.

Um es ganz klar auszudrücken: Bereits bei der Vergabe – egal, ob über eine Organisation des Bunds selbst oder zentral über das Beschaffungsamt – werden die Mindeststandards nach § 8 Abs. 1 BSIG angewandt. Noch ist die Anzahl der Mindeststandards überschaubar, vielleicht sind Ihre Produkte noch gar nicht betroffen. Aber Sie sollten sich auf dem Laufenden halten und die bisherigen Veröffentlichungen kennen. Auch Kenntnisse über Aufbau und Erstellung von Mindeststandards sind nützlich – nicht zuletzt, weil sich auch die Öffentlichkeit an der Entwicklung beteiligen kann.

Inhalte, Entstehung und Beteiligung

Zunächst sollte klar sein, was Mindeststandards überhaupt definieren, und da drückt sich das BSI selbst bereits sehr klar aus: „Als gesetzliche Vorgabe definieren Mindeststandards ein konkretes Mindestniveau für die Informationssicherheit. Die Definition erfolgt auf Basis der fachlichen Expertise des BSI in der Überzeugung, dass dieses Mindestniveau in der Bundesverwaltung nicht unterschritten werden darf.“

Es werden also weder Best Practices noch Schutzmaßnahmen für Hochsicherheitsbereiche ausdefiniert. Vielmehr werden Maßnahmen gelistet, die ein sehr guter, sicherheitstechnisch ausgebildeter Administrator wohl weitestgehend als selbstverständlich abtun würde. Insofern sollte auch klar sein: Die Mindeststandards allein sorgen nur für ein Grundmaß an Sicherheit, das in sicherheitskritischen Bereichen keinesfalls ausreicht.

Adressieren können die Mindeststandards alles, was sicherheitstechnisch relevant ist, von der Beschaffung von Produkten, über deren Konfiguration, bis hin zu rein organisatorischen Maßnahmen. Erfreulicherweise setzt das BSI bei dem Thema auf Transparenz: Den gesamten Entstehungsprozess können Sie auf der Homepage unter „Standardisierte Vorgehensweise“ einsehen.

Die Kurzversion: In der ersten Phase werden geeignete Themen identifiziert, BSI-intern mit den Fachreferaten abgestimmt und zu einem internen Grobentwurf verarbeitet. In der zweiten Phase wird ein Entwurf zur Kommentierung an die Ressorts ausgegeben und anschließend mit den berücksichtigten Änderungen nochmals mit den Fachreferaten abgestimmt. In der dritten Phase wird dann die offizielle Hausmitzeichnung eingeleitet und der Mindeststandard veröffentlicht. Anschließend werden die Standards natürlich gepflegt und gegebenenfalls aktualisiert.

Ihre Beteiligung wird auf den BSI-Seiten leider nur in der grafischen Darstellung, nicht im Text erwähnt: In der zweiten Phase werden nicht bloß die anderen Ressorts und Bundesbehörden um kritische Durchsicht gebeten. Der Entwurf wird auch als Community-Draft in die Öffentlichkeit entlassen. Und hier ist jeder aufgerufen, sich zu beteiligen. Insbesondere Anbieter von konkret betroffenen Produkten, aber auch Beratungsunernehmen, die auf Rahmenverträge aus sind, haben hier eine gute Möglichkeit, vor der Verabschiedung eines letztlich verbindlichen Standards ihre Sicht und praktische Expertise einzubringen.

(ID:45240282)