Suchen

Mindeststandards des BSI Wie Entwickler von Bund-Vorgaben profitieren

Autor / Redakteur: Mirco Lang / Stephan Augsten

Das Bundesamt für Sicherheit in der Informationstechnik gibt mit den „Mindeststandards Bund“ harte Vorgaben heraus. Zwar richten sich diese primär an den Bund richten, aber auch Länder, Kommunen und Entwickler sollten sich dafür interessieren.

Firma zum Thema

Von IT-Standards, wie sie für behördliche Einsatzszenarien gelten, können auch Entwickler profitieren und lernen.
Von IT-Standards, wie sie für behördliche Einsatzszenarien gelten, können auch Entwickler profitieren und lernen.
(Bild: TheDigitalArtist - Pixabay.com / CC0 )

Das BSI ist vor allem für den IT-Grundschutz bekannt. Dieses riesige, komplexe Rahmenwerk gibt Organisationen jeglicher Art und Größe die Möglichkeit, IT-Sicherheit standardisiert zu etablieren und diese auch zertifizieren zu lassen. Dabei gibt der Grundschutz tatsächlich nur einen Rahmen vor, innerhalb dessen mit unterschiedlichsten Maßnahmen unterschiedliche Sicherheitsniveaus geschaffen werden können.

Entwickler werden aus zwei Gründen selten um dieses Produkt herumkommen: Zum einen werden viele IT-Unternehmen selbst auf den Grundschutz setzen, zum anderen werden schlicht Kunden und Partner ein gewissens Maß an IT-Security verlangen, das in der Praxis eben häufig mit diesem BSI-Framework realisiert wird.

Die Mindeststandards des BSI nach § 8 Absatz 1 des BSI-Gesetzes (BSIG), oder Mindeststandards Bund, sind hingegen noch relativ jung und deutlich weniger bekannt. Das liegt insbesondere daran, dass die Entwicklung erst vor gut zwei Jahren wirklich begonnen hat, zuvor wurden vor allem Grundlagen geschaffen.

Noch dazu richten sich die Mindeststandards Bund eben an den Bund – und somit verglichen mit der Masse an Organisationen, die sich seit jeher mit dem Grundschutz befassen, an eine relativ kleine Zielgruppe. Allerdings sind eben auch Länder und Kommunen aufgerufen, die Mindeststandards Bund zu adaptieren – und dort besteht auch entsprechendes Interesse.

Ein weiterer Unterschied zum Grundschutz: Die Mindeststandards Bund sind kein loses Rahmenwerk mit möglichen Bedrohungen, möglichen Maßnahmen und einem Vorgehensmodell, sondern ganz konkrete Vorgaben für besonders relevante, schutzbedürftige Bereiche.

Der Umsetzungsplan Bund

Der UP Bund bietet 30 Seiten aufschlussreiche Lektüre.
Der UP Bund bietet 30 Seiten aufschlussreiche Lektüre.
(Bild: BSI)

Die Verbindlichkeit dieser Vorgaben ergibt sich unter anderem aus dem „Umsetzungsplan Bund 2017 – Leitlinie für Informationssicherheit in der Bundesverwaltung“ (UP Bund). Und auch wenn Länder und Kommunen nicht explizit verpflichtet werden (können), macht IT-Security natürlich nicht an den Rechenzentren des Bunds einfach Halt – und insofern werden beide schon aus praktischen Gründen die Mindeststandards im Auge behalten.

Der UP Bund liefert aber noch eine weitere Zielgruppe – nämlich Sie als Entwickler! Unter Punkt „7.1 IT-Dienstleister und Provider“ wird klargestellt, dass auch beauftragte Dienstleister die Vorgaben aus dem UP-Bund und ganz explizit auch die Mindeststandards einzuhalten haben. Das heißt, dass zum einen alle Unternehmen, die für die Bundesverwaltung arbeiten wollen, entsprechende Maßnahmen durchführen müssen; und zum anderen heißt das für Anbieter von Produkten, dass auch ihre Produkte konform sein müssen.

Um es ganz klar auszudrücken: Bereits bei der Vergabe – egal, ob über eine Organisation des Bunds selbst oder zentral über das Beschaffungsamt – werden die Mindeststandards nach § 8 Abs. 1 BSIG angewandt. Noch ist die Anzahl der Mindeststandards überschaubar, vielleicht sind Ihre Produkte noch gar nicht betroffen. Aber Sie sollten sich auf dem Laufenden halten und die bisherigen Veröffentlichungen kennen. Auch Kenntnisse über Aufbau und Erstellung von Mindeststandards sind nützlich – nicht zuletzt, weil sich auch die Öffentlichkeit an der Entwicklung beteiligen kann.

Inhalte, Entstehung und Beteiligung

Zunächst sollte klar sein, was Mindeststandards überhaupt definieren, und da drückt sich das BSI selbst bereits sehr klar aus: „Als gesetzliche Vorgabe definieren Mindeststandards ein konkretes Mindestniveau für die Informationssicherheit. Die Definition erfolgt auf Basis der fachlichen Expertise des BSI in der Überzeugung, dass dieses Mindestniveau in der Bundesverwaltung nicht unterschritten werden darf.“

Es werden also weder Best Practices noch Schutzmaßnahmen für Hochsicherheitsbereiche ausdefiniert. Vielmehr werden Maßnahmen gelistet, die ein sehr guter, sicherheitstechnisch ausgebildeter Administrator wohl weitestgehend als selbstverständlich abtun würde. Insofern sollte auch klar sein: Die Mindeststandards allein sorgen nur für ein Grundmaß an Sicherheit, das in sicherheitskritischen Bereichen keinesfalls ausreicht.

Adressieren können die Mindeststandards alles, was sicherheitstechnisch relevant ist, von der Beschaffung von Produkten, über deren Konfiguration, bis hin zu rein organisatorischen Maßnahmen. Erfreulicherweise setzt das BSI bei dem Thema auf Transparenz: Den gesamten Entstehungsprozess können Sie auf der Homepage unter „Standardisierte Vorgehensweise“ einsehen.

Die Kurzversion: In der ersten Phase werden geeignete Themen identifiziert, BSI-intern mit den Fachreferaten abgestimmt und zu einem internen Grobentwurf verarbeitet. In der zweiten Phase wird ein Entwurf zur Kommentierung an die Ressorts ausgegeben und anschließend mit den berücksichtigten Änderungen nochmals mit den Fachreferaten abgestimmt. In der dritten Phase wird dann die offizielle Hausmitzeichnung eingeleitet und der Mindeststandard veröffentlicht. Anschließend werden die Standards natürlich gepflegt und gegebenenfalls aktualisiert.

Ihre Beteiligung wird auf den BSI-Seiten leider nur in der grafischen Darstellung, nicht im Text erwähnt: In der zweiten Phase werden nicht bloß die anderen Ressorts und Bundesbehörden um kritische Durchsicht gebeten. Der Entwurf wird auch als Community-Draft in die Öffentlichkeit entlassen. Und hier ist jeder aufgerufen, sich zu beteiligen. Insbesondere Anbieter von konkret betroffenen Produkten, aber auch Beratungsunernehmen, die auf Rahmenverträge aus sind, haben hier eine gute Möglichkeit, vor der Verabschiedung eines letztlich verbindlichen Standards ihre Sicht und praktische Expertise einzubringen.

Konkrete Mindeststandards des BSI

Der Bund kann auch kurz: Gerade einmal zwei Seiten beschreiben den mächtigen TLS-Standard.
Der Bund kann auch kurz: Gerade einmal zwei Seiten beschreiben den mächtigen TLS-Standard.
(Bild: BSI)

Bis heute sind sechs fertige Mindeststandards sowie ein Entwurf veröffentlich worden – einige für die Öffentlichkeit wichtiger als andere. Der erste Standard ist der „Mindeststandard des BSI für den Einsatz des SSL/TLS-Protokolls durch Bundesbehörden“. Grob gesagt verpflichtet dieser Mindeststandard die Bundesverwaltung, jegliche Kommunikation außerhalb sicherer Netze verschlüsselt über TLS 1.2 mit Perfect Forward Secrecy (PFS) durchzuführen.

Der eigentliche Inhalt des Standards benötigt gerade einmal zwei Seiten, zeigt aber bereits, wie wichtig die Mindeststandards auch für Software-Entwickler sind: Egal, ob Sie einen Messenger, eine Fahrzeugverwaltung oder im Auftrag eine bestimmte Fachanwendung entwickeln, Sie müssen TLS-Verschlüsselung gemäß Mindeststandard berücksichtigen, sofern Sie mit dem Bund Geschäfte machen wollen.

Richtig konkret wird die Zielgruppe bei den Mindeststandards „Schnittstellenkontrolle“ und „Mobile Device Management“ (MDM). Beide Standards machen konkrete Vorgaben für die Beschaffung beziehungsweise Nutzung von MDM beziehungsweise Schnittstellenkontrollsoftware (etwa zum Schutz vor unbefugter Nutzung von USB-Ports am Arbeitsrechner). Software, die diesen Anforderungen nicht gerecht wird, dürfte bei Ausschreibungen nicht berücksichtigt werden.

Abgleich der größten Browser mit dem Mindeststandard „Sicherer Browser“.
Abgleich der größten Browser mit dem Mindeststandard „Sicherer Browser“.
(Bild: BSI)

Ebenfalls ein Produkt-Standard ist der Mindeststandard „Sichere Web-Browser“ – aber natürlich ein Sonderfall: Hier werden sehr viele Anforderungen formuliert, aber Browser dürften in der Regel nicht im herkömmlichen Sinne „beschafft“, also ausgeschrieben werden. Andererseits: Weder Internet Explorer noch Edge, Firefox oder Chrome haben zum Zeitpunkt der Veröffentlichung alle Punkte zu hundert Prozent erfüllt, jedenfalls nicht ohne weitere Maßnahmen. Für einen besseren Überblick hat das BSI eine Abgleichstabelle veröffentlicht. Theoretisch könnten Entwickler also durchaus auch Browser anbieten.

Wichtige Regularien für Cloud Services

Den vermutlich größten Einfluss auf die Industrie hat bislang vermutlich der Mindeststandard „Nutzung externer Cloud-Dienste“. Darin wird geregelt, welche Bedingungen Cloud-Anbieter erfüllen müssen, um vom Bund genutzt und beschafft werden zu dürfen. Den größten Teil der Anforderungen stellt der ebenfalls vom BSI veröffentlichte Anforderungskatalog C5, Kurzform für Cloud Computing Compliance Controls Catalogue. Darin werden auf 76 Seiten technische und organisatorische Belange formuliert.

Der Nachweis, ob der C5 erfüllt wird, kann über einen SOC2-Bericht (Service Organisation Control) erbracht werden – was cleverer Weise auf dem Testierungsregime der ISAE 3000 (International Standard for Assurance Engagements) beruht, was von Wirtschaftsprüfern verwendet wird. So können Wirtschaftsprüfer im Rahmen der normalen Jahresabschlüsse auch C5-Auditierung durchführen. Allerdings ist der C5 nur ein Teil des Mindeststandards, weitere Anforderungen aus anderen Quellen kommen hinzu.

Allein die Tatsache, dass fast alle großen Cloud-Anbieter, etwa Amazon Web Servcices (AWS), mittlerweile ein C5-Testat vorweisen können, zeigt die Bedeutung des Katalogs. Und entsprechend ergibt sich dann auch die Relevanz dieses Mindeststandards sowie des kleineren Bruders „Mitnutzung externer Cloud-Dienste“, der derzeit als Entwurf zur Kommentierung online steht.

Darin werden Regeln beschrieben, wie Cloud-Dienste zu nutzen sind, wenn kein Vertragsverhältnis zwischen Behörde und Anbieter besteht, man den Dienst beispielsweise bei einer Kooperation mit einem externen Partner lediglich „mitnutzt“. Das Thema ist äußerst komplex, aber wer dem Bund Cloud-Dienste anbieten möchte, und sei es nur eine einzelne Anwendung, sollte ein paar Stunden in die Lektüre investieren.

Fazit

Zu guter letzt gibt es auch noch Mindeststandards, die für Entwickler kaum interessant sind, derzeit etwa „HV-Benchmark kompakt“: Diese kompakte Version des Hochverfügbarkeits-Benchmark macht im Wesentlichen Vorgaben, welche Benchmarks Rechenzentren des Bunds bei den insgesamt 34 Indikatoren erreichen müssen. Extern könnte dies immer noch für Anbieter von Sicherheitslösungen für RZs relevant sein.

Kurzum: Wenn Sie Produkte für den Bund entwickeln wollen, sollten Sie sich mit den Mindeststandards Bund befassen – egal, ob Sie Security-Software oder Fachanwendungen vertreiben, bei Ausschreibungen können etwaige nicht erfüllte Anforderungen Ihr Aus bedeuten. Und konkrete Angaben, dass die relevanten Mindeststandards des BSI erfüllt werden, dürften Ihre Chancen nicht schmälern.

(ID:45258495)

Über den Autor

 Mirco Lang

Mirco Lang

Freier Journalist & BSIler