Suchen

Mindeststandards des BSI

Wie Entwickler von Bund-Vorgaben profitieren

Seite: 2/2

Firma zum Thema

Konkrete Mindeststandards des BSI

Der Bund kann auch kurz: Gerade einmal zwei Seiten beschreiben den mächtigen TLS-Standard.
Der Bund kann auch kurz: Gerade einmal zwei Seiten beschreiben den mächtigen TLS-Standard.
(Bild: BSI)

Bis heute sind sechs fertige Mindeststandards sowie ein Entwurf veröffentlich worden – einige für die Öffentlichkeit wichtiger als andere. Der erste Standard ist der „Mindeststandard des BSI für den Einsatz des SSL/TLS-Protokolls durch Bundesbehörden“. Grob gesagt verpflichtet dieser Mindeststandard die Bundesverwaltung, jegliche Kommunikation außerhalb sicherer Netze verschlüsselt über TLS 1.2 mit Perfect Forward Secrecy (PFS) durchzuführen.

Der eigentliche Inhalt des Standards benötigt gerade einmal zwei Seiten, zeigt aber bereits, wie wichtig die Mindeststandards auch für Software-Entwickler sind: Egal, ob Sie einen Messenger, eine Fahrzeugverwaltung oder im Auftrag eine bestimmte Fachanwendung entwickeln, Sie müssen TLS-Verschlüsselung gemäß Mindeststandard berücksichtigen, sofern Sie mit dem Bund Geschäfte machen wollen.

Richtig konkret wird die Zielgruppe bei den Mindeststandards „Schnittstellenkontrolle“ und „Mobile Device Management“ (MDM). Beide Standards machen konkrete Vorgaben für die Beschaffung beziehungsweise Nutzung von MDM beziehungsweise Schnittstellenkontrollsoftware (etwa zum Schutz vor unbefugter Nutzung von USB-Ports am Arbeitsrechner). Software, die diesen Anforderungen nicht gerecht wird, dürfte bei Ausschreibungen nicht berücksichtigt werden.

Abgleich der größten Browser mit dem Mindeststandard „Sicherer Browser“.
Abgleich der größten Browser mit dem Mindeststandard „Sicherer Browser“.
(Bild: BSI)

Ebenfalls ein Produkt-Standard ist der Mindeststandard „Sichere Web-Browser“ – aber natürlich ein Sonderfall: Hier werden sehr viele Anforderungen formuliert, aber Browser dürften in der Regel nicht im herkömmlichen Sinne „beschafft“, also ausgeschrieben werden. Andererseits: Weder Internet Explorer noch Edge, Firefox oder Chrome haben zum Zeitpunkt der Veröffentlichung alle Punkte zu hundert Prozent erfüllt, jedenfalls nicht ohne weitere Maßnahmen. Für einen besseren Überblick hat das BSI eine Abgleichstabelle veröffentlicht. Theoretisch könnten Entwickler also durchaus auch Browser anbieten.

Wichtige Regularien für Cloud Services

Den vermutlich größten Einfluss auf die Industrie hat bislang vermutlich der Mindeststandard „Nutzung externer Cloud-Dienste“. Darin wird geregelt, welche Bedingungen Cloud-Anbieter erfüllen müssen, um vom Bund genutzt und beschafft werden zu dürfen. Den größten Teil der Anforderungen stellt der ebenfalls vom BSI veröffentlichte Anforderungskatalog C5, Kurzform für Cloud Computing Compliance Controls Catalogue. Darin werden auf 76 Seiten technische und organisatorische Belange formuliert.

Der Nachweis, ob der C5 erfüllt wird, kann über einen SOC2-Bericht (Service Organisation Control) erbracht werden – was cleverer Weise auf dem Testierungsregime der ISAE 3000 (International Standard for Assurance Engagements) beruht, was von Wirtschaftsprüfern verwendet wird. So können Wirtschaftsprüfer im Rahmen der normalen Jahresabschlüsse auch C5-Auditierung durchführen. Allerdings ist der C5 nur ein Teil des Mindeststandards, weitere Anforderungen aus anderen Quellen kommen hinzu.

Allein die Tatsache, dass fast alle großen Cloud-Anbieter, etwa Amazon Web Servcices (AWS), mittlerweile ein C5-Testat vorweisen können, zeigt die Bedeutung des Katalogs. Und entsprechend ergibt sich dann auch die Relevanz dieses Mindeststandards sowie des kleineren Bruders „Mitnutzung externer Cloud-Dienste“, der derzeit als Entwurf zur Kommentierung online steht.

Darin werden Regeln beschrieben, wie Cloud-Dienste zu nutzen sind, wenn kein Vertragsverhältnis zwischen Behörde und Anbieter besteht, man den Dienst beispielsweise bei einer Kooperation mit einem externen Partner lediglich „mitnutzt“. Das Thema ist äußerst komplex, aber wer dem Bund Cloud-Dienste anbieten möchte, und sei es nur eine einzelne Anwendung, sollte ein paar Stunden in die Lektüre investieren.

Fazit

Zu guter letzt gibt es auch noch Mindeststandards, die für Entwickler kaum interessant sind, derzeit etwa „HV-Benchmark kompakt“: Diese kompakte Version des Hochverfügbarkeits-Benchmark macht im Wesentlichen Vorgaben, welche Benchmarks Rechenzentren des Bunds bei den insgesamt 34 Indikatoren erreichen müssen. Extern könnte dies immer noch für Anbieter von Sicherheitslösungen für RZs relevant sein.

Kurzum: Wenn Sie Produkte für den Bund entwickeln wollen, sollten Sie sich mit den Mindeststandards Bund befassen – egal, ob Sie Security-Software oder Fachanwendungen vertreiben, bei Ausschreibungen können etwaige nicht erfüllte Anforderungen Ihr Aus bedeuten. Und konkrete Angaben, dass die relevanten Mindeststandards des BSI erfüllt werden, dürften Ihre Chancen nicht schmälern.

(ID:45258495)

Über den Autor

 Mirco Lang

Mirco Lang

Freier Journalist & BSIler