diff --git a/backend/library/libraries/it-grundschutz-kompendium-2023.yaml b/backend/library/libraries/it-grundschutz-kompendium-2023.yaml new file mode 100644 index 000000000..680506c42 --- /dev/null +++ b/backend/library/libraries/it-grundschutz-kompendium-2023.yaml @@ -0,0 +1,79555 @@ +urn: urn:intuitem:risk:library:it-grundschutz-kompendium-2023 +locale: de +ref_id: it-grundschutz-kompendium +name: "IT-Grundschutz-Kompendium \u2013 Werkzeug f\xFCr Informationssicherheit" +description: "Das IT-Grundschutz-Kompendium ist die grundlegende Ver\xF6ffentlichung\ + \ des IT-Grundschutzes. Zusammen mit den BSI-Standards bildet es die Basis f\xFC\ + r alle, die sich umfassend mit dem Thema Informationssicherheit befassen m\xF6chten." +copyright: Deutschland BSI +version: 1 +provider: BSI +packager: intuitem +objects: + framework: + urn: urn:intuitem:risk:framework:it-grundschutz-kompendium-2023 + ref_id: it-grundschutz-kompendium + name: "IT-Grundschutz-Kompendium \u2013 Werkzeug f\xFCr Informationssicherheit" + description: "Das IT-Grundschutz-Kompendium ist die grundlegende Ver\xF6ffentlichung\ + \ des IT-Grundschutzes. Zusammen mit den BSI-Standards bildet es die Basis f\xFC\ + r alle, die sich umfassend mit dem Thema Informationssicherheit befassen m\xF6\ + chten." + implementation_groups_definition: + - ref_id: B + name: Basis + description: null + - ref_id: S + name: Standard + description: null + - ref_id: E + name: "Erh\xF6hter Schutzbedarf" + description: null + requirement_nodes: + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app + assessable: false + depth: 1 + ref_id: APP + name: Anwendungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app + ref_id: APP.1.1 + name: Office-Produkte + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1 + ref_id: APP.1.1.A2 + name: "Einschr\xE4nken von Aktiven Inhalten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a2 + ref_id: APP.1.1.A2.1 + description: "Die Funktion, dass eingebettete Aktive Inhalte automatisch ausgef\xFC\ + hrt werden, MUSS deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a2 + ref_id: APP.1.1.A2.2 + description: "Falls es dennoch notwendig ist, Aktive Inhalte auszuf\xFChren,\ + \ MUSS darauf geachtet werden, dass Aktive Inhalte nur ausgef\xFChrt werden,\ + \ wenn sie aus vertrauensw\xFCrdigen Quellen stammen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a2 + ref_id: APP.1.1.A2.3 + description: "Alle Benutzenden M\xDCSSEN hinsichtlich der Funktionen, die Aktive\ + \ Inhalte einschr\xE4nken, eingewiesen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1 + ref_id: APP.1.1.A3 + name: "Sicheres \xD6ffnen von Dokumenten aus externen Quellen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a3 + ref_id: APP.1.1.A3.1 + description: "Alle aus externen Quellen bezogenen Dokumente M\xDCSSEN auf Schadsoftware\ + \ \xFCberpr\xFCft werden, bevor sie ge\xF6ffnet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a3 + ref_id: APP.1.1.A3.2 + description: "Alle als problematisch eingestuften und alle innerhalb der Institution\ + \ nicht ben\xF6tigten Dateiformate M\xDCSSEN verboten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a3 + ref_id: APP.1.1.A3.3 + description: "Falls m\xF6glich, SOLLTEN sie blockiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a3 + ref_id: APP.1.1.A3.4 + description: "Durch technische Ma\xDFnahmen SOLLTE erzwungen werden, dass Dokumente\ + \ aus externen Quellen gepr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1 + ref_id: APP.1.1.A6 + name: Testen neuer Versionen von Office-Produkten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a6 + ref_id: APP.1.1.A6.1 + description: "Neue Versionen von Office-Produkten SOLLTEN vor dem produktiven\ + \ Einsatz auf Kompatibilit\xE4t mit etablierten Arbeitsmitteln wie Makros,\ + \ Dokumentenvorlagen oder Formularen der Institution gepr\xFCft werden (Siehe\ + \ hierzu OPS.1.1.6 Software-Tests und -Freigaben)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a6 + ref_id: APP.1.1.A6.2 + description: Es SOLLTE sichergestellt sein, dass wichtige Arbeitsmittel auch + mit der neuen Software-Version einwandfrei funktionieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a6 + ref_id: APP.1.1.A6.3 + description: "Bei entdeckten Inkompatibilit\xE4ten SOLLTEN geeignete L\xF6sungen\ + \ f\xFCr die betroffenen Arbeitsmittel gefunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1 + ref_id: APP.1.1.A10 + name: Regelung der Software-Entwicklung durch Endbenutzende + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a10 + ref_id: APP.1.1.A10.1 + description: "F\xFCr die Software-Entwicklung auf Basis von Office-Anwendungen,\ + \ z. B. mit Makros, SOLLTEN verbindliche Regelungen getroffen werden (siehe\ + \ auch APP.1.1.A2 Einschr\xE4nken von Aktiven Inhalten)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a10 + ref_id: APP.1.1.A10.2 + description: "Zun\xE4chst SOLLTE in jeder Institution die Grundsatzentscheidung\ + \ getroffen werden, ob solche Eigenentwicklungen \xFCberhaupt erw\xFCnscht\ + \ sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a10 + ref_id: APP.1.1.A10.3 + description: Die Entscheidung SOLLTE in den betroffenen Sicherheitsrichtlinien + dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a10 + ref_id: APP.1.1.A10.4 + description: "Werden Eigenentwicklungen erlaubt, SOLLTE ein Verfahren f\xFC\ + r den Umgang mit entsprechenden Funktionen der Office-Produkte f\xFCr die\ + \ Endbenutzenden erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a10.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a10 + ref_id: APP.1.1.A10.5 + description: "Zust\xE4ndigkeiten SOLLTEN klar definiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a10.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a10 + ref_id: APP.1.1.A10.6 + description: "Alle notwendigen Informationen \xFCber die erstellten Anwendungen\ + \ SOLLTEN angemessen dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a10.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a10 + ref_id: APP.1.1.A10.7 + description: "Aktuelle Versionen der Regelungen SOLLTEN allen betroffenen Benutzenden\ + \ zeitnah zug\xE4nglich gemacht und von diesen beachtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1 + ref_id: APP.1.1.A11 + name: "Geregelter Einsatz von Erweiterungen f\xFCr Office-Produkte" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a11 + ref_id: APP.1.1.A11.1 + description: Alle Erweiterungen von Office-Produkten, wie Add-ons und Extensions, + SOLLTEN vor dem produktiven Einsatz genauso getestet werden wie neue Versionen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a11 + ref_id: APP.1.1.A11.2 + description: "Hierbei SOLLTE ausschlie\xDFlich auf isolierten Testsystemen getestet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a11 + ref_id: APP.1.1.A11.3 + description: "Die Tests SOLLTEN pr\xFCfen, ob Erweiterungen negative Auswirkungen\ + \ auf die Office-Produkte und die laufenden IT-Systeme haben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a11.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a11 + ref_id: APP.1.1.A11.4 + description: Die Tests der eingesetzten Erweiterungen SOLLTEN einem definierten + Testplan folgen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a11.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a11 + ref_id: APP.1.1.A11.5 + description: "Dieser Testplan SOLLTE so gestaltet sein, dass Dritte das Vorgehen\ + \ nachvollziehen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1 + ref_id: APP.1.1.A12 + name: Verzicht auf Cloud-Speicherung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a12 + ref_id: APP.1.1.A12.1 + description: "Die in einigen Office-Produkten integrierten Funktionen f\xFC\ + r Cloud-Speicher SOLLTEN grunds\xE4tzlich deaktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a12 + ref_id: APP.1.1.A12.2 + description: Alle Cloud-Laufwerke SOLLTEN deaktiviert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a12 + ref_id: APP.1.1.A12.3 + description: Alle Dokumente SOLLTEN durch die Benutzenden auf zentral verwalteten + Fileservern der Institution gespeichert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a12 + ref_id: APP.1.1.A12.4 + description: "Um Dokumente f\xFCr Dritte freizugeben, SOLLTEN spezialisierte\ + \ Anwendungen eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a12.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a12 + ref_id: APP.1.1.A12.5 + description: "Diese Anwendungen SOLLTEN mindestens \xFCber eine verschl\xFC\ + sselte Datenablage und -versendung sowie ein geeignetes System zur Konten-\ + \ und Rechteverwaltung verf\xFCgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1 + ref_id: APP.1.1.A13 + name: Verwendung von Viewer-Funktionen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a13 + ref_id: APP.1.1.A13.1 + description: "Daten aus potenziell unsicheren Quellen SOLLTEN automatisch in\ + \ einem gesch\xFCtzten Modus ge\xF6ffnet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a13 + ref_id: APP.1.1.A13.2 + description: Diese Funktion SOLLTE NICHT durch die Benutzenden deaktivierbar + sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a13 + ref_id: APP.1.1.A13.3 + description: "Eine Liste vertrauensw\xFCrdiger Quellen SOLLTE definiert werden,\ + \ von denen Inhalte unmittelbar ge\xF6ffnet und bearbeitet werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a13.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a13 + ref_id: APP.1.1.A13.4 + description: "In dem gesch\xFCtzten Modus SOLLTEN Daten NICHT unmittelbar bearbeitet\ + \ werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a13.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a13 + ref_id: APP.1.1.A13.5 + description: "Aktive Inhalte, wie Makros und Skripte, SOLLTEN im gesch\xFCtzten\ + \ Modus NICHT automatisch ausgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a13.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a13 + ref_id: APP.1.1.A13.6 + description: "Nur eine allgemeine Navigation SOLLTE erm\xF6glicht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a13.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a13 + ref_id: APP.1.1.A13.7 + description: "Wenn die Dokumente lediglich betrachtet werden sollen, SOLLTEN\ + \ entsprechende Viewer-Anwendungen verwendet werden, wenn diese verf\xFCgbar\ + \ sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1 + ref_id: APP.1.1.A14 + name: "Schutz gegen nachtr\xE4gliche Ver\xE4nderungen von Dokumenten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a14 + ref_id: APP.1.1.A14.1 + description: "Je nach geplantem Verwendungszweck von Dokumenten SOLLTEN Dokumente\ + \ geeignet gegen nachtr\xE4gliche Ver\xE4nderung gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1 + ref_id: APP.1.1.A15 + name: "Einsatz von Verschl\xFCsselung und Digitalen Signaturen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a15 + ref_id: APP.1.1.A15.1 + description: "Daten mit erh\xF6htem Schutzbedarf SOLLTEN nur verschl\xFCsselt\ + \ gespeichert bzw. \xFCbertragen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a15 + ref_id: APP.1.1.A15.2 + description: "Bevor ein in ein Office-Produkt integriertes Verschl\xFCsselungsverfahren\ + \ genutzt wird, SOLLTE gepr\xFCft werden, ob es einen ausreichenden Schutz\ + \ bietet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a15 + ref_id: APP.1.1.A15.3 + description: "Zus\xE4tzlich SOLLTE ein Verfahren eingesetzt werden, mit dem\ + \ Makros und Dokumente digital signiert werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1 + ref_id: APP.1.1.A16 + name: "Integrit\xE4tspr\xFCfung von Dokumenten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a16 + ref_id: APP.1.1.A16.1 + description: "Wenn Daten mit erh\xF6htem Schutzbedarf gespeichert oder \xFC\ + bertragen werden, SOLLTEN geeignete Verfahren zur Integrit\xE4tspr\xFCfung\ + \ eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a16 + ref_id: APP.1.1.A16.2 + description: "Falls Daten vor Manipulation gesch\xFCtzt werden sollen, SOLLTEN\ + \ dar\xFCber hinaus kryptografische Verfahren eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1 + ref_id: APP.1.1.A17 + name: Sensibilisierung zu spezifischen Office-Eigenschaften + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a17 + ref_id: APP.1.1.A17.1 + description: "Alle Benutzenden M\xDCSSEN geeignet bez\xFCglich der Gef\xE4hrdungen\ + \ durch Aktive Inhalte in Office-Dateien sensibilisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a17 + ref_id: APP.1.1.A17.2 + description: "Die Benutzenden M\xDCSSEN zum Umgang mit Dokumenten aus externen\ + \ Quellen geeignet sensibilisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a17 + ref_id: APP.1.1.A17.3 + description: "Die Benutzenden SOLLTEN \xFCber die M\xF6glichkeiten und Grenzen\ + \ von Sicherheitsfunktionen der eingesetzten Software und der genutzten Speicherformate\ + \ informiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a17.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a17 + ref_id: APP.1.1.A17.4 + description: "Den Benutzenden SOLLTE vermittelt werden, mit welchen Funktionen\ + \ sie Dokumente vor nachtr\xE4glicher Ver\xE4nderung und Bearbeitung sch\xFC\ + tzen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a17.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.1.a17 + ref_id: APP.1.1.A17.5 + description: "Benutzende SOLLTEN im Umgang mit den Verschl\xFCsselungsfunktionen\ + \ in Office-Produkten sensibilisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app + ref_id: APP.1.2 + name: Webbrowser + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2 + ref_id: APP.1.2.A1 + name: Verwendung von grundlegenden Sicherheitsmechanismen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a1 + ref_id: APP.1.2.A1.1 + description: Der eingesetzte Webbrowser MUSS sicherstellen, dass jede Instanz + und jeder Verarbeitungsprozess nur auf die eigenen Ressourcen zugreifen kann + (Sandboxing). + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a1 + ref_id: APP.1.2.A1.2 + description: "Webseiten M\xDCSSEN als eigenst\xE4ndige Prozesse oder mindestens\ + \ als eigene Threads voneinander isoliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a1 + ref_id: APP.1.2.A1.3 + description: "Plug-ins und Erweiterungen M\xDCSSEN ebenfalls in isolierten Bereichen\ + \ ausgef\xFChrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a1 + ref_id: APP.1.2.A1.4 + description: Der verwendete Webbrowser MUSS die Content Security Policy (CSP) + umsetzen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a1 + ref_id: APP.1.2.A1.5 + description: "Der aktuell h\xF6chste Level der CSP SOLLTE erf\xFCllt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a1 + ref_id: APP.1.2.A1.6 + description: "Der Browser MUSS Ma\xDFnahmen zur Same-Origin-Policy und Subresource\ + \ Integrity unterst\xFCtzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2 + ref_id: APP.1.2.A2 + name: "Unterst\xFCtzung sicherer Verschl\xFCsselung der Kommunikation" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a2 + ref_id: APP.1.2.A2.1 + description: "Der Webbrowser MUSS Transport Layer Security (TLS) in einer sicheren\ + \ Version unterst\xFCtzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a2 + ref_id: APP.1.2.A2.2 + description: "Verbindungen zu Webservern M\xDCSSEN mit TLS verschl\xFCsselt\ + \ werden, falls dies vom Webserver unterst\xFCtzt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a2 + ref_id: APP.1.2.A2.3 + description: Unsichere Versionen von TLS SOLLTEN deaktiviert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a2 + ref_id: APP.1.2.A2.4 + description: "Der Webbrowser MUSS den Sicherheitsmechanismus HTTP Strict Transport\ + \ Security (HSTS) gem\xE4\xDF RFC 6797 unterst\xFCtzen und einsetzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2 + ref_id: APP.1.2.A3 + name: "Verwendung von vertrauensw\xFCrdigen Zertifikaten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3 + ref_id: APP.1.2.A3.1 + description: "Falls der Webbrowser eine eigene Liste von vertrauensw\xFCrdigen\ + \ Wurzelzertifikaten bereitstellt, MUSS sichergestellt werden, dass nur der\ + \ IT-Betrieb diese \xE4ndern kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3 + ref_id: APP.1.2.A3.2 + description: "Falls dies nicht durch technische Ma\xDFnahmen m\xF6glich ist,\ + \ MUSS den Benutzenden verboten werden, diese Liste zu \xE4ndern." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3 + ref_id: APP.1.2.A3.3 + description: "Au\xDFerdem MUSS sichergestellt werden, dass der Webbrowser Zertifikate\ + \ lokal widerrufen kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3 + ref_id: APP.1.2.A3.4 + description: "Der Webbrowser MUSS die G\xFCltigkeit der Server-Zertifikate mithilfe\ + \ des \xF6ffentlichen Schl\xFCssels und unter Ber\xFCcksichtigung des G\xFC\ + ltigkeitszeitraums vollst\xE4ndig pr\xFCfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3 + ref_id: APP.1.2.A3.5 + description: "Auch der Sperrstatus der Server-Zertifikate MUSS vom Webbrowser\ + \ gepr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3 + ref_id: APP.1.2.A3.6 + description: "Die Zertifikatskette einschlie\xDFlich des Wurzelzertifikats MUSS\ + \ verifiziert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3 + ref_id: APP.1.2.A3.7 + description: "Der Webbrowser MUSS den Benutzenden eindeutig und gut sichtbar\ + \ darstellen, ob die Kommunikation im Klartext oder verschl\xFCsselt erfolgt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3 + ref_id: APP.1.2.A3.8 + description: "Der Webbrowser SOLLTE den Benutzenden auf Anforderung das verwendete\ + \ Serverzertifikat anzeigen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3 + ref_id: APP.1.2.A3.9 + description: "Der Webbrowser MUSS den Benutzenden signalisieren, wenn Zertifikate\ + \ fehlen, ung\xFCltig sind oder widerrufen wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a3 + ref_id: APP.1.2.A3.10 + description: "Der Webbrowser MUSS in diesem Fall die Verbindung abbrechen, bis\ + \ die Benutzenden diese ausdr\xFCcklich best\xE4tigt haben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2 + ref_id: APP.1.2.A6 + name: Kennwortmanagement im Webbrowser + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a6 + ref_id: APP.1.2.A6.1 + description: "Wird ein Kennwortmanager im Webbrowser verwendet, MUSS er eine\ + \ direkte und eindeutige Beziehung zwischen Webseite und hierf\xFCr gespeichertem\ + \ Kennwort herstellen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a6 + ref_id: APP.1.2.A6.2 + description: "Der Kennwortspeicher MUSS die Passw\xF6rter verschl\xFCsselt speichern." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a6 + ref_id: APP.1.2.A6.3 + description: "Es MUSS sichergestellt werden, dass auf die im Kennwortmanager\ + \ gespeicherten Passw\xF6rter nur nach Eingabe eines Master-Kennworts zugegriffen\ + \ werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a6 + ref_id: APP.1.2.A6.4 + description: "Au\xDFerdem MUSS sichergestellt sein, dass die Authentisierung\ + \ f\xFCr den kennwortgesch\xFCtzten Zugriff nur f\xFCr die aktuelle Sitzung\ + \ g\xFCltig ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a6 + ref_id: APP.1.2.A6.5 + description: "Der IT-Betrieb MUSS sicherstellen, dass der verwendete Browser\ + \ den Benutzenden die M\xF6glichkeit bietet, gespeicherte Passw\xF6rter zu\ + \ l\xF6schen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2 + ref_id: APP.1.2.A7 + name: Datensparsamkeit in Webbrowsern + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7 + ref_id: APP.1.2.A7.1 + description: Cookies von fremden Institutionen SOLLTEN im Webbrowser abgelehnt + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7 + ref_id: APP.1.2.A7.2 + description: "Gespeicherte Cookies SOLLTEN durch die Benutzenden gel\xF6scht\ + \ werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7 + ref_id: APP.1.2.A7.3 + description: "Die Funktion zur Autovervollst\xE4ndigung von Daten SOLLTE deaktiviert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7 + ref_id: APP.1.2.A7.4 + description: "Wird die Funktion dennoch genutzt, SOLLTEN die Benutzenden diese\ + \ Daten l\xF6schen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7 + ref_id: APP.1.2.A7.5 + description: "Die Benutzenden SOLLTE au\xDFerdem die Historiendaten des Webbrowsers\ + \ l\xF6schen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7 + ref_id: APP.1.2.A7.6 + description: Sofern vorhanden, SOLLTE eine Synchronisation des Webbrowsers mit + Cloud-Diensten deaktiviert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7 + ref_id: APP.1.2.A7.7 + description: "Telemetriefunktionen sowie das automatische Senden von Absturzberichten,\ + \ URL-Eingaben und Sucheingaben aus der Institution heraus oder an Externe\ + \ SOLLTEN soweit wie m\xF6glich deaktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7 + ref_id: APP.1.2.A7.8 + description: "Peripherieger\xE4te wie Mikrofon oder Webcam sowie Standortfreigaben\ + \ SOLLTEN nur f\xFCr Webseiten aktiviert werden, bei denen sie unbedingt ben\xF6\ + tigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a7 + ref_id: APP.1.2.A7.9 + description: "Der Browser SOLLTE eine M\xF6glichkeit bieten, WebRTC, HSTS und\ + \ JavaScript zu konfigurieren bzw. abzuschalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2 + ref_id: APP.1.2.A9 + name: Einsatz einer isolierten Webbrowser-Umgebung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a9 + ref_id: APP.1.2.A9.1 + description: Die Institution SOLLTE speziell abgesicherte, isolierte Browserumgebungen + einsetzen, wie z. B. ReCoBS oder virtualisierte Instanzen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2 + ref_id: APP.1.2.A10 + name: Verwendung des privaten Modus + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a10 + ref_id: APP.1.2.A10.1 + description: "Der Webbrowser SOLLTE bei erh\xF6hten Anforderungen bez\xFCglich\ + \ der Vertraulichkeit im sogenannten privaten Modus ausgef\xFChrt werden,\ + \ sodass keine Informationen oder Inhalte dauerhaft auf dem IT-System der\ + \ Benutzenden gespeichert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a10 + ref_id: APP.1.2.A10.2 + description: "Der Browser SOLLTE so konfiguriert werden, dass lokale Inhalte\ + \ beim Beenden gel\xF6scht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2 + ref_id: APP.1.2.A11 + name: "\xDCberpr\xFCfung auf sch\xE4dliche Inhalte" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a11 + ref_id: APP.1.2.A11.1 + description: "Aufgerufene Internetadressen SOLLTEN durch den Webbrowser auf\ + \ potenziell sch\xE4dliche Inhalte gepr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a11 + ref_id: APP.1.2.A11.2 + description: "Der Webbrowser SOLLTE die Benutzenden warnen, wenn Informationen\ + \ \xFCber sch\xE4dliche Inhalte vorliegen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a11 + ref_id: APP.1.2.A11.3 + description: "Eine als sch\xE4dlich klassifizierte Verbindung SOLLTE NICHT aufgerufen\ + \ werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a11.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a11 + ref_id: APP.1.2.A11.4 + description: "Das verwendete Verfahren zur \xDCberpr\xFCfung DARF NICHT gegen\ + \ Datenschutz- oder Geheimschutz-Vorgaben versto\xDFen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2 + ref_id: APP.1.2.A12 + name: Zwei-Browser-Strategie + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a12 + ref_id: APP.1.2.A12.1 + description: "F\xFCr den Fall von ungel\xF6sten Sicherheitsproblemen mit dem\ + \ verwendeten Webbrowser SOLLTE ein alternativer Browser mit einer anderen\ + \ Plattform installiert sein, der den Benutzenden als Ausweichm\xF6glichkeit\ + \ dient." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2 + ref_id: APP.1.2.A13 + name: Nutzung von DNS-over-HTTPS + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a13 + ref_id: APP.1.2.A13.1 + description: Die Institution MUSS entscheiden, ob die verwendeten Browser DNS-over-HTTPS + (DoH) verwenden sollen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a13 + ref_id: APP.1.2.A13.2 + description: "Die Browser M\xDCSSEN entsprechend dieser Entscheidung konfiguriert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.2.a13 + ref_id: APP.1.2.A13.3 + description: Falls ein interner DNS-Resolver verwendet wird, MUSS dieser auch + vom Browser verwendet werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app + ref_id: APP.1.4 + name: Mobile Anwendungen (Apps) + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4 + ref_id: APP.1.4.A1 + name: "Anforderungsanalyse f\xFCr die Nutzung von Apps" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a1 + ref_id: APP.1.4.A1.1 + description: "In der Anforderungsanalyse M\xDCSSEN insbesondere Risiken betrachtet\ + \ werden, die sich aus der mobilen Nutzung ergeben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a1 + ref_id: APP.1.4.A1.2 + description: "Die Institution MUSS pr\xFCfen, ob ihre Kontroll- und Einflussm\xF6\ + glichkeiten auf die Betriebssystemumgebung mobiler Endger\xE4te ausreichend\ + \ sind, um sie sicher nutzen zu k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4 + ref_id: APP.1.4.A3 + name: "Verteilung schutzbed\xFCrftiger Apps" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a3 + ref_id: APP.1.4.A3.1 + description: "Interne Apps der Institution und Apps, die schutzbed\xFCrftige\ + \ Informationen verarbeiten, SOLLTEN \xFCber einen institutionseigenen App\ + \ Store oder via MDM verteilt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4 + ref_id: APP.1.4.A5 + name: Minimierung und Kontrolle von App-Berechtigungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a5 + ref_id: APP.1.4.A5.1 + description: "Sicherheitsrelevante Berechtigungseinstellungen M\xDCSSEN so fixiert\ + \ werden, dass sie nicht durch Personen oder Apps ge\xE4ndert werden k\xF6\ + nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a5 + ref_id: APP.1.4.A5.2 + description: "Wo dies technisch nicht m\xF6glich ist, M\xDCSSEN die Berechtigungseinstellungen\ + \ regelm\xE4\xDFig gepr\xFCft und erneut gesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a5 + ref_id: APP.1.4.A5.3 + description: "Bevor eine App in einer Institution eingef\xFChrt wird, MUSS sichergestellt\ + \ werden, dass sie nur die minimal ben\xF6tigten App-Berechtigungen f\xFC\ + r ihre Funktion erh\xE4lt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a5 + ref_id: APP.1.4.A5.4 + description: "Nicht unbedingt notwendige Berechtigungen M\xDCSSEN hinterfragt\ + \ und gegebenenfalls unterbunden werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4 + ref_id: APP.1.4.A7 + name: Sichere Speicherung lokaler App-Daten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a7 + ref_id: APP.1.4.A7.1 + description: "Wenn Apps auf interne Dokumente der Institution zugreifen k\xF6\ + nnen, MUSS sichergestellt sein, dass die lokale Datenhaltung der App angemessen\ + \ abgesichert ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a7 + ref_id: APP.1.4.A7.2 + description: "Insbesondere M\xDCSSEN Zugriffsschl\xFCssel verschl\xFCsselt abgelegt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a7 + ref_id: APP.1.4.A7.3 + description: "Au\xDFerdem D\xDCRFEN vertrauliche Daten NICHT vom Betriebssystem\ + \ an anderen Ablageorten zwischengespeichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4 + ref_id: APP.1.4.A8 + name: Verhinderung von Datenabfluss + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a8 + ref_id: APP.1.4.A8.1 + description: "Um zu verhindern, dass Apps ungewollt vertrauliche Daten versenden\ + \ oder aus den gesendeten Daten Profile \xFCber die Benutzenden erstellt werden,\ + \ MUSS die App-Kommunikation geeignet eingeschr\xE4nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a8 + ref_id: APP.1.4.A8.2 + description: Dazu SOLLTE die Kommunikation im Rahmen des Test- und Freigabeverfahrens + analysiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a8 + ref_id: APP.1.4.A8.3 + description: "Weiterhin SOLLTE \xFCberpr\xFCft werden, ob eine App ungewollte\ + \ Protokollierungs- oder Hilfsdateien schreibt, die m\xF6glicherweise vertrauliche\ + \ Informationen enthalten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4 + ref_id: APP.1.4.A12 + name: Sichere Deinstallation von Apps + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a12 + ref_id: APP.1.4.A12.1 + description: "Werden Apps deinstalliert, SOLLTEN auch Daten gel\xF6scht werden,\ + \ die auf externen Systemen, beispielsweise bei den App-Anbietenden, gespeichert\ + \ wurden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4 + ref_id: APP.1.4.A14 + name: "Unterst\xFCtzung zus\xE4tzlicher Authentisierungsmerkmale bei Apps" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a14 + ref_id: APP.1.4.A14.1 + description: "Falls m\xF6glich, SOLLTE f\xFCr die Authentisierung in Apps ein\ + \ zweiter Faktor benutzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a14 + ref_id: APP.1.4.A14.2 + description: "Hierbei SOLLTE darauf geachtet werden, dass eventuell ben\xF6\ + tigte Sensoren oder Schnittstellen in allen verwendeten Ger\xE4ten vorhanden\ + \ sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a14 + ref_id: APP.1.4.A14.3 + description: "Zus\xE4tzlich SOLLTE bei biometrischen Verfahren ber\xFCcksichtigt\ + \ werden, wie resistent die Authentisierung gegen m\xF6gliche F\xE4lschungsversuche\ + \ ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4 + ref_id: APP.1.4.A15 + name: "Durchf\xFChrung von Penetrationstests f\xFCr Apps" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a15 + ref_id: APP.1.4.A15.1 + description: "Bevor eine App f\xFCr den Einsatz freigegeben wird, SOLLTE ein\ + \ Penetrationstest durchgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a15 + ref_id: APP.1.4.A15.2 + description: "Dabei SOLLTEN alle Kommunikationsschnittstellen zu Backend-Systemen\ + \ sowie die lokale Speicherung von Daten auf m\xF6gliche Sicherheitsl\xFC\ + cken untersucht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a15 + ref_id: APP.1.4.A15.3 + description: "Die Penetrationstests SOLLTEN regelm\xE4\xDFig und zus\xE4tzlich\ + \ bei gr\xF6\xDFeren \xC4nderungen an der App wiederholt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4 + ref_id: APP.1.4.A16 + name: Mobile Application Management + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.1.4.a16 + ref_id: APP.1.4.A16.1 + description: "Falls m\xF6glich, SOLLTE f\xFCr das zentrale Konfigurieren von\ + \ dienstlichen Apps ein Mobile Application Management verwendet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app + ref_id: APP.2.1 + name: Allgemeiner Verzeichnisdienst + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 + ref_id: APP.2.1.A1 + name: "Erstellung einer Sicherheitsrichtlinie f\xFCr Verzeichnisdienste" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a1 + ref_id: APP.2.1.A1.1 + description: "Es MUSS eine Sicherheitsrichtlinie f\xFCr den Verzeichnisdienst\ + \ erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a1 + ref_id: APP.2.1.A1.2 + description: "Diese SOLLTE mit dem \xFCbergreifenden Sicherheitskonzept der\ + \ gesamten Institution abgestimmt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 + ref_id: APP.2.1.A2 + name: Planung des Einsatzes von Verzeichnisdiensten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a2 + ref_id: APP.2.1.A2.1 + description: "Der Einsatz von Verzeichnisdiensten MUSS sorgf\xE4ltig geplant\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a2 + ref_id: APP.2.1.A2.2 + description: Die konkrete Nutzung des Verzeichnisdienstes MUSS festgelegt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a2 + ref_id: APP.2.1.A2.3 + description: Es MUSS sichergestellt sein, dass der Verzeichnisdienst und alle + ihn verwendenden Anwendungen kompatibel sind. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a2 + ref_id: APP.2.1.A2.4 + description: "Zudem MUSS ein Konzept f\xFCr eine Struktur aus Objektklassen\ + \ und Attributtypen entwickelt werden, dass den Anspr\xFCchen der vorgesehenen\ + \ Nutzungsarten gen\xFCgt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a2 + ref_id: APP.2.1.A2.5 + description: "Bei der Planung eines Verzeichnisdienstes, der personenbezogene\ + \ Daten beinhaltet, M\xDCSSEN Personalvertretung und Datenschutzbeauftragte\ + \ beteiligt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a2.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a2 + ref_id: APP.2.1.A2.6 + description: Es MUSS ein bedarfsgerechtes Berechtigungskonzept zum Verzeichnisdienst + entworfen werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a2.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a2 + ref_id: APP.2.1.A2.7 + description: "Generell SOLLTE die geplante Verzeichnisdienststruktur vollst\xE4\ + ndig dokumentiert und die Dokumentation bei \xC4nderungen fortgeschrieben\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a2.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a2 + ref_id: APP.2.1.A2.8 + description: "Ma\xDFnahmen SOLLTEN geplant und umgesetzt werden, die es unterbinden,\ + \ aus dem Verzeichnisdienst unbefugt Daten sammeln zu k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 + ref_id: APP.2.1.A3 + name: Einrichtung von Zugriffsberechtigungen auf Verzeichnisdienste + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a3 + ref_id: APP.2.1.A3.1 + description: "Die Administration des Verzeichnisdienstes selbst und die eigentliche\ + \ Verwaltung der Daten M\xDCSSEN getrennt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a3 + ref_id: APP.2.1.A3.2 + description: Alle administrativen Aufgabenbereiche und Berechtigungen SOLLTEN + ausreichend dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a3 + ref_id: APP.2.1.A3.3 + description: "Bei einer eventuellen Zusammenf\xFChrung mehrerer Verzeichnisdienstb\xE4\ + ume M\xDCSSEN die daraus resultierenden effektiven Rechte kontrolliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 + ref_id: APP.2.1.A5 + name: "Sichere Konfiguration und Konfigurations\xE4nderungen von Verzeichnisdiensten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a5 + ref_id: APP.2.1.A5.1 + description: Der Verzeichnisdienst MUSS sicher konfiguriert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a5 + ref_id: APP.2.1.A5.2 + description: "F\xFCr die sichere Konfiguration einer Verzeichnisdienste-Infrastruktur\ + \ M\xDCSSEN neben dem Server auch die Clients (IT-Systeme und Anwendungen)\ + \ einbezogen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a5 + ref_id: APP.2.1.A5.3 + description: "Wird die Konfiguration des Verzeichnisdienstes oder der mit ihm\ + \ vernetzten IT-Systeme ge\xE4ndert, SOLLTEN die Benutzenden rechtzeitig \xFC\ + ber Wartungsarbeiten informiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 + ref_id: APP.2.1.A6 + name: Sicherer Betrieb von Verzeichnisdiensten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a6 + ref_id: APP.2.1.A6.1 + description: Die Sicherheit des Verzeichnisdienstes MUSS im Betrieb permanent + aufrechterhalten werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a6 + ref_id: APP.2.1.A6.2 + description: Alle den Betrieb eines Verzeichnisdienst-Systems betreffenden Richtlinien, + Regelungen und Prozesse SOLLTEN nachvollziehbar dokumentiert und aktuell gehalten + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a6 + ref_id: APP.2.1.A6.3 + description: "Sofern der Verzeichnisdienst zur Verwaltung von Anmeldedaten verwendet\ + \ wird, M\xDCSSEN dedizierte Clients bei der Fernwartung eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a6 + ref_id: APP.2.1.A6.4 + description: "Der Zugriff auf alle Administrationswerkzeuge MUSS f\xFCr normale\ + \ Benutzende unterbunden werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 + ref_id: APP.2.1.A8 + name: Planung einer Partitionierung im Verzeichnisdienst + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a8 + ref_id: APP.2.1.A8.1 + description: "Sofern eine Partitionierung geplant ist, SOLLTE sich diese an\ + \ den Schutzzielen des Verzeichnisdienstes orientieren und diese geeignet\ + \ unterst\xFCtzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a8 + ref_id: APP.2.1.A8.2 + description: "Eine Partitionierung SOLLTE so geplant werden, dass sie die Schadensauswirkungen\ + \ bei Sicherheitsvorf\xE4llen begrenzt, die unabh\xE4ngige Administration\ + \ verschiedener Partitionen erm\xF6glicht und organisatorischen bzw. Sicherheitsgrenzen\ + \ folgt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 + ref_id: APP.2.1.A9 + name: "Geeignete Auswahl von Komponenten f\xFCr Verzeichnisdienste" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a9 + ref_id: APP.2.1.A9.1 + description: "F\xFCr den Einsatz eines Verzeichnisdienstes SOLLTEN geeignete\ + \ Komponenten identifiziert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a9 + ref_id: APP.2.1.A9.2 + description: "Es SOLLTE unter Ber\xFCcksichtigung von APP.6 Allgemeine Software\ + \ ein Anforderungskatalog erstellt werden, nach dem die Komponenten f\xFC\ + r den Verzeichnisdienst ausgew\xE4hlt und beschafft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a9 + ref_id: APP.2.1.A9.3 + description: Im Rahmen der Planung und Konzeption des Verzeichnisdienstes SOLLTEN + passend zum Einsatzzweck Anforderungen an dessen Sicherheit formuliert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a9 + ref_id: APP.2.1.A9.4 + description: "Insbesondere SOLLTE bereits bei der Produktauswahl ber\xFCcksichtigt\ + \ werden, wie weitere Sicherheitsanforderungen unter Einsatz der jeweiligen\ + \ Komponente umgesetzt werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 + ref_id: APP.2.1.A11 + name: Einrichtung des Zugriffs auf Verzeichnisdienste + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a11 + ref_id: APP.2.1.A11.1 + description: Der Zugriff auf den Verzeichnisdienst SOLLTE entsprechend der Sicherheitsrichtlinie + konfiguriert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a11 + ref_id: APP.2.1.A11.2 + description: "Wird der Verzeichnisdienst als Server im Internet eingesetzt,\ + \ SOLLTE er entsprechend durch ein Sicherheitsgateway gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 + ref_id: APP.2.1.A12 + name: "\xDCberwachung von Verzeichnisdiensten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a12 + ref_id: APP.2.1.A12.1 + description: Verzeichnisdienste SOLLTEN gemeinsam mit dem Server beobachtet + und protokolliert werden, auf dem sie betrieben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a12 + ref_id: APP.2.1.A12.2 + description: "Insbesondere \xC4nderungen innerhalb des Verzeichnisdienstes sowie\ + \ Konfigurations\xE4nderungen des Verzeichnisdienstes SOLLTEN vorrangig protokolliert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 + ref_id: APP.2.1.A13 + name: Absicherung der Kommunikation mit Verzeichnisdiensten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a13 + ref_id: APP.2.1.A13.1 + description: "Werden vertrauliche Informationen \xFCbertragen, SOLLTE die gesamte\ + \ Kommunikation mit dem Verzeichnisdienst \xFCber ein sicheres Protokoll entsprechend\ + \ der Technischen Richtlinie TR-02102 des BSI (z. B. TLS) verschl\xFCsselt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a13 + ref_id: APP.2.1.A13.2 + description: Der Datenaustausch zwischen Client und Verzeichnisdienst-Server + SOLLTE abgesichert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a13 + ref_id: APP.2.1.A13.3 + description: Es SOLLTE definiert werden, auf welche Daten zugegriffen werden + darf. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 + ref_id: APP.2.1.A14 + name: "Geregelte Au\xDFerbetriebnahme eines Verzeichnisdienstes" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a14 + ref_id: APP.2.1.A14.1 + description: "Bei einer Au\xDFerbetriebnahme des Verzeichnisdienstes SOLLTE\ + \ sichergestellt sein, dass weiterhin ben\xF6tigte Rechte bzw. Informationen\ + \ in ausreichendem Umfang zur Verf\xFCgung stehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a14 + ref_id: APP.2.1.A14.2 + description: "Alle anderen Rechte und Informationen SOLLTEN gel\xF6scht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a14 + ref_id: APP.2.1.A14.3 + description: "Zudem SOLLTEN die Benutzenden dar\xFCber informiert werden, wenn\ + \ ein Verzeichnisdienst au\xDFer Betrieb genommen wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a14.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a14 + ref_id: APP.2.1.A14.4 + description: "Bei der Au\xDFerbetriebnahme einzelner Partitionen eines Verzeichnisdienstes\ + \ SOLLTE darauf geachtet werden, dass dadurch andere Partitionen nicht beeintr\xE4\ + chtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 + ref_id: APP.2.1.A15 + name: Migration von Verzeichnisdiensten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a15 + ref_id: APP.2.1.A15.1 + description: Bei einer geplanten Migration von Verzeichnisdiensten SOLLTE vorab + ein Migrationskonzept erstellt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a15 + ref_id: APP.2.1.A15.2 + description: "In dem Migrationskonzept SOLLTE ber\xFCcksichtigt werden, ob das\ + \ Berechtigungsmanagement von altem und neuem Verzeichnisdienst analog funktioniert\ + \ oder ob neue Berechtigungsstrukturen erforderlich sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a15 + ref_id: APP.2.1.A15.3 + description: "Die Schema-\xC4nderungen, die am Verzeichnisdienst vorgenommen\ + \ wurden, SOLLTEN vor der Migration analysiert und dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a15.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a15 + ref_id: APP.2.1.A15.4 + description: "Weitreichende Berechtigungen, die dazu verwendet wurden, die Migration\ + \ des Verzeichnisdienstes durchzuf\xFChren, SOLLTEN wieder zur\xFCckgesetzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a15.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a15 + ref_id: APP.2.1.A15.5 + description: "Bei der Migration SOLLTE ber\xFCcksichtigt werden, dass IT-Systeme,\ + \ die auf den Verzeichnisdienst zugreifen, gegebenenfalls lokale Caches vorhalten\ + \ oder aus anderen Gr\xFCnden dort eine Aktualisierung der migrierten Verzeichnisdienstinhalte\ + \ initiiert werden muss." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 + ref_id: APP.2.1.A16 + name: "Erstellung eines Notfallplans f\xFCr den Ausfall eines Verzeichnisdienstes" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a16 + ref_id: APP.2.1.A16.1 + description: "Im Rahmen der Notfallvorsorge SOLLTE es eine bedarfsgerechte Notfallplanung\ + \ f\xFCr Verzeichnisdienste geben." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a16 + ref_id: APP.2.1.A16.2 + description: "F\xFCr den Ausfall wichtiger Verzeichnisdienst-Systeme SOLLTEN\ + \ Notfallpl\xE4ne vorliegen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a16 + ref_id: APP.2.1.A16.3 + description: "Alle Notfall-Prozeduren f\xFCr die gesamte Systemkonfiguration\ + \ der Verzeichnisdienst-Komponenten SOLLTEN dokumentiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 + ref_id: APP.2.1.A17 + name: "Absicherung von schutzbed\xFCrftigen Anmeldeinformationen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a17 + ref_id: APP.2.1.A17.1 + description: "F\xFCr Attribute, die schutzbed\xFCrftige Anmeldeinformationen\ + \ wie beispielsweise Passw\xF6rter enthalten, MUSS der Zugriff stark eingeschr\xE4\ + nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 + ref_id: APP.2.1.A18 + name: Planung einer Replikation im Verzeichnisdienst + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a18 + ref_id: APP.2.1.A18.1 + description: Bei jeder Replikation MUSS festgelegt werden, welches Ziel diese + Replikation verfolgt. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a18 + ref_id: APP.2.1.A18.2 + description: "Daf\xFCr SOLLTEN eine Replikationstopologie und -strategie gew\xE4\ + hlt werden, die zum Ziel bzw. Einsatzszenario passen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a18 + ref_id: APP.2.1.A18.3 + description: "Bei Replikationen, die nicht der Hochverf\xFCgbarkeit des Dienstes\ + \ dienen, MUSS der replizierte Inhalt des Verzeichnisdienstes auf die erforderlichen\ + \ Objekte beschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a18.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a18 + ref_id: APP.2.1.A18.4 + description: "Um die Replikationen zeitgerecht ausf\xFChren zu k\xF6nnen, SOLLTE\ + \ eine ausreichende Bandbreite sichergestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 + ref_id: APP.2.1.A19 + name: Umgang mit anonymen Zugriffen auf Verzeichnisdienste + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a19 + ref_id: APP.2.1.A19.1 + description: "Sollen anonymen Benutzenden auf einzelne Teilbereiche des Verzeichnisbaums\ + \ Zugriffe einger\xE4umt werden, so SOLLTE hierf\xFCr ein Proxy-Dienst vorgelagert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a19 + ref_id: APP.2.1.A19.2 + description: "Dieser Proxy-Dienst SOLLTE \xFCber ein gesondertes Konto, einen\ + \ sogenannten Proxy-User, auf den eigentlichen Verzeichnisdienst zugreifen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a19.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a19 + ref_id: APP.2.1.A19.3 + description: "Die Zugriffsrechte f\xFCr diesen Proxy-User SOLLTEN hinreichend\ + \ restriktiv vergeben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a19.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a19 + ref_id: APP.2.1.A19.4 + description: Sie SOLLTEN zudem wieder komplett entzogen werden, wenn der Account + nicht mehr gebraucht wird. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a19.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a19 + ref_id: APP.2.1.A19.5 + description: "Damit nicht versehentlich schutzbed\xFCrftige Informationen herausgegeben\ + \ werden, SOLLTE die Suchfunktion des Verzeichnisdienstes dem Einsatzzweck\ + \ angemessen eingeschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 + ref_id: APP.2.1.A20 + name: Absicherung der Replikation + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a20 + ref_id: APP.2.1.A20.1 + description: "Replikationen von vertraulichen Inhalten SOLLTEN zus\xE4tzlich\ + \ zu einer Verschl\xFCsselung auf Applikations- oder Transportebene durch\ + \ z. B. IPsec gesichert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a20.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a20 + ref_id: APP.2.1.A20.2 + description: "F\xFCr die Authentisierung im Rahmen der Replikation SOLLTEN m\xF6\ + glichst starke Authentisierungsverfahren verwendet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1 + ref_id: APP.2.1.A21 + name: "Hochverf\xFCgbarkeit des Verzeichnisdienstes" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a21 + ref_id: APP.2.1.A21.1 + description: "Es SOLLTE eine geeignete Strategie zur Hochverf\xFCgbarkeit gew\xE4\ + hlt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a21.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a21 + ref_id: APP.2.1.A21.2 + description: "Hierbei SOLLTE entschieden werden, ob eine Master-Master-Replikation\ + \ oder Master-Replica-Replikation (fr\xFCher als Master-Slave-Replikation\ + \ bezeichnet) geeigneter ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a21.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.1.a21 + ref_id: APP.2.1.A21.3 + description: "Es SOLLTEN auch Randbedingungen wie verteilte Standorte oder Verhalten\ + \ bei Inkonsistenzen ber\xFCcksichtigt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app + ref_id: APP.2.2 + name: 'Active Directory Domain Services ' + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 + ref_id: APP.2.2.A1 + name: Planung von Active Directory Domain Services + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a1 + ref_id: APP.2.2.A1.1 + description: "Es MUSS eine Funktionsebene f\xFCr die Dom\xE4ne(n) und die Gesamtstruktur\ + \ von mindestens Windows Server 2016 gew\xE4hlt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a1 + ref_id: APP.2.2.A1.2 + description: "Ein bedarfsgerechtes Berechtigungskonzept f\xFCr die Dom\xE4ne(n)\ + \ und die Gesamtstruktur MUSS entworfen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a1 + ref_id: APP.2.2.A1.3 + description: "Dabei MUSS ber\xFCcksichtigt werden, dass zwischen den einzelnen\ + \ Dom\xE4nen einer Gesamtstruktur produktbedingt keine Sicherheitsgrenzen\ + \ bestehen und daher keine sichere Begrenzung der administrativen Bereiche\ + \ innerhalb einer Gesamtstruktur m\xF6glich ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a1 + ref_id: APP.2.2.A1.4 + description: "Administrative Delegationen M\xDCSSEN mit restriktiven und bedarfsgerechten\ + \ Berechtigungen ausgestattet sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a1 + ref_id: APP.2.2.A1.5 + description: "Die geplante Struktur einschlie\xDFlich etwaiger Schema-\xC4nderungen\ + \ MUSS nachvollziehbar dokumentiert sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 + ref_id: APP.2.2.A3 + name: Planung der Gruppenrichtlinien unter Windows + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a3 + ref_id: APP.2.2.A3.1 + description: Es MUSS ein Konzept zur Einrichtung von Gruppenrichtlinien vorliegen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a3 + ref_id: APP.2.2.A3.2 + description: "Mehrfach\xFCberdeckungen M\xDCSSEN beim Gruppenrichtlinienkonzept\ + \ m\xF6glichst vermieden werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a3 + ref_id: APP.2.2.A3.3 + description: "In der Dokumentation des Gruppenrichtlinienkonzepts M\xDCSSEN\ + \ Ausnahmeregelungen erkannt werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a3 + ref_id: APP.2.2.A3.4 + description: "Alle Gruppenrichtlinienobjekte M\xDCSSEN durch restriktive Zugriffsrechte\ + \ gesch\xFCtzt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a3 + ref_id: APP.2.2.A3.5 + description: "F\xFCr die Parameter in allen Gruppenrichtlinienobjekten M\xDC\ + SSEN sichere Vorgaben festgelegt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 + ref_id: APP.2.2.A5 + name: "Absicherung des Dom\xE4nencontrollers" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a5 + ref_id: APP.2.2.A5.1 + description: "Aufgrund der zentralen Rolle und der Schadensauswirkung bei Kompromittierung\ + \ des AD DS f\xFCr die Infrastruktur SOLLTE eine Risikobetrachtung durchgef\xFC\ + hrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a5 + ref_id: APP.2.2.A5.2 + description: "Der Notfallzugriff auf den Dom\xE4nencontroller mit dem lokalen\ + \ Restore-Konto DSRM (Directory Services Restore Mode) MUSS im Rahmen des\ + \ Notfallmanagements geplant werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a5 + ref_id: APP.2.2.A5.3 + description: "Auf dem Dom\xE4nencontroller MUSS eine ausreichende Gr\xF6\xDF\ + e f\xFCr das Sicherheitsprotokoll auf Grundlage des in DER.1 Detektion von\ + \ sicherheitsrelevanten Ereignissen festgelegten Zeitraums eingestellt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a5 + ref_id: APP.2.2.A5.4 + description: "Aufgrund der zentralen Bedeutung des Dom\xE4nencontrollers SOLLTEN\ + \ auf diesem Server keine weiteren Dienste betrieben werden, sofern diese\ + \ nicht zwingend auf dem gleichen Server zum Betrieb des AD DS erforderlich\ + \ sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 + ref_id: APP.2.2.A6 + name: Sichere Konfiguration von Vertrauensbeziehungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a6 + ref_id: APP.2.2.A6.1 + description: "Alle Vertrauensbeziehungen zwischen Dom\xE4nen und zwischen Gesamtstrukturen\ + \ M\xDCSSEN regelm\xE4\xDFig auf ihre Notwendigkeit und Absicherungsma\xDF\ + nahmen evaluiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a6 + ref_id: APP.2.2.A6.2 + description: "Dabei MUSS gepr\xFCft werden, ob eine bidirektionale Vertrauensbeziehung\ + \ notwendig ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a6 + ref_id: APP.2.2.A6.3 + description: "Wenn eine Dom\xE4ne keine bidirektionale Vertrauensbeziehung zu\ + \ anderen Dom\xE4nen in der Gesamtstruktur ben\xF6tigt, SOLLTE diese Dom\xE4\ + ne in eine eigene Gesamtstruktur ausgelagert werden, da innerhalb einer Gesamtstruktur\ + \ produktbedingt keine Anpassung der Vertrauensbeziehungen m\xF6glich ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a6 + ref_id: APP.2.2.A6.4 + description: Die SID-(Security Identifier)-Filterung bei Vertrauensstellungen + zwischen Gesamtstrukturen DARF NICHT deaktiviert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a6 + ref_id: APP.2.2.A6.5 + description: "Die voreingestellten SIDs D\xDCRFEN NICHT entfernt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a6.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a6 + ref_id: APP.2.2.A6.6 + description: "Hat der in der Gesamtstruktur abgebildete Informationsverbund,\ + \ dem vertraut wird, kein ausreichendes Sicherheitsniveau, MUSS f\xFCr die\ + \ Vertrauensbeziehung zu dieser Gesamtstruktur \u201ESelective Authentication\u201C\ + \ verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 + ref_id: APP.2.2.A7 + name: "Umsetzung sicherer Verwaltungsmethoden f\xFCr Active Directory" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a7 + ref_id: APP.2.2.A7.1 + description: "Es MUSS sichergestellt sein, dass die Konten von Dienste-Administrierenden\ + \ ausschlie\xDFlich von Mitgliedern der Gruppe der Dienste-Administrierenden\ + \ verwaltet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a7 + ref_id: APP.2.2.A7.2 + description: "Bevor Konten vordefinierten AD-DS-Gruppen hinzugef\xFCgt werden,\ + \ SOLLTE gepr\xFCft werden, ob alle der Gruppe zugeh\xF6rigen Rechte f\xFC\ + r die mit den Konten verbundenen T\xE4tigkeiten erforderlich sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a7 + ref_id: APP.2.2.A7.3 + description: "Den Gruppen \u201ESchema-Admins\u201C / \u201ESchema-Administratoren\u201C\ + \ sowie der Gruppe \u201EEnterprise Admins\u201C / \u201EOrganisations-Administratoren\u201C\ + \ und \u201EDomain Admins\u201C / \u201EDom\xE4nen-Administratoren\u201C SOLLTEN\ + \ neben dem AD-DS-Built-In-Konto f\xFCr Administrierende weitere administrative\ + \ Konten nur tempor\xE4r f\xFCr den Zeitraum zugewiesen werden, in dem sie\ + \ diese Berechtigungen ben\xF6tigen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 + ref_id: APP.2.2.A8 + name: "Absicherung des \u201ESicheren Kanals\u201C" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a8 + ref_id: APP.2.2.A8.1 + description: "Der \u201ESichere Kanal\u201C SOLLTE so konfiguriert sein, dass\ + \ alle \xFCbertragenen Daten immer verschl\xFCsselt und signiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 + ref_id: APP.2.2.A9 + name: Schutz der Authentisierung beim Einsatz von AD DS + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a9 + ref_id: APP.2.2.A9.1 + description: In der Gesamtstruktur SOLLTE konsequent das Authentisierungsprotokoll + Kerberos eingesetzt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a9 + ref_id: APP.2.2.A9.2 + description: "Dabei SOLLTE f\xFCr die Absicherung AES128_HMAC_SHA1 oder AES256_HMAC_SHA1\ + \ verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a9 + ref_id: APP.2.2.A9.3 + description: "Wenn aus Kompatibilit\xE4tsgr\xFCnden \xFCbergangsweise NTLMv2\ + \ eingesetzt wird, SOLLTE die Migration auf Kerberos geplant und terminiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a9 + ref_id: APP.2.2.A9.4 + description: "Die LM-Authentisierung und NTLMv1 M\xDCSSEN deaktiviert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a9.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a9 + ref_id: APP.2.2.A9.5 + description: Der SMB-Datenverkehr MUSS signiert sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a9.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a9 + ref_id: APP.2.2.A9.6 + description: SMBv1 MUSS deaktiviert sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a9.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a9 + ref_id: APP.2.2.A9.7 + description: "Anonyme Zugriffe auf Dom\xE4nencontroller SOLLTEN unterbunden\ + \ sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a9.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a9 + ref_id: APP.2.2.A9.8 + description: LDAP-Sitzungen SOLLTEN nur signiert und mit konfiguriertem Channel + Binding Token (CBT) erfolgen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 + ref_id: APP.2.2.A12 + name: "Datensicherung f\xFCr Dom\xE4nencontroller" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a12 + ref_id: APP.2.2.A12.1 + description: "Aufgrund der besonderen Gef\xE4hrdung der unsicher gespeicherten\ + \ Passw\xF6rter SOLLTE der Zugriff auf die Backups des Dom\xE4nencontrollers\ + \ vergleichbar dem Zugriff auf den Dom\xE4nencontroller selbst abgesichert\ + \ sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 + ref_id: APP.2.2.A15 + name: Auslagerung der Administration in eine eigene Gesamtstruktur + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a15 + ref_id: APP.2.2.A15.1 + description: "Besonders kritische IT-Systeme und Konten zur Administration der\ + \ Dom\xE4nen oder der Gesamtstruktur SOLLTEN in eine eigene Gesamtstruktur\ + \ (h\xE4ufig als \u201ERed Forest\u201C bezeichnet) ausgegliedert werden,\ + \ zu der von der zu verwaltenden Gesamtstruktur eine einseitige Vertrauensstellung\ + \ besteht." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a15 + ref_id: APP.2.2.A15.2 + description: "Dies SOLLTE im Rahmen des Notfallmanagements bei der Erstellung\ + \ des Notfallhandbuchs besonders ber\xFCcksichtigt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 + ref_id: APP.2.2.A16 + name: "H\xE4rtung der AD-DS-Konten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16 + ref_id: APP.2.2.A16.1 + description: "Built-in-AD-DS-Konten M\xDCSSEN mit komplexen Passw\xF6rtern versehen\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16 + ref_id: APP.2.2.A16.2 + description: "Sie D\xDCRFEN NUR als Notfallkonten dienen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16 + ref_id: APP.2.2.A16.3 + description: "Das Built-in \u201EGuest\u201C- / \u201EGast\u201C-Konto MUSS\ + \ deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16 + ref_id: APP.2.2.A16.4 + description: "Die Berechtigungen f\xFCr die Gruppe \u201EEveryone\u201C / \u201E\ + Jeder\u201C MUSS beschr\xE4nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16 + ref_id: APP.2.2.A16.5 + description: "Privilegierte Konten M\xDCSSEN Mitglied der Gruppe \u201EProtected\ + \ Users\u201C / \u201EGesch\xFCtze Benutzer\u201C sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16 + ref_id: APP.2.2.A16.6 + description: "F\xFCr Dienstkonten M\xDCSSEN (Group) Managed Service Accounts\ + \ verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16 + ref_id: APP.2.2.A16.7 + description: "Vor dem L\xF6schen nicht mehr verwendeter Konten MUSS gepr\xFC\ + ft werden, nach welcher Aufbewahrungsfrist diese gel\xF6scht werden k\xF6\ + nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16 + ref_id: APP.2.2.A16.8 + description: "Dabei M\xDCSSEN die Auswirkungen auf die Detektion und gesetzliche\ + \ Aufbewahrungs- und L\xF6schfristen ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a16 + ref_id: APP.2.2.A16.9 + description: "Der Zugriff auf das AdminSDHolder-Objekt SOLLTE zum Schutz der\ + \ Berechtigungen besonders gesch\xFCtzt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 + ref_id: APP.2.2.A17 + name: "Anmelderestriktionen f\xFCr hochprivilegierte Konten der Gesamtstruktur\ + \ auf Clients und Servern" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a17 + ref_id: APP.2.2.A17.1 + description: "Die Anmeldung von hochpriviligierten Dom\xE4nen- und Gesamtstruktur-Konten\ + \ und Gruppen MUSS technisch auf die minimal notwendigen IT-Systeme einschr\xE4\ + nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a17 + ref_id: APP.2.2.A17.2 + description: "Insbesondere die Anmeldung von Mitgliedern der Gruppen \u201E\ + Schema Admins\u201C / \u201ESchema-Administratoren\u201C, \u201EEnterprise\ + \ Admins\u201C / \u201EEnterprise-Administratoren\u201C und \u201EDomain Admins\u201C\ + \ / \u201EDom\xE4nen-Administratoren\u201C SOLLTE technisch auf den Dom\xE4\ + nencontroller beschr\xE4nkt werden, eine Anmeldung an anderen IT-Systemen\ + \ ist f\xFCr diese Gruppen also zu unterbinden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 + ref_id: APP.2.2.A18 + name: "Einschr\xE4nken des Hinzuf\xFCgens neuer Computer-Objekte zur Dom\xE4\ + ne" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a18 + ref_id: APP.2.2.A18.1 + description: "Die Berechtigung, in der Dom\xE4ne neue Computer-Objekte hinzuzuf\xFC\ + gen, MUSS auf die notwendigen administrativen Konten beschr\xE4nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 + ref_id: APP.2.2.A19 + name: "Betrieb von virtualisierten Dom\xE4nencontrollern" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a19 + ref_id: APP.2.2.A19.1 + description: "Virtualisierte Dom\xE4nencontroller SOLLTEN nicht gemeinsam mit\ + \ weiteren virtuell betriebenen IT-Systemen auf dem gleichen physischen Host\ + \ betrieben werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a19 + ref_id: APP.2.2.A19.2 + description: "Bei der Absicherung der administrativen Konten f\xFCr den Zugriff\ + \ \xFCber die Virtualisierungsschicht SOLLTE ber\xFCcksichtigt werden, dass\ + \ diese Vollzugriffe auf den Dom\xE4nencontroller haben und dieser dann vergleichbar\ + \ mit dem der Gruppe \u201EDomain Admins\u201C / \u201EDom\xE4nen-Administratoren\u201C\ + \ ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a19.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a19 + ref_id: APP.2.2.A19.3 + description: "Der Virtualisierungshost, die IT-Systeme, die am Virtualisierungsmanagement\ + \ beteiligt sind sowie die Administrationskonten f\xFCr die Virtualisierungsschicht\ + \ SOLLTEN NICHT zur Gesamtstruktur geh\xF6ren, zu der der virtualisierte Dom\xE4\ + nencontroller geh\xF6rt." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 + ref_id: APP.2.2.A20 + name: Trennung von Organisationseinheiten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a20 + ref_id: APP.2.2.A20.1 + description: "Organisationseinheiten, die aus IT-Sicherheitsgr\xFCnden oder\ + \ sonstigen Gr\xFCnden Unabh\xE4ngigkeit voneinander gew\xE4hrleisten m\xFC\ + ssen, SOLLTEN sich nicht in der gleichen Gesamtstruktur befinden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 + ref_id: APP.2.2.A21 + name: Konfiguration eines Schichtenmodells + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a21 + ref_id: APP.2.2.A21.1 + description: Die Berechtigungsstruktur innerhalb der Gesamtstruktur SOLLTE in + Schichten, die sich am Schutzbedarf der Konten, IT-Systeme und Anwendungen + orientieren, entworfen werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a21.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a21 + ref_id: APP.2.2.A21.2 + description: "Bei dieser Strukturierung SOLLTEN alle Konten, IT-Systeme und\ + \ Anwendungen innerhalb einer Gesamtstruktur eindeutig einer Schicht zugeordnet\ + \ werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a21.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a21 + ref_id: APP.2.2.A21.3 + description: "Konten einer h\xF6heren Schicht SOLLTEN sich nicht auf Ressourcen\ + \ einer niedrigeren Schicht anmelden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a21.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a21 + ref_id: APP.2.2.A21.4 + description: "Konten einer niedrigeren Schicht SOLLTEN keine Kontrollm\xF6glichkeit\ + \ \xFCber Konten und Ressourcen h\xF6herer Schichten besitzen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 + ref_id: APP.2.2.A22 + name: "Zeitlich befristete Berechtigungen f\xFCr die Administration" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a22 + ref_id: APP.2.2.A22.1 + description: "Konten, die f\xFCr die Administration verwendet werden, SOLLTEN\ + \ nur bei Bedarf auf das ben\xF6tigte Zeitfenster befristetet die f\xFCr die\ + \ administrative Aufgabe notwendigen Berechtigungen zugewiesen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a23 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2 + ref_id: APP.2.2.A23 + name: "Regelm\xE4\xDFige Analyse von Berechtigungen und resultierenden Angriffspfaden" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a23.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a23 + ref_id: APP.2.2.A23.1 + description: "Aufgrund der Komplexit\xE4t von Berechtigungen, die nicht immer\ + \ unmittelbar ersichtlich sind, SOLLTE eine regelm\xE4\xDFige Analyse der\ + \ Berechtigungsstrukturen im AD DS vorgenommen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a23.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a23 + ref_id: APP.2.2.A23.2 + description: "Insbesondere Berechtigungen, die durch die Integration von Anwendungen\ + \ in AD DS entstehen (beispielsweise Microsoft Exchange) SOLLTEN kritisch\ + \ auf ihre Notwendigkeit hin gepr\xFCft und auf die minimal notwendigen Berechtigungen\ + \ reduziert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a23.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a23 + ref_id: APP.2.2.A23.3 + description: "Aktualisierungen k\xF6nnen ebenfalls auch Berechtigungsstrukturen\ + \ im AD DS \xE4ndern, daher SOLLTE die Analyse auch nach entsprechenden Aktualisierungen\ + \ durchgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a23.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a23 + ref_id: APP.2.2.A23.4 + description: "M\xF6gliche Angriffspfade \xFCber die Berechtigungen der AD-DS-Konten,\ + \ die beispielsweise bei Kompromittierung von Konten zur Kompromittierung\ + \ der Dom\xE4ne bzw. der vollst\xE4ndigen Gesamtstruktur f\xFChren, SOLLTEN\ + \ m\xF6glichst gering sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a23.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.2.a23 + ref_id: APP.2.2.A23.5 + description: "Die Aktivit\xE4ten der verbleibenden, als kritisch identifizierten\ + \ Konten SOLLTEN besonders \xFCberwacht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app + ref_id: APP.2.3 + name: OpenLDAP + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3 + ref_id: APP.2.3.A1 + name: "Planung und Auswahl von Backends und Overlays f\xFCr OpenLDAP" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a1 + ref_id: APP.2.3.A1.1 + description: "Der Einsatz von OpenLDAP in einer Institution MUSS sorgf\xE4ltig\ + \ geplant werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a1 + ref_id: APP.2.3.A1.2 + description: "Soll OpenLDAP gemeinsam mit anderen Anwendungen verwendet werden,\ + \ so M\xDCSSEN die Planung, Konfiguration und Installation der Anwendungen\ + \ mit OpenLDAP aufeinander abgestimmt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a1 + ref_id: APP.2.3.A1.3 + description: "F\xFCr die zur Datenhaltung verwendete Datenbank MUSS sichergestellt\ + \ werden, dass die verwendete Version kompatibel ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a1 + ref_id: APP.2.3.A1.4 + description: "Backends und Overlays f\xFCr OpenLDAP M\xDCSSEN restriktiv selektiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a1 + ref_id: APP.2.3.A1.5 + description: Dazu MUSS sichergestellt werden, dass die OpenLDAP-Overlays in + der korrekten Reihenfolge eingesetzt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a1 + ref_id: APP.2.3.A1.6 + description: "Bei der Planung von OpenLDAP M\xDCSSEN die auszuw\xE4hlenden und\ + \ unterst\xFCtzten Client-Anwendungen ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3 + ref_id: APP.2.3.A3 + name: Sichere Konfiguration von OpenLDAP + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a3 + ref_id: APP.2.3.A3.1 + description: "F\xFCr die sichere Konfiguration von OpenLDAP MUSS der slapd-Server\ + \ korrekt konfiguriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a3 + ref_id: APP.2.3.A3.2 + description: "Es M\xDCSSEN auch die verwendeten Client-Anwendungen sicher konfiguriert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a3 + ref_id: APP.2.3.A3.3 + description: Bei der Konfiguration von OpenLDAP MUSS darauf geachtet werden, + dass im Betriebssystem die Berechtigungen korrekt gesetzt sind. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a3 + ref_id: APP.2.3.A3.4 + description: "Die Vorgabewerte aller relevanten Konfigurationsdirektiven von\ + \ OpenLDAP M\xDCSSEN gepr\xFCft und gegebenenfalls angepasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a3 + ref_id: APP.2.3.A3.5 + description: "Die Backends und Overlays von OpenLDAP M\xDCSSEN in die Konfiguration\ + \ einbezogen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a3.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a3 + ref_id: APP.2.3.A3.6 + description: "F\xFCr die Suche innerhalb von OpenLDAP M\xDCSSEN angemessene\ + \ Zeit- und Gr\xF6\xDFenbeschr\xE4nkungen festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a3.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a3 + ref_id: APP.2.3.A3.7 + description: "Die Konfiguration am slapd-Server MUSS nach jeder \xC4nderung\ + \ gepr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3 + ref_id: APP.2.3.A4 + name: Konfiguration der durch OpenLDAP verwendeten Datenbank + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a4 + ref_id: APP.2.3.A4.1 + description: "Die Zugriffsrechte f\xFCr neu angelegte Datenbankdateien M\xDC\ + SSEN auf die Kennung beschr\xE4nkt werden, in deren Kontext der slapd-Server\ + \ betrieben wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a4 + ref_id: APP.2.3.A4.2 + description: "Die Standard-Einstellungen der von OpenLDAP genutzten Datenbank\ + \ M\xDCSSEN angepasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3 + ref_id: APP.2.3.A5 + name: Sichere Vergabe von Zugriffsrechten auf dem OpenLDAP + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a5 + ref_id: APP.2.3.A5.1 + description: "Die in OpenLDAP gef\xFChrten globalen und datenbankspezifischen\ + \ Zugriffskontrolllisten (Access Control Lists) M\xDCSSEN beim Einsatz von\ + \ OpenLDAP korrekt ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a5 + ref_id: APP.2.3.A5.2 + description: "Datenbank-Direktiven M\xDCSSEN Vorrang vor globalen Direktiven\ + \ haben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3 + ref_id: APP.2.3.A6 + name: "Sichere Authentisierung gegen\xFCber OpenLDAP" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a6 + ref_id: APP.2.3.A6.1 + description: "Wenn der Verzeichnisdienst zwischen verschiedenen Benutzenden\ + \ unterscheiden soll, M\xDCSSEN sich diese geeignet authentisieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a6 + ref_id: APP.2.3.A6.2 + description: "Die Authentisierung zwischen dem slapd-Server und den Kommunikationsbeteiligten\ + \ MUSS verschl\xFCsselt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a6 + ref_id: APP.2.3.A6.3 + description: "Es SOLLTEN NUR die Hashwerte von Passw\xF6rtern auf den Clients\ + \ und Servern abgespeichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a6 + ref_id: APP.2.3.A6.4 + description: Es MUSS ein geeigneter Hashing-Algorithmus verwendet werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3 + ref_id: APP.2.3.A8 + name: "Einschr\xE4nkungen von Attributen bei OpenLDAP" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a8 + ref_id: APP.2.3.A8.1 + description: "Anhand von Overlays SOLLTEN die Attribute in OpenLDAP eingeschr\xE4\ + nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a8 + ref_id: APP.2.3.A8.2 + description: "OpenLDAP SOLLTE so angepasst werden, dass Werte im Verzeichnisdienst\ + \ nur einem bestimmten regul\xE4ren Ausdruck entsprechen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a8 + ref_id: APP.2.3.A8.3 + description: Zudem SOLLTE mit Hilfe von Overlays sichergestellt werden, das + ausgesuchte Werte nur einmal im Verzeichnisbaum vorhanden sind. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a8 + ref_id: APP.2.3.A8.4 + description: "Solche Restriktionen SOLLTEN ausschlie\xDFlich auf Daten von Nutzenden\ + \ angewendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3 + ref_id: APP.2.3.A9 + name: Partitionierung und Replikation bei OpenLDAP + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a9 + ref_id: APP.2.3.A9.1 + description: "Bei einer Partitionierung oder Replikation von OpenLDAP SOLLTE\ + \ die Aufteilung geeignet f\xFCr die Sicherheitsziele ausgew\xE4hlt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a9 + ref_id: APP.2.3.A9.2 + description: "Dabei SOLLTEN Ver\xE4nderungen an den Daten durch Replikation\ + \ zwischen den Servern ausgetauscht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a9 + ref_id: APP.2.3.A9.3 + description: "Ein Replikationsmodus SOLLTE in Abh\xE4ngigkeit von Netzverbindungen\ + \ und Verf\xFCgbarkeitsanforderungen gew\xE4hlt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3 + ref_id: APP.2.3.A10 + name: Sichere Aktualisierung von OpenLDAP + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a10 + ref_id: APP.2.3.A10.1 + description: "Bei Updates SOLLTE darauf geachtet werden, ob die \xC4nderungen\ + \ eingesetzte Backends oder Overlays sowie Softwareabh\xE4ngigkeiten betreffen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a10 + ref_id: APP.2.3.A10.2 + description: "Beim Update auf neue Releases SOLLTE gepr\xFCft werden, ob die\ + \ verwendeten Overlays und Backends in der neuen Version weiterhin zur Verf\xFC\ + gung stehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a10 + ref_id: APP.2.3.A10.3 + description: "Ist dies nicht der Fall, SOLLTEN geeignete Migrationspfade ausgew\xE4\ + hlt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a10 + ref_id: APP.2.3.A10.4 + description: "Setzen Administrierende eigene Skripte ein, SOLLTEN sie daraufhin\ + \ \xFCberpr\xFCft werden, ob sie mit der aktualisierten Version von OpenLDAP\ + \ problemlos zusammenarbeiten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a10.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a10 + ref_id: APP.2.3.A10.5 + description: "Die Konfiguration und die Zugriffsrechte SOLLTEN nach einer Aktualisierung\ + \ sorgf\xE4ltig gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3 + ref_id: APP.2.3.A11 + name: "Einschr\xE4nkung der OpenLDAP-Laufzeitumgebung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a11 + ref_id: APP.2.3.A11.1 + description: "Die Laufzeitumgebung des slapd-Servers SOLLTE, m\xF6glichst mit\ + \ Mitteln des Betriebssystems, auf die minimal ben\xF6tigten Dateien, Verzeichnisse\ + \ und vom Betriebssystem bereitgestellten Funktionen eingeschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a11 + ref_id: APP.2.3.A11.2 + description: "Werden hierf\xFCr Containerisierungstechniken eingesetzt, SOLLTEN\ + \ diese unter Ber\xFCcksichtigung von SYS.1.6 Containerisierung genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.2.3.a11 + ref_id: APP.2.3.A11.3 + description: "Wird der slapd-Server als exklusiver Dienst auf einem dedizierten\ + \ Server betrieben, SOLLTE dieser ausreichend geh\xE4rtet sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app + ref_id: APP.3.1 + name: Webanwendungen und Webservices + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1 + ref_id: APP.3.1.A1 + name: Authentisierung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a1 + ref_id: APP.3.1.A1.1 + description: "Der IT-Betrieb MUSS Webanwendungen und Webservices so konfigurieren,\ + \ dass sich Clients gegen\xFCber der Webanwendung oder dem Webservice authentisieren\ + \ m\xFCssen, wenn diese auf gesch\xFCtzte Ressourcen zugreifen wollen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a1 + ref_id: APP.3.1.A1.2 + description: "Daf\xFCr MUSS eine angemessene Authentisierungsmethode ausgew\xE4\ + hlt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a1 + ref_id: APP.3.1.A1.3 + description: Der Auswahlprozess SOLLTE dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a1 + ref_id: APP.3.1.A1.4 + description: "Der IT-Betrieb MUSS geeignete Grenzwerte f\xFCr fehlgeschlagene\ + \ Anmeldeversuche festlegen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1 + ref_id: APP.3.1.A4 + name: Kontrolliertes Einbinden von Dateien und Inhalten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a4 + ref_id: APP.3.1.A4.1 + description: "Falls eine Webanwendung oder ein Webservice eine Upload-Funktion\ + \ f\xFCr Dateien anbietet, MUSS diese Funktion durch den IT-Betrieb so weit\ + \ wie m\xF6glich eingeschr\xE4nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a4 + ref_id: APP.3.1.A4.2 + description: "Insbesondere M\xDCSSEN die erlaubte Dateigr\xF6\xDFe, erlaubte\ + \ Dateitypen und erlaubte Speicherorte festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a4 + ref_id: APP.3.1.A4.3 + description: "Es MUSS festgelegt werden, welche Clients die Funktion verwenden\ + \ d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a4 + ref_id: APP.3.1.A4.4 + description: "Auch M\xDCSSEN Zugriffs- und Ausf\xFChrungsrechte restriktiv gesetzt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a4 + ref_id: APP.3.1.A4.5 + description: "Zudem MUSS sichergestellt werden, dass Clients Dateien nur im\ + \ vorgegebenen erlaubten Speicherort speichern k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1 + ref_id: APP.3.1.A7 + name: Schutz vor unerlaubter automatisierter Nutzung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a7 + ref_id: APP.3.1.A7.1 + description: "Der IT-Betrieb MUSS sicherstellen, dass Webanwendungen und Webservices\ + \ vor unberechtigter automatisierter Nutzung gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a7 + ref_id: APP.3.1.A7.2 + description: "Dabei MUSS jedoch ber\xFCcksichtigt werden, wie sich die Schutzmechanismen\ + \ auf die Nutzungsm\xF6glichkeiten berechtigter Clients auswirken." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a7 + ref_id: APP.3.1.A7.3 + description: "Wenn die Webanwendung RSS-Feeds oder andere Funktionen enth\xE4\ + lt, die explizit f\xFCr die automatisierte Nutzung vorgesehen sind, MUSS dies\ + \ ebenfalls bei der Konfiguration der Schutzmechanismen ber\xFCcksichtigt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1 + ref_id: APP.3.1.A8 + name: Systemarchitektur + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a8 + ref_id: APP.3.1.A8.1 + description: "Sicherheitsaspekte SOLLTEN bereits w\xE4hrend der Planung von\ + \ Webanwendungen und Webservices betrachtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a8 + ref_id: APP.3.1.A8.2 + description: "Auch SOLLTE darauf geachtet werden, dass die Architektur der Webanwendung\ + \ oder des Webservice die Gesch\xE4ftslogik der Institution exakt erfasst\ + \ und korrekt umsetzt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1 + ref_id: APP.3.1.A9 + name: Beschaffung von Webanwendungen und Webservices + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9 + ref_id: APP.3.1.A9.1 + description: "Zus\xE4tzlich zu den allgemeinen Aspekten der Beschaffung von\ + \ Software SOLLTE die Institution mindestens folgendes bei der Beschaffung\ + \ von Webanwendungen und Webservices ber\xFCcksichtigen:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9 + ref_id: APP.3.1.A9.2 + description: "\u2022 sichere Eingabevalidierung und Ausgabekodierung," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9 + ref_id: APP.3.1.A9.3 + description: "\u2022 sicheres Session-Management," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9 + ref_id: APP.3.1.A9.4 + description: "\u2022 sichere kryptografische Verfahren," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9 + ref_id: APP.3.1.A9.5 + description: "\u2022 sichere Authentisierungsverfahren," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9 + ref_id: APP.3.1.A9.6 + description: "\u2022 sichere Verfahren zum serverseitigen Speichern von Zugangsdaten," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9 + ref_id: APP.3.1.A9.7 + description: "\u2022 geeignetes Berechtigungsmanagement," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9 + ref_id: APP.3.1.A9.8 + description: "\u2022 ausreichende Protokollierungsm\xF6glichkeiten," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9 + ref_id: APP.3.1.A9.9 + description: "\u2022 regelm\xE4\xDFige Sicherheitsupdates durch den Entwickelnden\ + \ der Software," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9 + ref_id: APP.3.1.A9.10 + description: "\u2022 Schutzmechanismen vor verbreiteten Angriffen auf Webanwendungen\ + \ und Webservices sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a9 + ref_id: APP.3.1.A9.11 + description: "\u2022 Zugriff auf den Quelltext der Webanwendung oder des Webservices." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1 + ref_id: APP.3.1.A11 + name: Sichere Anbindung von Hintergrundsystemen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a11 + ref_id: APP.3.1.A11.1 + description: "Der Zugriff auf Hintergrundsysteme, auf denen Funktionen und Daten\ + \ ausgelagert werden, SOLLTE ausschlie\xDFlich \xFCber definierte Schnittstellen\ + \ und von definierten IT-Systemen aus m\xF6glich sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a11 + ref_id: APP.3.1.A11.2 + description: "Bei der Kommunikation \xFCber Netz- und Standortgrenzen hinweg\ + \ SOLLTE der Datenverkehr authentisiert und verschl\xFCsselt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1 + ref_id: APP.3.1.A12 + name: Sichere Konfiguration + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12 + ref_id: APP.3.1.A12.1 + description: "Webanwendungen und Webservices SOLLTEN so konfiguriert sein, dass\ + \ auf ihre Ressourcen und Funktionen ausschlie\xDFlich \xFCber die vorgesehenen,\ + \ abgesicherten Kommunikationspfade zugegriffen werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12 + ref_id: APP.3.1.A12.2 + description: "Der Zugriff auf nicht ben\xF6tigte Ressourcen und Funktionen SOLLTE\ + \ deaktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12 + ref_id: APP.3.1.A12.3 + description: "Falls dies nicht m\xF6glich ist, SOLLTE der Zugriff soweit wie\ + \ m\xF6glich eingeschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12 + ref_id: APP.3.1.A12.4 + description: 'Folgendes SOLLTE bei der Konfiguration von Webanwendungen und + Webservices umgesetzt werden:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12 + ref_id: APP.3.1.A12.5 + description: "\u2022 Deaktivieren nicht ben\xF6tigter HTTP-Methoden," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12 + ref_id: APP.3.1.A12.6 + description: "\u2022 Konfigurieren der Zeichenkodierung," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12 + ref_id: APP.3.1.A12.7 + description: "\u2022 Vermeiden von sicherheitsrelevanten Informationen in Fehlermeldungen\ + \ und Antworten," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12 + ref_id: APP.3.1.A12.8 + description: "\u2022 Speichern von Konfigurationsdateien au\xDFerhalb des Web-Root-Verzeichnisses\ + \ sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a12 + ref_id: APP.3.1.A12.9 + description: "\u2022 Festlegen von Grenzwerten f\xFCr Zugriffsversuche." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1 + ref_id: APP.3.1.A14 + name: Schutz vertraulicher Daten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a14 + ref_id: APP.3.1.A14.1 + description: "Der IT-Betrieb MUSS sicherstellen, dass Zugangsdaten zur Webanwendung\ + \ oder zum Webservice serverseitig mithilfe von sicheren kryptografischen\ + \ Algorithmen vor unbefugtem Zugriff gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a14 + ref_id: APP.3.1.A14.2 + description: "Dazu M\xDCSSEN Salted Hash-Verfahren verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a14 + ref_id: APP.3.1.A14.3 + description: "Die Dateien mit den Quelltexten der Webanwendung oder des Webservices\ + \ M\xDCSSEN vor unerlaubten Abrufen gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1 + ref_id: APP.3.1.A20 + name: Einsatz von Web Application Firewalls + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a20 + ref_id: APP.3.1.A20.1 + description: Institutionen SOLLTEN Web Application Firewalls (WAF) einsetzen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a20.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a20 + ref_id: APP.3.1.A20.2 + description: "Die Konfiguration der eingesetzten WAF SOLLTE auf die zu sch\xFC\ + tzende Webanwendung oder den Webservice angepasst werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a20.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a20 + ref_id: APP.3.1.A20.3 + description: "Nach jedem Update der Webanwendung oder des Webservices SOLLTE\ + \ die Konfiguration der WAF gepr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1 + ref_id: APP.3.1.A21 + name: Sichere HTTP-Konfiguration bei Webanwendungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21 + ref_id: APP.3.1.A21.1 + description: Zum Schutz vor Clickjacking, Cross-Site-Scripting und anderen Angriffen + SOLLTE der IT-Betrieb geeignete HTTP-Response-Header setzen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21 + ref_id: APP.3.1.A21.2 + description: 'Dazu SOLLTEN mindestens die folgenden HTTP-Header verwendet werden:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21 + ref_id: APP.3.1.A21.3 + description: "\u2022 Content-Security-Policy," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21 + ref_id: APP.3.1.A21.4 + description: "\u2022 Strict-Transport-Security," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21 + ref_id: APP.3.1.A21.5 + description: "\u2022 Content-Type," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21 + ref_id: APP.3.1.A21.6 + description: "\u2022 X-Content-Type-Options sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21 + ref_id: APP.3.1.A21.7 + description: "\u2022 Cache-Control." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21 + ref_id: APP.3.1.A21.8 + description: "Die verwendeten HTTP-Header SOLLTEN so restriktiv wie m\xF6glich\ + \ sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a21 + ref_id: APP.3.1.A21.9 + description: "Cookies SOLLTEN grunds\xE4tzlich mit den Attributen secure, SameSite\ + \ und httponly gesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1 + ref_id: APP.3.1.A22 + name: Penetrationstest und Revision + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a22 + ref_id: APP.3.1.A22.1 + description: "Webanwendungen und Webservices SOLLTEN regelm\xE4\xDFig auf Sicherheitsprobleme\ + \ hin \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a22.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a22 + ref_id: APP.3.1.A22.2 + description: "Insbesondere SOLLTEN regelm\xE4\xDFig Revisionen durchgef\xFC\ + hrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a22.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a22 + ref_id: APP.3.1.A22.3 + description: "Die Ergebnisse SOLLTEN nachvollziehbar dokumentiert, ausreichend\ + \ gesch\xFCtzt und vertraulich behandelt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a22.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a22 + ref_id: APP.3.1.A22.4 + description: Abweichungen SOLLTE nachgegangen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a22.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.1.a22 + ref_id: APP.3.1.A22.5 + description: Die Ergebnisse SOLLTEN dem ISB vorgelegt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app + ref_id: APP.3.2 + name: Webserver + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 + ref_id: APP.3.2.A1 + name: Sichere Konfiguration eines Webservers + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a1 + ref_id: APP.3.2.A1.1 + description: Nachdem der IT-Betrieb einen Webserver installiert hat, MUSS er + eine sichere Grundkonfiguration vornehmen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a1 + ref_id: APP.3.2.A1.2 + description: Dazu MUSS er insbesondere den Webserver-Prozess einem Konto mit + minimalen Rechten zuweisen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a1 + ref_id: APP.3.2.A1.3 + description: "Der Webserver MUSS in einer gekapselten Umgebung ausgef\xFChrt\ + \ werden, sofern dies vom Betriebssystem unterst\xFCtzt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a1 + ref_id: APP.3.2.A1.4 + description: "Ist dies nicht m\xF6glich, SOLLTE jeder Webserver auf einem eigenen\ + \ physischen oder virtuellen Server ausgef\xFChrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a1 + ref_id: APP.3.2.A1.5 + description: "Dem Webserver-Dienst M\xDCSSEN alle nicht notwendige Schreibberechtigungen\ + \ entzogen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a1 + ref_id: APP.3.2.A1.6 + description: "Nicht ben\xF6tigte Module und Funktionen des Webservers M\xDC\ + SSEN deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 + ref_id: APP.3.2.A2 + name: Schutz der Webserver-Dateien + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a2 + ref_id: APP.3.2.A2.1 + description: "Der IT-Betrieb MUSS alle Dateien auf dem Webserver, insbesondere\ + \ Skripte und Konfigurationsdateien, so sch\xFCtzen, dass sie nicht unbefugt\ + \ gelesen und ge\xE4ndert werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a2 + ref_id: APP.3.2.A2.2 + description: "Es MUSS sichergestellt werden, dass Webanwendungen nur auf einen\ + \ definierten Verzeichnisbaum zugreifen k\xF6nnen (WWW-Wurzelverzeichnis)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a2 + ref_id: APP.3.2.A2.3 + description: Der Webserver MUSS so konfiguriert sein, dass er nur Dateien ausliefert, + die sich innerhalb des WWW-Wurzelverzeichnisses befinden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a2 + ref_id: APP.3.2.A2.4 + description: "Der IT-Betrieb MUSS alle nicht ben\xF6tigten Funktionen, die Verzeichnisse\ + \ auflisten, deaktivieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a2 + ref_id: APP.3.2.A2.5 + description: "Vertrauliche Daten M\xDCSSEN vor unberechtigtem Zugriff gesch\xFC\ + tzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a2.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a2 + ref_id: APP.3.2.A2.6 + description: "Insbesondere MUSS der IT-Betrieb sicherstellen, dass vertrauliche\ + \ Dateien nicht in \xF6ffentlichen Verzeichnissen des Webservers liegen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a2.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a2 + ref_id: APP.3.2.A2.7 + description: "Der IT-Betrieb MUSS regelm\xE4\xDFig \xFCberpr\xFCfen, ob vertrauliche\ + \ Dateien in \xF6ffentlichen Verzeichnissen gespeichert wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 + ref_id: APP.3.2.A3 + name: Absicherung von Datei-Uploads und -Downloads + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a3 + ref_id: APP.3.2.A3.1 + description: "Alle mithilfe des Webservers ver\xF6ffentlichten Dateien M\xDC\ + SSEN vorher auf Schadprogramme gepr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a3 + ref_id: APP.3.2.A3.2 + description: "Es MUSS eine Maximalgr\xF6\xDFe f\xFCr Datei-Uploads spezifiziert\ + \ sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a3 + ref_id: APP.3.2.A3.3 + description: "F\xFCr Uploads MUSS gen\xFCgend Speicherplatz reserviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 + ref_id: APP.3.2.A4 + name: Protokollierung von Ereignissen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a4 + ref_id: APP.3.2.A4.1 + description: 'Der Webserver MUSS mindestens folgende Ereignisse protokollieren:' + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a4 + ref_id: APP.3.2.A4.2 + description: "\u2022 erfolgreiche Zugriffe auf Ressourcen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a4 + ref_id: APP.3.2.A4.3 + description: "\u2022 fehlgeschlagene Zugriffe auf Ressourcen aufgrund von mangelnder\ + \ Berechtigung, nicht vorhandenen Ressourcen und Server-Fehlern sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a4 + ref_id: APP.3.2.A4.4 + description: "\u2022 allgemeine Fehlermeldungen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a4 + ref_id: APP.3.2.A4.5 + description: "Die Protokollierungsdaten SOLLTEN regelm\xE4\xDFig ausgewertet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 + ref_id: APP.3.2.A5 + name: Authentisierung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a5 + ref_id: APP.3.2.A5.1 + description: "Wenn sich Clients mit Hilfe von Passw\xF6rtern am Webserver authentisieren,\ + \ M\xDCSSEN diese kryptografisch gesichert und vor unbefugtem Zugriff gesch\xFC\ + tzt gespeichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 + ref_id: APP.3.2.A7 + name: "Rechtliche Rahmenbedingungen f\xFCr Webangebote" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a7 + ref_id: APP.3.2.A7.1 + description: "Werden \xFCber den Webserver Inhalte f\xFCr Dritte publiziert\ + \ oder Dienste angeboten, M\xDCSSEN dabei die relevanten rechtlichen Rahmenbedingungen\ + \ beachtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a7 + ref_id: APP.3.2.A7.2 + description: Die Institution MUSS die jeweiligen Telemedien- und Datenschutzgesetze + sowie das Urheberrecht einhalten. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 + ref_id: APP.3.2.A8 + name: Planung des Einsatzes eines Webservers + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a8 + ref_id: APP.3.2.A8.1 + description: "Es SOLLTE geplant und dokumentiert werden, f\xFCr welchen Zweck\ + \ der Webserver eingesetzt und welche Inhalte er bereitstellen soll." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a8 + ref_id: APP.3.2.A8.2 + description: In der Dokumentation SOLLTEN auch die Informationen oder Dienstleistungen + des Webangebots und die jeweiligen Zielgruppen beschrieben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a8 + ref_id: APP.3.2.A8.3 + description: "F\xFCr den technischen Betrieb und die Webinhalte SOLLTEN geeignete\ + \ Zust\xE4ndige festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 + ref_id: APP.3.2.A9 + name: "Festlegung einer Sicherheitsrichtlinie f\xFCr den Webserver" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a9 + ref_id: APP.3.2.A9.1 + description: "Es SOLLTE eine Sicherheitsrichtlinie erstellt werden, in der die\ + \ erforderlichen Ma\xDFnahmen und Zust\xE4ndigkeiten benannt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a9 + ref_id: APP.3.2.A9.2 + description: "Weiterhin SOLLTE geregelt werden, wie Informationen zu aktuellen\ + \ Sicherheitsl\xFCcken besorgt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a9 + ref_id: APP.3.2.A9.3 + description: "Auch SOLLTE geregelt werden, wie Sicherheitsma\xDFnahmen umgesetzt\ + \ werden und wie vorgegangen werden soll, wenn Sicherheitsvorf\xE4lle eintreten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 + ref_id: APP.3.2.A10 + name: Auswahl eines geeigneten Webhosters + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a10 + ref_id: APP.3.2.A10.1 + description: 'Betreibt die Institution den Webserver nicht selbst, sondern nutzt + Angebote externer Unternehmen im Rahmen von Webhosting, SOLLTE die Institution + bei der Auswahl eines geeigneten Webhosters auf folgende Punkte achten:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a10 + ref_id: APP.3.2.A10.2 + description: "\u2022 Es SOLLTE vertraglich geregelt werden, wie die Dienste\ + \ zu erbringen sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a10 + ref_id: APP.3.2.A10.3 + description: Dabei SOLLTEN Sicherheitsaspekte innerhalb des Vertrags schriftlich + in einem Service Level Agreement (SLA) festgehalten werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a10 + ref_id: APP.3.2.A10.4 + description: "\u2022 Die eingesetzten IT-Systeme SOLLTEN vom Webhoster regelm\xE4\ + \xDFig kontrolliert und gewartet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a10.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a10 + ref_id: APP.3.2.A10.5 + description: Der Webhoster SOLLTE dazu verpflichtet werden, bei technischen + Problemen oder einer Kompromittierung von Kundschaftssystemen zeitnah zu reagieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a10.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a10 + ref_id: APP.3.2.A10.6 + description: "\u2022 Der Webhoster SOLLTE grundlegende technische und organisatorische\ + \ Ma\xDFnahmen umsetzen, um seinen Informationsverbund zu sch\xFCtzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 + ref_id: APP.3.2.A11 + name: "Verschl\xFCsselung \xFCber TLS" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a11 + ref_id: APP.3.2.A11.1 + description: "Der Webserver MUSS f\xFCr alle Verbindungen durch nicht vertrauensw\xFC\ + rdige Netze eine sichere Verschl\xFCsselung \xFCber TLS anbieten (HTTPS)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a11 + ref_id: APP.3.2.A11.2 + description: "Falls es aus Kompatibilit\xE4tsgr\xFCnden erforderlich ist, veraltete\ + \ Verfahren zu verwenden, SOLLTEN diese auf so wenige F\xE4lle wie m\xF6glich\ + \ beschr\xE4nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a11 + ref_id: APP.3.2.A11.3 + description: "Wenn eine HTTPS-Verbindung genutzt wird, M\xDCSSEN alle Inhalte\ + \ \xFCber HTTPS ausgeliefert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a11.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a11 + ref_id: APP.3.2.A11.4 + description: Sogenannter Mixed Content DARF NICHT verwendet werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 + ref_id: APP.3.2.A12 + name: Geeigneter Umgang mit Fehlern und Fehlermeldungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a12 + ref_id: APP.3.2.A12.1 + description: Aus den HTTP-Informationen und den angezeigten Fehlermeldungen + SOLLTEN weder der Produktname noch die verwendete Version des Webservers ersichtlich + sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a12 + ref_id: APP.3.2.A12.2 + description: Fehlermeldungen SOLLTEN keine Details zu Systeminformationen oder + Konfigurationen ausgeben. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a12 + ref_id: APP.3.2.A12.3 + description: "Der IT-Betrieb SOLLTE sicherstellen, dass der Webserver ausschlie\xDF\ + lich allgemeine Fehlermeldungen ausgibt, die Clients darauf hinweisen, dass\ + \ ein Fehler aufgetreten ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a12 + ref_id: APP.3.2.A12.4 + description: "Die Fehlermeldung SOLLTE ein eindeutiges Merkmal enthalten, das\ + \ es dem IT-Betrieb erm\xF6glicht, den Fehler nachzuvollziehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a12.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a12 + ref_id: APP.3.2.A12.5 + description: "Bei unerwarteten Fehlern SOLLTE sichergestellt sein, dass der\ + \ Webserver nicht in einem Zustand verbleibt, in dem er anf\xE4llig f\xFC\ + r Angriffe ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 + ref_id: APP.3.2.A13 + name: "Zugriffskontrolle f\xFCr Webcrawler" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a13 + ref_id: APP.3.2.A13.1 + description: Der Zugriff von Webcrawlern SOLLTE nach dem Robots-Exclusion-Standard + geregelt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a13 + ref_id: APP.3.2.A13.2 + description: "Inhalte SOLLTEN mit einem Zugriffsschutz versehen werden, um sie\ + \ vor Webcrawlern zu sch\xFCtzen, die sich nicht an diesen Standard halten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 + ref_id: APP.3.2.A14 + name: "Integrit\xE4tspr\xFCfungen und Schutz vor Schadsoftware" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a14 + ref_id: APP.3.2.A14.1 + description: "Der IT-Betrieb SOLLTE regelm\xE4\xDFig pr\xFCfen, ob die Konfigurationen\ + \ des Webservers und die von ihm bereitgestellten Dateien noch integer sind\ + \ und nicht durch Angriffe ver\xE4ndert wurden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a14 + ref_id: APP.3.2.A14.2 + description: "Die zur Ver\xF6ffentlichung vorgesehenen Dateien SOLLTEN regelm\xE4\ + \xDFig auf Schadsoftware gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 + ref_id: APP.3.2.A15 + name: Redundanz + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a15 + ref_id: APP.3.2.A15.1 + description: Webserver SOLLTEN redundant ausgelegt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a15 + ref_id: APP.3.2.A15.2 + description: Auch die Internetanbindung des Webservers und weiterer IT-Systeme, + wie etwa der Webanwendungsserver, SOLLTEN redundant ausgelegt sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 + ref_id: APP.3.2.A16 + name: Penetrationstest und Revision + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a16 + ref_id: APP.3.2.A16.1 + description: "Webserver SOLLTEN regelm\xE4\xDFig auf Sicherheitsprobleme hin\ + \ \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a16 + ref_id: APP.3.2.A16.2 + description: "Auch SOLLTEN regelm\xE4\xDFig Revisionen durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a16 + ref_id: APP.3.2.A16.3 + description: "Die Ergebnisse SOLLTEN nachvollziehbar dokumentiert, ausreichend\ + \ gesch\xFCtzt und vertraulich behandelt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a16.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a16 + ref_id: APP.3.2.A16.4 + description: Abweichungen SOLLTE nachgegangen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a16.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a16 + ref_id: APP.3.2.A16.5 + description: Die Ergebnisse SOLLTEN dem ISB vorgelegt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 + ref_id: APP.3.2.A18 + name: Schutz vor Denial-of-Service-Angriffen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a18 + ref_id: APP.3.2.A18.1 + description: "Der Webserver SOLLTE st\xE4ndig \xFCberwacht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a18 + ref_id: APP.3.2.A18.2 + description: "Des Weiteren SOLLTEN Ma\xDFnahmen definiert und umgesetzt werden,\ + \ die DDoS-Angriffe verhindern oder zumindest abschw\xE4chen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2 + ref_id: APP.3.2.A20 + name: Benennung von Anzusprechenden + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a20 + ref_id: APP.3.2.A20.1 + description: "Bei umfangreichen Webangeboten SOLLTE die Institution zentrale\ + \ Anzusprechende f\xFCr die Webangebote bestimmen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a20.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a20 + ref_id: APP.3.2.A20.2 + description: "Es SOLLTEN Prozesse, Vorgehensweisen und Zust\xE4ndige f\xFCr\ + \ Probleme oder Sicherheitsvorf\xE4lle benannt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a20.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a20 + ref_id: APP.3.2.A20.3 + description: "Die Institution SOLLTE eine Kontaktm\xF6glichkeit auf ihrer Webseite\ + \ ver\xF6ffentlichen, \xFCber die Sicherheitsprobleme an die Institution gemeldet\ + \ werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a20.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.2.a20 + ref_id: APP.3.2.A20.4 + description: "F\xFCr die Behandlung von externen Sicherheitsmeldungen SOLLTE\ + \ die Institution Prozesse definieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app + ref_id: APP.3.3 + name: Fileserver + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3 + ref_id: APP.3.3.A2 + name: Einsatz von RAID-Systemen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a2 + ref_id: APP.3.3.A2.1 + description: Der IT-Betrieb MUSS festlegen, ob im Fileserver ein RAID-System + eingesetzt werden soll. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a2 + ref_id: APP.3.3.A2.2 + description: Eine Entscheidung gegen ein solches System MUSS nachvollziehbar + dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a2 + ref_id: APP.3.3.A2.3 + description: 'Falls ein RAID-System eingesetzt werden soll, MUSS der IT-Betrieb + entscheiden:' + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a2 + ref_id: APP.3.3.A2.4 + description: "\u2022 welches RAID-Level benutzt werden soll," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a2 + ref_id: APP.3.3.A2.5 + description: "\u2022 wie lang die Zeitspanne f\xFCr einen RAID-Rebuild-Prozess\ + \ sein darf und" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a2.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a2 + ref_id: APP.3.3.A2.6 + description: "\u2022 ob ein Software- oder ein Hardware-RAID eingesetzt werden\ + \ soll." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a2.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a2 + ref_id: APP.3.3.A2.7 + description: In einem RAID SOLLTEN Hotspare-Festplatten vorgehalten werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3 + ref_id: APP.3.3.A3 + name: Einsatz von Viren-Schutzprogrammen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a3 + ref_id: APP.3.3.A3.1 + description: "Alle Daten M\xDCSSEN durch ein Viren-Schutzprogramm auf Schadsoftware\ + \ untersucht werden, bevor sie auf dem Fileserver abgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3 + ref_id: APP.3.3.A6 + name: Beschaffung eines Fileservers und Auswahl eines Dienstes + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a6 + ref_id: APP.3.3.A6.1 + description: "Die Fileserver-Software SOLLTE geeignet ausgew\xE4hlt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a6 + ref_id: APP.3.3.A6.2 + description: "Der Fileserver-Dienst SOLLTE den Einsatzzweck des Fileservers\ + \ unterst\xFCtzen, z. B. Einbindung von Netzlaufwerken in den Clients, Streaming\ + \ von Multimedia-Inhalten, \xDCbertragung von Boot-Images von festplattenlosen\ + \ IT-Systemen oder ausschlie\xDFliche Datei\xFCbertragung \xFCber FTP." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a6 + ref_id: APP.3.3.A6.3 + description: "Die Leistung, die Speicherkapazit\xE4t, die Bandbreite sowie die\ + \ Anzahl der Benutzenden, die den Fileserver nutzen, SOLLTEN bei der Beschaffung\ + \ des Fileservers ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3 + ref_id: APP.3.3.A7 + name: Auswahl eines Dateisystems + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a7 + ref_id: APP.3.3.A7.1 + description: Der IT-Betrieb SOLLTE eine Anforderungsliste erstellen, nach der + die Dateisysteme des Fileservers bewertet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a7 + ref_id: APP.3.3.A7.2 + description: Das Dateisystem SOLLTE den Anforderungen der Institution entsprechen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a7 + ref_id: APP.3.3.A7.3 + description: Das Dateisystem SOLLTE eine Journaling-Funktion bieten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a7 + ref_id: APP.3.3.A7.4 + description: "Auch SOLLTE es \xFCber einen Schutzmechanismus verf\xFCgen, der\ + \ verhindert, dass mehrere Benutzende oder Anwendungen gleichzeitig schreibend\ + \ auf eine Datei zugreifen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3 + ref_id: APP.3.3.A8 + name: Strukturierte Datenhaltung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a8 + ref_id: APP.3.3.A8.1 + description: Es SOLLTE eine Struktur festgelegt werden, nach der Daten abzulegen + sind. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a8 + ref_id: APP.3.3.A8.2 + description: "Die Benutzenden SOLLTEN regelm\xE4\xDFig \xFCber die geforderte\ + \ strukturierte Datenhaltung informiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a8 + ref_id: APP.3.3.A8.3 + description: "Die Dateien SOLLTEN ausschlie\xDFlich strukturiert auf den Fileserver\ + \ abgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a8 + ref_id: APP.3.3.A8.4 + description: "Es SOLLTE schriftlich festgelegt werden, welche Daten lokal und\ + \ welche auf dem Fileserver gespeichert werden d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a8.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a8 + ref_id: APP.3.3.A8.5 + description: Programm- und Arbeitsdaten SOLLTEN in getrennten Verzeichnissen + gespeichert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a8.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a8 + ref_id: APP.3.3.A8.6 + description: "Die Institution SOLLTE regelm\xE4\xDFig \xFCberpr\xFCfen, ob die\ + \ Vorgaben zur strukturierten Datenhaltung eingehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3 + ref_id: APP.3.3.A9 + name: Sicheres Speichermanagement + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a9 + ref_id: APP.3.3.A9.1 + description: "Der IT-Betrieb SOLLTE regelm\xE4\xDFig \xFCberpr\xFCfen, ob die\ + \ Massenspeicher des Fileservers noch wie vorgesehen funktionieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a9 + ref_id: APP.3.3.A9.2 + description: Es SOLLTEN geeignete Ersatzspeicher vorgehalten werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a9 + ref_id: APP.3.3.A9.3 + description: "Wurde eine Speicherhierarchie (Prim\xE4r-, Sekund\xE4r- bzw. Terti\xE4\ + rspeicher) aufgebaut, SOLLTE ein (teil-)automatisiertes Speichermanagement\ + \ verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a9 + ref_id: APP.3.3.A9.4 + description: "Werden Daten automatisiert verteilt, SOLLTE regelm\xE4\xDFig manuell\ + \ \xFCberpr\xFCft werden, ob dies korrekt funktioniert." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a9.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a9 + ref_id: APP.3.3.A9.5 + description: "Es SOLLTEN mindestens nicht-autorisierte Zugriffsversuche auf\ + \ Dateien und \xC4nderungen von Zugriffsrechten protokolliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3 + ref_id: APP.3.3.A11 + name: "Einsatz von Speicherbeschr\xE4nkungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a11 + ref_id: APP.3.3.A11.1 + description: "Der IT-Betrieb SOLLTE bei mehreren Benutzenden auf dem Fileserver\ + \ pr\xFCfen, Beschr\xE4nkungen des Speicherplatzes f\xFCr einzelne Benutzende\ + \ (Quotas) einzurichten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a11 + ref_id: APP.3.3.A11.2 + description: "Alternativ SOLLTEN Mechanismen des verwendeten Datei- oder Betriebssystems\ + \ genutzt werden, um die Benutzenden bei einem bestimmten F\xFCllstand der\ + \ Festplatte zu warnen oder in diesem Fall nur noch dem IT-Betrieb Schreibrechte\ + \ einzur\xE4umen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3 + ref_id: APP.3.3.A12 + name: "Verschl\xFCsselung des Datenbestandes" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a12 + ref_id: APP.3.3.A12.1 + description: "Die Massenspeicher des Fileservers SOLLTEN auf Dateisystem- oder\ + \ Hardwareebene verschl\xFCsselt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a12 + ref_id: APP.3.3.A12.2 + description: "Falls Hardwareverschl\xFCsselung eingesetzt wird, SOLLTEN Produkte\ + \ verwendet werden, deren Verschl\xFCsselungsfunktion zertifiziert wurde." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a12 + ref_id: APP.3.3.A12.3 + description: "Es SOLLTE sichergestellt werden, dass der Virenschutz die verschl\xFC\ + sselten Daten auf Schadsoftware pr\xFCfen kann." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3 + ref_id: APP.3.3.A13 + name: Replikation zwischen Standorten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a13 + ref_id: APP.3.3.A13.1 + description: "F\xFCr hochverf\xFCgbare Fileserver SOLLTE eine angemessene Replikation\ + \ der Daten auf mehreren Massenspeichern stattfinden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a13 + ref_id: APP.3.3.A13.2 + description: "Daten SOLLTEN zudem zwischen unabh\xE4ngigen Fileservern repliziert\ + \ werden, die sich an unabh\xE4ngigen Standorten befinden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a13 + ref_id: APP.3.3.A13.3 + description: "Daf\xFCr SOLLTE vom IT-Betrieb ein geeigneter Replikationsmechanismus\ + \ ausgew\xE4hlt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a13.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a13 + ref_id: APP.3.3.A13.4 + description: Damit die Replikation wie vorgesehen funktionieren kann, SOLLTEN + hinreichend genaue Zeitdienste genutzt und betrieben werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3 + ref_id: APP.3.3.A14 + name: Einsatz von Error-Correction-Codes + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a14 + ref_id: APP.3.3.A14.1 + description: Der IT-Betrieb SOLLTE ein fehlererkennendes bzw. fehlerkorrigierendes + Dateisystem einsetzen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a14 + ref_id: APP.3.3.A14.2 + description: "Hierf\xFCr SOLLTE gen\xFCgend Speicherplatz vorgehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a14 + ref_id: APP.3.3.A14.3 + description: "Der IT-Betrieb SOLLTE beachten, dass, je nach eingesetztem Verfahren,\ + \ Fehler nur mit einer gewissen Wahrscheinlichkeit erkannt und auch nur in\ + \ begrenzter Gr\xF6\xDFenordnung behoben werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3 + ref_id: APP.3.3.A15 + name: Planung von Fileservern + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a15 + ref_id: APP.3.3.A15.1 + description: "Bevor eine Institution einen oder mehrere Fileserver einf\xFC\ + hrt, SOLLTE sie entscheiden, wof\xFCr die Fileserver genutzt und welche Informationen\ + \ darauf verarbeitet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a15 + ref_id: APP.3.3.A15.2 + description: "Die Institution SOLLTE jede benutzte Funktion eines Fileservers\ + \ einschlie\xDFlich deren Sicherheitsaspekte planen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a15 + ref_id: APP.3.3.A15.3 + description: "Arbeitsplatzrechner D\xDCRFEN NICHT als Fileserver eingesetzt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a15.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a15 + ref_id: APP.3.3.A15.4 + description: Der Speicherplatz des Fileservers MUSS ausreichend dimensioniert + sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a15.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a15 + ref_id: APP.3.3.A15.5 + description: Auch ausreichende Speicherreserven SOLLTEN vorgehalten werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a15.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a15 + ref_id: APP.3.3.A15.6 + description: "Es SOLLTE ausschlie\xDFlich Massenspeicher verwendet werden, der\ + \ f\xFCr einen Dauerbetrieb ausgelegt ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a15.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.3.a15 + ref_id: APP.3.3.A15.7 + description: "Die Geschwindigkeit und die Anbindung der Massenspeicher MUSS\ + \ f\xFCr den Einsatzzweck angemessen sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app + ref_id: APP.3.4 + name: Samba + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4 + ref_id: APP.3.4.A1 + name: Planung des Einsatzes eines Samba-Servers + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1 + ref_id: APP.3.4.A1.1 + description: "Der IT-Betrieb MUSS die Einf\xFChrung eines Samba-Servers sorgf\xE4\ + ltig planen und regeln." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1 + ref_id: APP.3.4.A1.2 + description: "Der IT-Betrieb MUSS abh\xE4ngig vom Einsatzszenario definieren,\ + \ welche Aufgaben der Samba-Server zuk\xFCnftig erf\xFCllen soll und in welcher\ + \ Betriebsart er betrieben wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1 + ref_id: APP.3.4.A1.3 + description: "Au\xDFerdem MUSS festgelegt werden, welche Komponenten von Samba\ + \ und welche weiteren Komponenten daf\xFCr erforderlich sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1 + ref_id: APP.3.4.A1.4 + description: "Soll die Cluster-L\xF6sung CTDB (Cluster Trivia Data Base) eingesetzt\ + \ werden, MUSS der IT-Betrieb diese L\xF6sung sorgf\xE4ltig konzeptionieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1 + ref_id: APP.3.4.A1.5 + description: "Falls Samba die Active-Directory-(AD)-Dienste auch f\xFCr Linux-\ + \ und Unix-Systeme bereitstellen soll, M\xDCSSEN diese Dienste ebenfalls sorgf\xE4\ + ltig geplant und getestet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1 + ref_id: APP.3.4.A1.6 + description: "Des Weiteren MUSS das Authentisierungsverfahren f\xFCr das AD\ + \ sorgf\xE4ltig konzipiert und implementiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1 + ref_id: APP.3.4.A1.7 + description: "Die Einf\xFChrung und die Reihenfolge, in der die Stackable-Virtual-File-System-(VFS)-Module\ + \ ausgef\xFChrt werden, MUSS sorgf\xE4ltig konzipiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1 + ref_id: APP.3.4.A1.8 + description: Die Umsetzung SOLLTE dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1 + ref_id: APP.3.4.A1.9 + description: "Soll IPv6 unter Samba eingesetzt werden, MUSS auch dies sorgf\xE4\ + ltig geplant werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a1 + ref_id: APP.3.4.A1.10 + description: "Zudem MUSS in einer betriebsnahen Testumgebung \xFCberpr\xFCft\ + \ werden, ob die Integration fehlerfrei funktioniert." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4 + ref_id: APP.3.4.A2 + name: Sichere Grundkonfiguration eines Samba-Servers + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a2 + ref_id: APP.3.4.A2.1 + description: Der IT-Betrieb MUSS den Samba-Server sicher konfigurieren. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a2 + ref_id: APP.3.4.A2.2 + description: "Hierf\xFCr M\xDCSSEN unter anderem die Einstellungen f\xFCr die\ + \ Zugriffskontrollen angepasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a2 + ref_id: APP.3.4.A2.3 + description: "Das gleiche SOLLTE auch f\xFCr Einstellungen gelten, welche die\ + \ Leistungsf\xE4higkeit des Servers beeinflussen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a2 + ref_id: APP.3.4.A2.4 + description: Samba MUSS vom IT-Betrieb so konfiguriert werden, dass Verbindungen + nur von sicheren Hosts und Netzen entgegengenommen werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a2 + ref_id: APP.3.4.A2.5 + description: "\xC4nderungen an der Konfiguration SOLLTEN sorgf\xE4ltig dokumentiert\ + \ werden, sodass zu jeder Zeit nachvollzogen werden kann, wer aus welchem\ + \ Grund was ge\xE4ndert hat." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a2.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a2 + ref_id: APP.3.4.A2.6 + description: "Dabei MUSS nach jeder \xC4nderung \xFCberpr\xFCft werden, ob die\ + \ Syntax der Konfigurationsdatei noch korrekt ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a2.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a2 + ref_id: APP.3.4.A2.7 + description: "Zus\xE4tzliche Softwaremodule wie SWAT D\xDCRFEN NICHT installiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4 + ref_id: APP.3.4.A3 + name: Sichere Konfiguration eines Samba-Servers + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a3 + ref_id: APP.3.4.A3.1 + description: Datenbanken im Trivial-Database-(TDB)-Format SOLLTEN NICHT auf + einer Partition gespeichert werden, die ReiserFS als Dateisystem benutzt. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a3 + ref_id: APP.3.4.A3.2 + description: "Wird eine netlogon-Freigabe konfiguriert, SOLLTEN unberechtigte\ + \ Benutzende KEINE Dateien in dieser Freigabe modifizieren k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a3 + ref_id: APP.3.4.A3.3 + description: "Das Betriebssystem eines Samba-Servers SOLLTE Access Control Lists\ + \ (ACLs) in Verbindung mit dem eingesetzten Dateisystem unterst\xFCtzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a3 + ref_id: APP.3.4.A3.4 + description: "Zus\xE4tzlich SOLLTE sichergestellt werden, dass das Dateisystem\ + \ mit den passenden Parametern eingebunden wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a3 + ref_id: APP.3.4.A3.5 + description: Die Voreinstellungen von SMB Message Signing SOLLTEN beibehalten + werden, sofern sie nicht im Widerspruch zu den existierenden Sicherheitsrichtlinien + im Informationsverbund stehen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4 + ref_id: APP.3.4.A4 + name: Vermeidung der NTFS-Eigenschaften auf einem Samba-Server + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a4 + ref_id: APP.3.4.A4.1 + description: "Wird eine Version von Samba eingesetzt, die im New Technology\ + \ File System (NTFS) keine ADS abbilden kann und sollen Dateisystemobjekte\ + \ \xFCber Systemgrenzen hinweg kopiert oder verschoben werden, SOLLTEN Dateisystemobjekte\ + \ KEINE ADS mit wichtigen Informationen enthalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4 + ref_id: APP.3.4.A5 + name: Sichere Konfiguration der Zugriffssteuerung bei einem Samba-Server + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a5 + ref_id: APP.3.4.A5.1 + description: "Die von Samba standardm\xE4\xDFig verwendeten Parameter, mit denen\ + \ DOS-Attribute auf das Unix-Dateisystem abgebildet werden, SOLLTEN NICHT\ + \ verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a5 + ref_id: APP.3.4.A5.2 + description: Stattdessen SOLLTE Samba so konfiguriert werden, dass es DOS-Attribute + und die Statusindikatoren zur Vererbung (Flag) in Extended Attributes speichert. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a5 + ref_id: APP.3.4.A5.3 + description: "Die Freigaben SOLLTEN ausschlie\xDFlich \xFCber die Samba-Registry\ + \ verwaltet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a5 + ref_id: APP.3.4.A5.4 + description: "Ferner SOLLTEN die effektiven Zugriffsberechtigungen auf die Freigaben\ + \ des Samba-Servers regelm\xE4\xDFig \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4 + ref_id: APP.3.4.A6 + name: Sichere Konfiguration von Winbind unter Samba + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a6 + ref_id: APP.3.4.A6.1 + description: "F\xFCr jedes Dom\xE4nen-Konto einer Windows-Dom\xE4ne SOLLTE im\ + \ Betriebssystem des Servers ein Konto mit allen notwendigen Gruppenmitgliedschaften\ + \ vorhanden sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a6 + ref_id: APP.3.4.A6.2 + description: "Falls das nicht m\xF6glich ist, SOLLTE Winbind eingesetzt werden,\ + \ um Dom\xE4nen-Konten in Unix-Konten umsetzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a6 + ref_id: APP.3.4.A6.3 + description: "Beim Einsatz von Winbind SOLLTE sichergestellt werden, dass Kollisionen\ + \ zwischen lokalen Benutzenden in Unix und Benutzenden in der Dom\xE4ne verhindert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a6 + ref_id: APP.3.4.A6.4 + description: Des Weiteren SOLLTEN die PAM (Pluggable Authentication Modules) + eingebunden werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4 + ref_id: APP.3.4.A7 + name: Sichere Konfiguration von DNS unter Samba + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a7 + ref_id: APP.3.4.A7.1 + description: "Wenn Samba als DNS-Server eingesetzt wird, SOLLTE die Einf\xFC\ + hrung sorgf\xE4ltig geplant und die Umsetzung vorab getestet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a7 + ref_id: APP.3.4.A7.2 + description: "Da Samba verschiedene AD-Integrationsmodi unterst\xFCtzt, SOLLTE\ + \ der IT-Betrieb die DNS-Einstellungen entsprechend dem Verwendungsszenario\ + \ von Samba vornehmen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4 + ref_id: APP.3.4.A8 + name: Sichere Konfiguration von LDAP unter Samba + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a8 + ref_id: APP.3.4.A8.1 + description: "Werden die Benutzenden unter Samba mit LDAP verwaltet, SOLLTE\ + \ die Konfiguration sorgf\xE4ltig vom IT-Betrieb geplant und dokumentiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a8 + ref_id: APP.3.4.A8.2 + description: Die Zugriffsberechtigungen auf das LDAP SOLLTEN mittels ACLs geregelt + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4 + ref_id: APP.3.4.A9 + name: Sichere Konfiguration von Kerberos unter Samba + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a9 + ref_id: APP.3.4.A9.1 + description: Zur Authentisierung SOLLTE das von Samba implementierte Heimdal + Kerberos Key Distribution Center (KDC) verwendet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a9 + ref_id: APP.3.4.A9.2 + description: Es SOLLTE darauf geachtet werden, dass die von Samba vorgegebene + Kerberos-Konfigurationsdatei verwendet wird. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a9 + ref_id: APP.3.4.A9.3 + description: "Es SOLLTEN nur sichere Verschl\xFCsselungsverfahren f\xFCr Kerberos-Tickets\ + \ benutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a9 + ref_id: APP.3.4.A9.4 + description: Wird mit Kerberos authentisiert, SOLLTE der zentrale Zeitserver + lokal auf dem Samba-Server installiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a9.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a9 + ref_id: APP.3.4.A9.5 + description: "Der NTP-Dienst SOLLTE so konfiguriert werden, dass nur autorisierte\ + \ Clients die Zeit abfragen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4 + ref_id: APP.3.4.A10 + name: Sicherer Einsatz externer Programme auf einem Samba-Server + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a10 + ref_id: APP.3.4.A10.1 + description: "Vom IT-Betrieb SOLLTE sichergestellt werden, dass Samba nur auf\ + \ schadhafte Funktionen \xFCberpr\xFCfte und vertrauensw\xFCrdige externe\ + \ Programme aufruft." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4 + ref_id: APP.3.4.A12 + name: Schulung der Administrierenden eines Samba-Servers + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a12 + ref_id: APP.3.4.A12.1 + description: Die Administrierenden SOLLTEN zu den genutzten spezifischen Bereichen + von Samba wie z. B. Benutzendenauthentisierung, Windows- und Unix-Rechtemodelle, + aber auch zu NTFS ACLs und NTFS ADS geschult werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4 + ref_id: APP.3.4.A13 + name: "Regelm\xE4\xDFige Sicherung wichtiger Systemkomponenten eines Samba-Servers" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a13 + ref_id: APP.3.4.A13.1 + description: Es SOLLTEN alle Systemkomponenten in das institutionsweite Datensicherungskonzept + eingebunden werden, die erforderlich sind, um einen Samba-Server wiederherzustellen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a13 + ref_id: APP.3.4.A13.2 + description: "Auch die Kontoinformationen aus allen eingesetzten Backends SOLLTEN\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a13 + ref_id: APP.3.4.A13.3 + description: Ebenso SOLLTEN alle TDB-Dateien gesichert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a13.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a13 + ref_id: APP.3.4.A13.4 + description: "Des Weiteren SOLLTE die Samba-Registry mit gesichert werden, falls\ + \ sie f\xFCr Freigaben eingesetzt wurde." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4 + ref_id: APP.3.4.A15 + name: "Verschl\xFCsselung der Datenpakete unter Samba" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.4.a15 + ref_id: APP.3.4.A15.1 + description: "Um die Sicherheit der Datenpakete auf dem Transportweg zu gew\xE4\ + hrleisten, SOLLTEN die Datenpakete mit den ab SMB Version 3 integrierten Verschl\xFC\ + sselungsverfahren verschl\xFCsselt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app + ref_id: APP.3.6 + name: DNS-Server + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 + ref_id: APP.3.6.A1 + name: Planung des DNS-Einsatzes + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a1 + ref_id: APP.3.6.A1.1 + description: "Der Einsatz von DNS-Servern MUSS sorgf\xE4ltig geplant werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a1 + ref_id: APP.3.6.A1.2 + description: Es MUSS zuerst festgelegt werden, wie der Netzdienst DNS aufgebaut + werden soll. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a1 + ref_id: APP.3.6.A1.3 + description: "Es MUSS festgelegt werden, welche Domain-Informationen sch\xFC\ + tzenswert sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a1 + ref_id: APP.3.6.A1.4 + description: Es MUSS geplant werden, wie DNS-Server in das Netz des Informationsverbunds + eingebunden werden sollen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a1 + ref_id: APP.3.6.A1.5 + description: "Die getroffenen Entscheidungen M\xDCSSEN geeignet dokumentiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 + ref_id: APP.3.6.A2 + name: Einsatz redundanter DNS-Server + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a2 + ref_id: APP.3.6.A2.1 + description: "Advertising DNS-Server M\xDCSSEN redundant ausgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a2 + ref_id: APP.3.6.A2.2 + description: "F\xFCr jeden Advertising DNS-Server MUSS es mindestens einen zus\xE4\ + tzlichen Secondary DNS-Server geben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 + ref_id: APP.3.6.A3 + name: "Verwendung von separaten DNS-Servern f\xFCr interne und externe Anfragen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a3 + ref_id: APP.3.6.A3.1 + description: "Advertising DNS-Server und Resolving DNS-Server M\xDCSSEN serverseitig\ + \ getrennt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a3 + ref_id: APP.3.6.A3.2 + description: "Die Resolver der internen IT-Systeme D\xDCRFEN NUR die internen\ + \ Resolving DNS-Server verwenden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 + ref_id: APP.3.6.A4 + name: Sichere Grundkonfiguration eines DNS-Servers + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a4 + ref_id: APP.3.6.A4.1 + description: "Ein Resolving DNS-Server MUSS so konfiguriert werden, dass er\ + \ ausschlie\xDFlich Anfragen aus dem internen Netz akzeptiert." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a4 + ref_id: APP.3.6.A4.2 + description: "Wenn ein Resolving DNS-Server Anfragen versendet, MUSS er zuf\xE4\ + llige Source Ports benutzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a4 + ref_id: APP.3.6.A4.3 + description: Sind DNS-Server bekannt, die falsche Domain-Informationen liefern, + MUSS der Resolving DNS-Server daran gehindert werden, Anfragen dorthin zu + senden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a4 + ref_id: APP.3.6.A4.4 + description: Ein Advertising DNS-Server MUSS so konfiguriert werden, dass er + Anfragen aus dem Internet immer iterativ behandelt. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a4 + ref_id: APP.3.6.A4.5 + description: Es MUSS sichergestellt werden, dass DNS-Zonentransfers zwischen + Primary und Secondary DNS-Servern funktionieren. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a4.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a4 + ref_id: APP.3.6.A4.6 + description: "Zonentransfers M\xDCSSEN so konfiguriert werden, dass diese nur\ + \ zwischen Primary und Secondary DNS-Servern m\xF6glich sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a4.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a4 + ref_id: APP.3.6.A4.7 + description: "Zonentransfers M\xDCSSEN auf bestimmte IP-Adressen beschr\xE4\ + nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a4.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a4 + ref_id: APP.3.6.A4.8 + description: Die Version des verwendeten DNS-Server-Produktes MUSS verborgen + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 + ref_id: APP.3.6.A6 + name: Absicherung von dynamischen DNS-Updates + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a6 + ref_id: APP.3.6.A6.1 + description: "Es MUSS sichergestellt werden, dass nur legitimierte IT-Systeme\ + \ Domain-Informationen \xE4ndern d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a6 + ref_id: APP.3.6.A6.2 + description: "Es MUSS festgelegt werden, welche Domain-Informationen die IT-Systeme\ + \ \xE4ndern d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 + ref_id: APP.3.6.A7 + name: "\xDCberwachung von DNS-Servern" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a7 + ref_id: APP.3.6.A7.1 + description: "DNS-Server M\xDCSSEN laufend \xFCberwacht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a7 + ref_id: APP.3.6.A7.2 + description: "Es MUSS \xFCberwacht werden, wie ausgelastet die DNS-Server sind,\ + \ um rechtzeitig die Leistungskapazit\xE4t der Hardware anpassen zu k\xF6\ + nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a7 + ref_id: APP.3.6.A7.3 + description: "DNS-Server M\xDCSSEN so konfiguriert werden, dass mindestens die\ + \ folgenden sicherheitsrelevanten Ereignisse protokolliert werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a7 + ref_id: APP.3.6.A7.4 + description: "\u2022 Anzahl der DNS-Anfragen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a7 + ref_id: APP.3.6.A7.5 + description: "\u2022 Anzahl der Fehler bei DNS-Anfragen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a7.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a7 + ref_id: APP.3.6.A7.6 + description: "\u2022 EDNS-Fehler (EDNS - Extension Mechanisms for DNS)," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a7.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a7 + ref_id: APP.3.6.A7.7 + description: "\u2022 auslaufende Zonen sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a7.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a7 + ref_id: APP.3.6.A7.8 + description: "\u2022 fehlgeschlagene Zonentransfers." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 + ref_id: APP.3.6.A8 + name: Verwaltung von Domainnamen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a8 + ref_id: APP.3.6.A8.1 + description: "Es MUSS sichergestellt sein, dass die Registrierungen f\xFCr alle\ + \ Domains, die von einer Institution benutzt werden, regelm\xE4\xDFig und\ + \ rechtzeitig verl\xE4ngert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a8 + ref_id: APP.3.6.A8.2 + description: "Eine Person MUSS bestimmt werden, die daf\xFCr zust\xE4ndig ist,\ + \ die Internet-Domainnamen zu verwalten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a8 + ref_id: APP.3.6.A8.3 + description: "Falls Dienstleistende mit der Domainverwaltung beauftragt werden,\ + \ MUSS darauf geachtet werden, dass die Institution die Kontrolle \xFCber\ + \ die Domains beh\xE4lt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 + ref_id: APP.3.6.A9 + name: "Erstellen eines Notfallplans f\xFCr DNS-Server" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a9 + ref_id: APP.3.6.A9.1 + description: "Ein Notfallplan f\xFCr DNS-Server MUSS erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a9 + ref_id: APP.3.6.A9.2 + description: "Der Notfallplan f\xFCr DNS-Server MUSS in die bereits vorhandenen\ + \ Notfallpl\xE4ne der Institution integriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a9 + ref_id: APP.3.6.A9.3 + description: "Im Notfallplan f\xFCr DNS-Server MUSS ein Datensicherungskonzept\ + \ f\xFCr die Zonen- und Konfigurationsdateien beschrieben sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a9 + ref_id: APP.3.6.A9.4 + description: "Das Datensicherungskonzept f\xFCr die Zonen- und Konfigurationsdateien\ + \ MUSS in das existierende Datensicherungskonzept der Institution integriert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a9.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a9 + ref_id: APP.3.6.A9.5 + description: "Der Notfallplan f\xFCr DNS-Server MUSS einen Wiederanlaufplan\ + \ f\xFCr alle DNS-Server im Informationsverbund enthalten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 + ref_id: APP.3.6.A10 + name: Auswahl eines geeigneten DNS-Server-Produktes + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a10 + ref_id: APP.3.6.A10.1 + description: "Wird ein DNS-Server-Produkt beschafft, dann SOLLTE darauf geachtet\ + \ werden, dass es sich in der Praxis ausreichend bew\xE4hrt hat." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a10 + ref_id: APP.3.6.A10.2 + description: "Das DNS-Server-Produkt SOLLTE die aktuellen RFC-Standards unterst\xFC\ + tzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a10 + ref_id: APP.3.6.A10.3 + description: "Das DNS-Server-Produkt SOLLTE die Zust\xE4ndigen dabei unterst\xFC\ + tzen, syntaktisch korrekte Master Files zu erstellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 + ref_id: APP.3.6.A11 + name: Ausreichende Dimensionierung der DNS-Server + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a11 + ref_id: APP.3.6.A11.1 + description: Die Hardware des DNS-Servers SOLLTE ausreichend dimensioniert sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a11 + ref_id: APP.3.6.A11.2 + description: "Die Hardware des DNS-Servers SOLLTE ausschlie\xDFlich f\xFCr den\ + \ Betrieb dieses DNS-Servers benutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a11 + ref_id: APP.3.6.A11.3 + description: "Die Netzanbindungen s\xE4mtlicher DNS-Server im Informationsverbund\ + \ SOLLTEN ausreichend bemessen sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 + ref_id: APP.3.6.A13 + name: "Einschr\xE4nkung der Sichtbarkeit von Domain-Informationen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a13 + ref_id: APP.3.6.A13.1 + description: "Der Namensraum eines Informationsverbunds SOLLTE in einen \xF6\ + ffentlichen und einen institutionsinternen Bereich aufgeteilt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a13 + ref_id: APP.3.6.A13.2 + description: "Im \xF6ffentlichen Teil SOLLTEN nur solche Domain-Informationen\ + \ enthalten sein, die von Diensten ben\xF6tigt werden, die von extern erreichbar\ + \ sein sollen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a13 + ref_id: APP.3.6.A13.3 + description: "IT-Systeme im internen Netz SOLLTEN selbst dann keinen von au\xDF\ + en aufl\xF6sbaren DNS-Namen erhalten, wenn sie eine \xF6ffentliche IP-Adresse\ + \ besitzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 + ref_id: APP.3.6.A14 + name: Platzierung der Nameserver + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a14 + ref_id: APP.3.6.A14.1 + description: Primary und Secondary Advertising DNS-Server SOLLTEN in verschiedenen + Netzsegmenten platziert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 + ref_id: APP.3.6.A15 + name: Auswertung der Logdaten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15 + ref_id: APP.3.6.A15.1 + description: "Die Logdateien des DNS-Servers SOLLTEN regelm\xE4\xDFig \xFCberpr\xFC\ + ft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15 + ref_id: APP.3.6.A15.2 + description: "Die Logdateien des DNS-Servers SOLLTEN regelm\xE4\xDFig ausgewertet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15 + ref_id: APP.3.6.A15.3 + description: 'Mindestens die folgenden sicherheitsrelevanten Ereignisse SOLLTEN + ausgewertet werden:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15 + ref_id: APP.3.6.A15.4 + description: "\u2022 Anzahl der DNS-Anfragen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15 + ref_id: APP.3.6.A15.5 + description: "\u2022 Anzahl der Fehler bei DNS-Anfragen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15 + ref_id: APP.3.6.A15.6 + description: "\u2022 EDNS-Fehler," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15 + ref_id: APP.3.6.A15.7 + description: "\u2022 auslaufende Zonen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15 + ref_id: APP.3.6.A15.8 + description: "\u2022 fehlgeschlagene Zonentransfers sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a15 + ref_id: APP.3.6.A15.9 + description: "\u2022 Ver\xE4nderungen im Verh\xE4ltnis von Fehlern zu DNS-Anfragen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 + ref_id: APP.3.6.A16 + name: Integration eines DNS-Servers in eine "P-A-P"-Struktur + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a16 + ref_id: APP.3.6.A16.1 + description: "Die DNS-Server SOLLTEN in eine \u201EPaketfilter - Application-Level-Gateway\ + \ - Paketfilter\u201C-(P-A-P)-Struktur integriert werden (siehe auch NET.1.1\ + \ Netzarchitektur und -design)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a16 + ref_id: APP.3.6.A16.2 + description: "Der Advertising DNS-Server SOLLTE in diesem Fall in einer demilitarisierten\ + \ Zone (DMZ) des \xE4u\xDFeren Paketfilters angesiedelt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a16 + ref_id: APP.3.6.A16.3 + description: Der Resolving DNS-Server SOLLTE in einer DMZ des inneren Paketfilters + aufgestellt sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 + ref_id: APP.3.6.A17 + name: Einsatz von DNSSEC + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a17 + ref_id: APP.3.6.A17.1 + description: Die DNS-Protokollerweiterung DNSSEC SOLLTE sowohl auf Resolving + DNS-Servern als auch auf Advertising DNS-Servern aktiviert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a17 + ref_id: APP.3.6.A17.2 + description: "Die dabei verwendeten Schl\xFCssel Key-Signing-Keys (KSK) und\ + \ Zone-Signing-Keys (ZSK) SOLLTEN regelm\xE4\xDFig gewechselt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 + ref_id: APP.3.6.A18 + name: Erweiterte Absicherung von Zonentransfers + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a18 + ref_id: APP.3.6.A18.1 + description: "Um Zonentransfers st\xE4rker abzusichern, SOLLTEN zus\xE4tzlich\ + \ Transaction Signatures (TSIG) eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 + ref_id: APP.3.6.A19 + name: Aussonderung von DNS-Servern + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a19 + ref_id: APP.3.6.A19.1 + description: "Der DNS-Server SOLLTE sowohl aus dem Domain-Namensraum als auch\ + \ aus dem Netzverbund gel\xF6scht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 + ref_id: APP.3.6.A20 + name: "Pr\xFCfung des Notfallplans auf Durchf\xFChrbarkeit" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a20 + ref_id: APP.3.6.A20.1 + description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob der Notfallplan\ + \ f\xFCr DNS-Server durchf\xFChrbar ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 + ref_id: APP.3.6.A21 + name: Hidden Master + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a21 + ref_id: APP.3.6.A21.1 + description: "Um Angriffe auf den prim\xE4ren Advertising DNS-Server zu erschweren,\ + \ SOLLTE eine sogenannte Hidden-Master-Anordnung vorgenommen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6 + ref_id: APP.3.6.A22 + name: "Anbindung der DNS-Server \xFCber unterschiedliche Provider" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.3.6.a22 + ref_id: APP.3.6.A22.1 + description: "Extern erreichbare DNS-Server SOLLTEN \xFCber unterschiedliche\ + \ Provider angebunden werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app + ref_id: APP.4.2 + name: SAP-ERP-System + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 + ref_id: APP.4.2.A1 + name: Sichere Konfiguration des SAP-ABAP-Stacks + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a1 + ref_id: APP.4.2.A1.1 + description: Der SAP-ABAP-Stack MUSS sicher konfiguriert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a1 + ref_id: APP.4.2.A1.2 + description: "Dazu M\xDCSSEN die jeweiligen Profilparameter gesetzt werden,\ + \ z. B. f\xFCr die Passwortsicherheit, Authentisierung und Verschl\xFCsselung." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a1 + ref_id: APP.4.2.A1.3 + description: "Auch M\xDCSSEN die System\xE4nderbarkeit und die Mandanten konfiguriert,\ + \ das IMG-Customizing durchgef\xFChrt und die Betriebssystemkommandos abgesichert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 + ref_id: APP.4.2.A2 + name: Sichere Konfiguration des SAP-JAVA-Stacks + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a2 + ref_id: APP.4.2.A2.1 + description: Der SAP-JAVA-Stack MUSS sicher konfiguriert werden, falls dieser + eingesetzt wird. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a2 + ref_id: APP.4.2.A2.2 + description: "Daf\xFCr M\xDCSSEN andere Sicherheitsmechanismen und -konzepte\ + \ erstellt werden als f\xFCr den SAP-ABAP-Stack." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a2 + ref_id: APP.4.2.A2.3 + description: "Deshalb M\xDCSSEN Administrierende die Architektur des JAVA-Stacks\ + \ kennen und wissen, wie er administriert wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a2 + ref_id: APP.4.2.A2.4 + description: "Zudem M\xDCSSEN nicht ben\xF6tigte Dienste abgeschaltet, Standardinhalte\ + \ entfernt, HTTP-Dienste gesch\xFCtzt und Zugriffe auf Administrationsschnittstellen\ + \ eingeschr\xE4nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 + ref_id: APP.4.2.A3 + name: Netzsicherheit + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a3 + ref_id: APP.4.2.A3.1 + description: "Um die Netzsicherheit zu gew\xE4hrleisten, M\xDCSSEN entsprechende\ + \ Konzepte unter Ber\xFCcksichtigung des SAP-ERP-Systems erstellt und Einstellungen\ + \ am System durchgef\xFChrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a3 + ref_id: APP.4.2.A3.2 + description: Weiterhin SOLLTEN der SAP-Router und SAP Web Dispatcher eingesetzt + werden, um ein sicheres SAP-Netz zu implementieren und aufrechtzuerhalten. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a3 + ref_id: APP.4.2.A3.3 + description: "Um Sicherheitsl\xFCcken aufgrund von Fehlinterpretationen oder\ + \ Missverst\xE4ndnissen zu vermeiden, M\xDCSSEN sich die Bereiche IT-Betrieb,\ + \ Firewall-Betrieb, Portalbetrieb und SAP-Betrieb miteinander abstimmen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 + ref_id: APP.4.2.A4 + name: Absicherung der ausgelieferten SAP-Standard-Konten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a4 + ref_id: APP.4.2.A4.1 + description: "Direkt nach der Installation eines SAP-ERP-Systems M\xDCSSEN die\ + \ voreingestellten Passw\xF6rter der SAP-Standard-Konten ge\xE4ndert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a4 + ref_id: APP.4.2.A4.2 + description: "Auch M\xDCSSEN die eingerichteten SAP-Standard-Konten mithilfe\ + \ geeigneter Ma\xDFnahmen abgesichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a4 + ref_id: APP.4.2.A4.3 + description: "Bestimmte SAP-Standard-Konten D\xDCRFEN NICHT benutzt werden,\ + \ z. B. f\xFCr RFC-Verbindungen und Background-Jobs." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 + ref_id: APP.4.2.A5 + name: Konfiguration und Absicherung der SAP-Konten-Verwaltung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a5 + ref_id: APP.4.2.A5.1 + description: "Die SAP-Konten-Verwaltung f\xFCr ABAP-Systeme MUSS sorgf\xE4ltig\ + \ und sicher administriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a5 + ref_id: APP.4.2.A5.2 + description: "Aktivit\xE4ten, wie Konten anlegen, \xE4ndern und l\xF6schen,\ + \ Passw\xF6rter zur\xFCcksetzen und entsperren sowie Rollen und Profile zuordnen,\ + \ M\xDCSSEN zu den Aufgaben der Konto-Administration geh\xF6ren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 + ref_id: APP.4.2.A6 + name: Erstellung und Umsetzung eines Konten- und Berechtigungskonzeptes + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 + ref_id: APP.4.2.A6.1 + description: "F\xFCr SAP-ERP-Systeme MUSS ein Konten- und Berechtigungskonzept\ + \ ausgearbeitet und umgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 + ref_id: APP.4.2.A6.2 + description: "Dabei M\xDCSSEN folgende Punkte ber\xFCcksichtigt werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 + ref_id: APP.4.2.A6.3 + description: "\u2022 Identit\xE4tsprinzip, Minimalprinzip, Stellenprinzip, Belegprinzip\ + \ der Buchhaltung, Belegprinzip der Berechtigungsverwaltung, Funktionstrennungsprinzip\ + \ (Segregation of Duties, SoD), Genehmigungsprinzip, Standardprinzip, Schriftformprinzip\ + \ und Kontrollprinzip M\xDCSSEN ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 + ref_id: APP.4.2.A6.4 + description: "\u2022 Konto-, Berechtigungs- und gegebenenfalls Profiladministrierender\ + \ M\xDCSSEN getrennte Verantwortlichkeiten und damit Berechtigungen haben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 + ref_id: APP.4.2.A6.5 + description: "\u2022 Vorgehensweisen im Rahmen der Berechtigungsadministration\ + \ f\xFCr Rollen anlegen, \xE4ndern, l\xF6schen, transportieren und SU24 Vorschlagswerte\ + \ transportieren M\xDCSSEN definiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 + ref_id: APP.4.2.A6.6 + description: Dabei SOLLTEN Berechtigungsrollen nur im Entwicklungssystem angelegt + und gepflegt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 + ref_id: APP.4.2.A6.7 + description: Sie SOLLTEN mit Hilfe des Transport-Management-Systems (TMS) transportiert + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 + ref_id: APP.4.2.A6.8 + description: Berechtigungen SOLLTEN in Berechtigungsrollen (PFCG-Rollen) angelegt, + gespeichert und den Konten zugeordnet werden (rollenbasiertes Berechtigungskonzept). + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 + ref_id: APP.4.2.A6.9 + description: Da sich einzelne kritische Aktionen in den Rollen nicht immer vermeiden + lassen, SOLLTEN sie von kompensierenden Kontrollen (mitigation controls) abgedeckt + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 + ref_id: APP.4.2.A6.10 + description: "\u2022 Vorgehensweisen im Rahmen der Berechtigungsvergabe f\xFC\ + r Konten und Berechtigungen beantragen, genehmigen, \xE4ndern und l\xF6schen\ + \ M\xDCSSEN definiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 + ref_id: APP.4.2.A6.11 + description: "\u2022 Namenskonventionen f\xFCr Konten-Kennungen und technische\ + \ Rollennamen M\xDCSSEN definiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 + ref_id: APP.4.2.A6.12 + description: "\u2022 Vorschlagswerte und Pr\xFCfkennzeichen SOLLTEN in der Transaktion\ + \ SU24 gepflegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6.13 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 + ref_id: APP.4.2.A6.13 + description: Die Vorgehensweise dazu SOLLTE im Konten- und Berechtigungskonzept + beschrieben sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6.14 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 + ref_id: APP.4.2.A6.14 + description: "\u2022 Gesetzliche und interne Rahmenbedingungen wie die Grunds\xE4\ + tze ordnungsgem\xE4\xDFer Buchf\xFChrung (GoB), das Handelsgesetzbuch (HGB)\ + \ oder interne Vorgaben der Institution M\xDCSSEN ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6.15 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 + ref_id: APP.4.2.A6.15 + description: Das Konten- und Berechtigungskonzept SOLLTE auch den Betrieb technischer + Konten abdecken, also auch die Berechtigung von Hintergrund- und Schnittstellenkonten. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6.16 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 + ref_id: APP.4.2.A6.16 + description: "Es SOLLTEN geeignete Kontrollmechanismen angewandt werden, um\ + \ SoD-Konfliktfreiheit von Rollen und die Vergabe von kritischen Berechtigungen\ + \ an Konten zu \xFCberwachen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6.17 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a6 + ref_id: APP.4.2.A6.17 + description: "Werden neben dem ABAP-Backend weitere Komponenten wie SAP HANA\ + \ und SAP NetWeaver Gateway (f\xFCr Fiori-Anwendungen) verwendet, MUSS das\ + \ Design der Berechtigungen zwischen den Komponenten abgestimmt und synchronisiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 + ref_id: APP.4.2.A7 + name: Absicherung der SAP-Datenbanken + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a7 + ref_id: APP.4.2.A7.1 + description: Der Zugriff auf SAP-Datenbanken MUSS abgesichert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a7 + ref_id: APP.4.2.A7.2 + description: "Administrierende SOLLTEN m\xF6glichst nur mit SAP-Tools auf die\ + \ Datenbanken zugreifen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a7 + ref_id: APP.4.2.A7.3 + description: "Wird dazu Software von fremden Institutionen benutzt, M\xDCSSEN\ + \ zus\xE4tzliche Sicherheitsma\xDFnahmen umgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a7 + ref_id: APP.4.2.A7.4 + description: "Es DARF dann kein Schema-Konto des SAP Systems f\xFCr die Verbindung\ + \ zur Datenbank genutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a7 + ref_id: APP.4.2.A7.5 + description: "Au\xDFerdem M\xDCSSEN Standardpassw\xF6rter ge\xE4ndert und bestimmte\ + \ Datenbanktabellen (z. B. USR* Tabellen) besonders gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 + ref_id: APP.4.2.A8 + name: Absicherung der SAP-RFC-Schnittstelle + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8 + ref_id: APP.4.2.A8.1 + description: "Zum Schutz der Remote-Function-Call (RFC)-Schnittstelle M\xDC\ + SSEN RFC-Verbindungen, RFC-Berechtigungen und die RFC-Gateways sicher konfiguriert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8 + ref_id: APP.4.2.A8.2 + description: "Es M\xDCSSEN f\xFCr alle RFC-Verbindungen einheitliche Verwaltungsrichtlinien\ + \ erstellt und umgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8 + ref_id: APP.4.2.A8.3 + description: "Dazu SOLLTEN die ben\xF6tigten RFC-Verbindungen definiert und\ + \ dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8 + ref_id: APP.4.2.A8.4 + description: "Verbindungen mit hinterlegtem Passwort SOLLTEN nicht von niedriger\ + \ privilegierten auf h\xF6her privilegierte Systeme (z. B. von Dev nach Prod)\ + \ konfiguriert sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8 + ref_id: APP.4.2.A8.5 + description: "Nicht mehr benutzte RFC-Verbindungen M\xDCSSEN gel\xF6scht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8 + ref_id: APP.4.2.A8.6 + description: "Alle RFC-Gateways M\xDCSSEN sicher administriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8 + ref_id: APP.4.2.A8.7 + description: "Dazu M\xDCSSEN geeignete Profilparameter gesetzt werden, z. B.\ + \ gw/monitor, gw/reg_no_conn_info und snc/permit_insecure_start." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8 + ref_id: APP.4.2.A8.8 + description: "Alle Verbindungen \xFCber ein Gateway M\xDCSSEN unter dem Sicherheitsaspekt\ + \ analysiert und bewertet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8 + ref_id: APP.4.2.A8.9 + description: "Au\xDFerdem MUSS die Protokollierung aktiv sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a8 + ref_id: APP.4.2.A8.10 + description: "Es M\xDCSSEN Zugriffssteuerungslisten (ACLs) definiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 + ref_id: APP.4.2.A9 + name: "Absicherung und \xDCberwachung des Message-Servers" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a9 + ref_id: APP.4.2.A9.1 + description: Der Message-Server MUSS durch geeignete Einstellungen in den Profilparametern + abgesichert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a9 + ref_id: APP.4.2.A9.2 + description: "Es MUSS unter anderem entschieden werden, ob f\xFCr den internen\ + \ Message-Server noch ACLs aufgebaut werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a9 + ref_id: APP.4.2.A9.3 + description: "Der Message-Server MUSS mithilfe von geeigneten Mechanismen \xFC\ + berwacht werden, damit z. B. Systemausf\xE4lle des Message-Servers schnell\ + \ erkannt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 + ref_id: APP.4.2.A11 + name: Sichere Installation eines SAP-ERP-Systems + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a11 + ref_id: APP.4.2.A11.1 + description: "Bei der Installation eines SAP-ERP-Systems SOLLTEN aktuelle SAP-Sicherheitsleitf\xE4\ + den und - Dokumentationen ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a11 + ref_id: APP.4.2.A11.2 + description: "Au\xDFerdem SOLLTEN die Sicherheitsrichtlinien der Institution\ + \ eingehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a11 + ref_id: APP.4.2.A11.3 + description: "Ebenso SOLLTE gew\xE4hrleistet sein, dass das SAP-ERP-System auf\ + \ einem abgesicherten Betriebssystem installiert wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 + ref_id: APP.4.2.A12 + name: SAP-Berechtigungsentwicklung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12 + ref_id: APP.4.2.A12.1 + description: Die technischen Berechtigungen SOLLTEN aufgrund fachlicher Vorgaben + entwickelt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12 + ref_id: APP.4.2.A12.2 + description: Des Weiteren SOLLTEN SAP-Berechtigungen auf dem Entwicklungssystem + der SAP-Landschaft angepasst oder neu erstellt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12 + ref_id: APP.4.2.A12.3 + description: "Das SOLLTE auch bei S/4HANA die Berechtigungsentwicklung auf HANA-Datenbanken\ + \ mit einschlie\xDFen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12 + ref_id: APP.4.2.A12.4 + description: Hier SOLLTEN Repository-Rollen aufgebaut und transportiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12 + ref_id: APP.4.2.A12.5 + description: Datenbankprivilegien SOLLTEN NICHT direkt an Konten vergeben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12 + ref_id: APP.4.2.A12.6 + description: "Bei Eigenentwicklungen f\xFCr z. B. Transaktionen oder Berechtigungsobjekte\ + \ SOLLTE die Transaktion SU24 gepflegt werden (Zuordnungen von Berechtigungsobjekten\ + \ zu Transaktionen)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12 + ref_id: APP.4.2.A12.7 + description: "Die Gesamtberechtigung * oder Intervalle in Objektauspr\xE4gungen\ + \ SOLLTEN vermieden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12 + ref_id: APP.4.2.A12.8 + description: "Die Berechtigungsentwicklung SOLLTE im Rahmen eines \xC4nderungsmanagements\ + \ durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12 + ref_id: APP.4.2.A12.9 + description: "Es SOLLTE sichergestellt sein, dass das Produktivsystem ausreichend\ + \ vor Berechtigungs\xE4nderungen gesch\xFCtzt ist und keine Entwicklerschl\xFC\ + ssel vergeben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a12 + ref_id: APP.4.2.A12.10 + description: "Das Qualit\xE4tssicherungssystem SOLLTE bei der Berechtigungsvergabe\ + \ und erg\xE4nzenden Einstellungen analog zum Produktivsystem betrieben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 + ref_id: APP.4.2.A13 + name: SAP-Passwortsicherheit + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a13 + ref_id: APP.4.2.A13.1 + description: "Um eine sichere Anmeldung am SAP-ERP-System zu gew\xE4hrleisten,\ + \ SOLLTEN Profilparameter, Customizing-Schalter oder Sicherheitsrichtlinien\ + \ geeignet eingestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a13 + ref_id: APP.4.2.A13.2 + description: "Die eingesetzten Hash-Algorithmen f\xFCr die gespeicherten Hashwerte\ + \ der Passw\xF6rter in einem SAP-ERP-System SOLLTEN den aktuellen Sicherheitsstandards\ + \ entsprechen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a13 + ref_id: APP.4.2.A13.3 + description: "Zugriffe auf Tabellen mit Hashwerten SOLLTEN eingeschr\xE4nkt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 + ref_id: APP.4.2.A14 + name: Identifizierung kritischer SAP-Berechtigungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a14 + ref_id: APP.4.2.A14.1 + description: Der Umgang mit kritischen Berechtigungen SOLLTE streng kontrolliert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a14 + ref_id: APP.4.2.A14.2 + description: Es SOLLTE darauf geachtet werden, dass diese Berechtigungen, Rollen + und Profile nur restriktiv vergeben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a14 + ref_id: APP.4.2.A14.3 + description: "Dies SOLLTE auch f\xFCr kritische Rollenkombinationen und additive\ + \ Effekte wie z. B. Kreuzberechtigungen sichergestellt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a14.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a14 + ref_id: APP.4.2.A14.4 + description: "Kritische Berechtigungen SOLLTEN regelm\xE4\xDFig identifiziert,\ + \ \xFCberpr\xFCft und bewertet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a14.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a14 + ref_id: APP.4.2.A14.5 + description: "Die SAP-Profile SAP_ALL und SAP_NEW* sowie das SAP-Berechtigungsobjekt\ + \ S_DEVELOP (mit \xC4nderungsberechtigungen ACTVT 01 und 02) SOLLTEN im Produktivsystem\ + \ nicht vergeben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a14.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a14 + ref_id: APP.4.2.A14.6 + description: Notfall-Konten SOLLTEN von dieser Vorgabe ausgeschlossen sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 + ref_id: APP.4.2.A15 + name: Sichere Konfiguration des SAP-Routers + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a15 + ref_id: APP.4.2.A15.1 + description: "Der SAP-Router SOLLTE den Zugang zum Netz regeln und die bestehende\ + \ Firewall-Architektur zweckm\xE4\xDFig erg\xE4nzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a15 + ref_id: APP.4.2.A15.2 + description: Auch SOLLTE er den Zugang zum SAP-ERP-System kontrollieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 + ref_id: APP.4.2.A16 + name: "Umsetzung von Sicherheitsanforderungen f\xFCr das Betriebssystem Windows" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a16 + ref_id: APP.4.2.A16.1 + description: Das SAP-ERP-System SOLLTE NICHT auf einem Windows-Domaincontroller + installiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a16 + ref_id: APP.4.2.A16.2 + description: Die SAP-spezifischen Konten wie adm oder SAPService + SOLLTEN abgesichert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a16 + ref_id: APP.4.2.A16.3 + description: Nach der Installation SOLLTE das Konto gesperrt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a16.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a16 + ref_id: APP.4.2.A16.4 + description: Das Konto SAPService SOLLTE KEINE Rechte zur interaktiven + Anmeldung besitzen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a16.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a16 + ref_id: APP.4.2.A16.5 + description: "In Bezug auf diese Berechtigungen SOLLTEN die zum SAP-ERP-System\ + \ dazugeh\xF6rigen Systemressourcen wie Dateien, Prozesse und gemeinsam genutzte\ + \ Speicher gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a16.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a16 + ref_id: APP.4.2.A16.6 + description: Die spezifischen Berechtigungen der vom SAP-ERP-System angelegten + Konten Guest, System, SAP system users = adm, SAPService und + Database users = und Benutzendengruppen SOLLTEN + mithilfe geeigneter Einstellungen abgesichert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 + ref_id: APP.4.2.A17 + name: "Umsetzung von Sicherheitsanforderungen f\xFCr das Betriebssystem Unix" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a17 + ref_id: APP.4.2.A17.1 + description: "F\xFCr die SAP-ERP-Systemverzeichnisse unter Unix SOLLTEN Zugriffsberechtigungen\ + \ festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a17 + ref_id: APP.4.2.A17.2 + description: "Auch SOLLTEN die Passw\xF6rter der systemspezifischen Konten adm\ + \ und ge\xE4ndert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a17 + ref_id: APP.4.2.A17.3 + description: Nach der Installation SOLLTE das Konto gesperrt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 + ref_id: APP.4.2.A18 + name: Abschaltung von unsicherer Kommunikation + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a18 + ref_id: APP.4.2.A18.1 + description: Die Kommunikation mit und zwischen SAP-ERP-Systemen SOLLTE mit + SNC abgesichert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a18 + ref_id: APP.4.2.A18.2 + description: "Sofern Datenbank und SAP-Applikationsserver auf verschiedenen\ + \ Systemen betrieben werden, SOLLTE die Datenbankverbindung in geeigneter\ + \ Weise verschl\xFCsselt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a18 + ref_id: APP.4.2.A18.3 + description: Die internen Dienste des SAP-Applikationsservers SOLLTEN NUR mittels + TLS miteinander kommunizieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 + ref_id: APP.4.2.A19 + name: "Definition der Sicherheitsrichtlinien f\xFCr Konten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a19 + ref_id: APP.4.2.A19.1 + description: "F\xFCr die jeweiligen Konten und Kontengruppen SOLLTEN spezifische\ + \ Sicherheitsrichtlinien f\xFCr Passw\xF6rter und Anmelderestriktionen erstellt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a19 + ref_id: APP.4.2.A19.2 + description: So SOLLTEN beispielsweise Konten mit kritischen Berechtigungen + durch starke Passwortregeln abgesichert sein (Transaktion SECPOL). + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a19.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a19 + ref_id: APP.4.2.A19.3 + description: "Die Sicherheitsrichtlinien SOLLTEN den Konten korrekt zugeordnet\ + \ und regelm\xE4\xDFig \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 + ref_id: APP.4.2.A20 + name: Sichere SAP-GUI-Einstellungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a20 + ref_id: APP.4.2.A20.1 + description: "Die SAP GUI SOLLTE auf allen Clients installiert und regelm\xE4\ + \xDFig aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a20.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a20 + ref_id: APP.4.2.A20.2 + description: Auch SOLLTEN SAP GUI ACLs aktiviert sowie angemessene Administrationsregeln + verteilt und aktiviert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 + ref_id: APP.4.2.A22 + name: Schutz des Spools im SAP-ERP-System + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a22 + ref_id: APP.4.2.A22.1 + description: "Es SOLLTE sichergestellt sein, dass auf Daten der sequenziellen\ + \ Datenverarbeitung wie Spool oder Druck nur eingeschr\xE4nkt zugegriffen\ + \ werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a22.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a22 + ref_id: APP.4.2.A22.2 + description: "Auch SOLLTE verhindert werden, dass unberechtigte Konten auf die\ + \ vom SAP-Spoolsystem benutzte Datenablage TemSe zugreifen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a22.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a22 + ref_id: APP.4.2.A22.3 + description: "Die hierf\xFCr vergebenen Berechtigungen SOLLTEN regelm\xE4\xDF\ + ig \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a23 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 + ref_id: APP.4.2.A23 + name: Schutz der SAP-Hintergrundverarbeitung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a23.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a23 + ref_id: APP.4.2.A23.1 + description: "Die SAP-Hintergrundverarbeitung SOLLTE vor unberechtigten Zugriffen\ + \ gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a23.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a23 + ref_id: APP.4.2.A23.2 + description: "Daf\xFCr SOLLTEN f\xFCr Batch-Jobs verschiedene System-Konten\ + \ nach ihren Funktionsbereichen definiert und angelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a23.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a23 + ref_id: APP.4.2.A23.3 + description: "Der so genannte Benutzertyp Dialog SOLLTE daf\xFCr grunds\xE4\ + tzlich NICHT zugelassen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a24 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 + ref_id: APP.4.2.A24 + name: Aktivierung und Absicherung des Internet Communication Frameworks + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a24.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a24 + ref_id: APP.4.2.A24.1 + description: Es SOLLTE darauf geachtet werden, dass nur notwendige ICF-Dienste + aktiviert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a24.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a24 + ref_id: APP.4.2.A24.2 + description: Alle ICF-Dienste, die unter einem ICF-Objekt sind, SOLLTEN nur + einzeln aktiviert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a24.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a24 + ref_id: APP.4.2.A24.3 + description: ICF-Berechtigungen SOLLTEN restriktiv vergeben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a24.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a24 + ref_id: APP.4.2.A24.4 + description: "Die Kommunikation SOLLTE verschl\xFCsselt erfolgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a25 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 + ref_id: APP.4.2.A25 + name: Sichere Konfiguration des SAP Web Dispatchers + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a25.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a25 + ref_id: APP.4.2.A25.1 + description: Der SAP Web Dispatcher SOLLTE nicht der erste Einstiegspunkt aus + dem Internet zum SAP-ERP-System sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a25.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a25 + ref_id: APP.4.2.A25.2 + description: Der SAP Web Dispatcher SOLLTE auf dem aktuellen Stand sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a25.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a25 + ref_id: APP.4.2.A25.3 + description: Er SOLLTE sicher konfiguriert sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a26 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 + ref_id: APP.4.2.A26 + name: Schutz von selbstentwickeltem Code im SAP-ERP-System + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a26.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a26 + ref_id: APP.4.2.A26.1 + description: Es SOLLTE ein Custom-Code-Managementprozess definiert werden, damit + selbstentwickelter Code ausgetauscht oder entfernt wird, falls er durch SAP-Standard-Code + ersetzt werden kann oder er nicht mehr benutzt wird. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a26.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a26 + ref_id: APP.4.2.A26.2 + description: "Ferner SOLLTEN die Anforderungen aus der Richtlinie f\xFCr die\ + \ Entwicklung von ABAP-Programmen ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a27 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 + ref_id: APP.4.2.A27 + name: Audit des SAP-ERP-Systems + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a27.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a27 + ref_id: APP.4.2.A27.1 + description: "Damit sichergestellt ist, dass alle internen und externen Richtlinien\ + \ sowie Vorgaben eingehalten werden, SOLLTEN alle SAP-ERP-Systeme regelm\xE4\ + \xDFig auditiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a27.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a27 + ref_id: APP.4.2.A27.2 + description: "Daf\xFCr SOLLTE der Security Optimization Service im SAP Solution\ + \ Manager benutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a27.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a27 + ref_id: APP.4.2.A27.3 + description: Die Ergebnisse des Audits SOLLTEN ausgewertet und dokumentiert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a28 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 + ref_id: APP.4.2.A28 + name: Erstellung eines Notfallkonzeptes + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a28.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a28 + ref_id: APP.4.2.A28.1 + description: "F\xFCr SAP-ERP-Systeme SOLLTE ein Notfallkonzept erstellt und\ + \ betrieben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a28.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a28 + ref_id: APP.4.2.A28.2 + description: "Es SOLLTE die Gesch\xE4ftsaktivit\xE4ten absichern und mit den\ + \ Vorgaben aus dem Krisenmanagement oder dem Business-Continuity-Management\ + \ \xFCbereinstimmen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a28.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a28 + ref_id: APP.4.2.A28.3 + description: 'Im Notfallkonzept SOLLTEN folgende Punkte beschrieben und definiert + werden:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a28.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a28 + ref_id: APP.4.2.A28.4 + description: "\u2022 Detektion von und Reaktion auf Zwischenf\xE4lle," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a28.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a28 + ref_id: APP.4.2.A28.5 + description: "\u2022 Datensicherungs- und Wiederherstellungskonzept sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a28.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a28 + ref_id: APP.4.2.A28.6 + description: "\u2022 Notfalladministration." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a28.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a28 + ref_id: APP.4.2.A28.7 + description: "Das Notfallkonzept SOLLTE regelm\xE4\xDFig aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a29 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 + ref_id: APP.4.2.A29 + name: Einrichten von Notfall-Konten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a29.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a29 + ref_id: APP.4.2.A29.1 + description: Es SOLLTEN Notfall-Konten angelegt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a29.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a29 + ref_id: APP.4.2.A29.2 + description: Die eingerichteten Konten und Berechtigungen SOLLTEN stark kontrolliert + und genau dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a29.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a29 + ref_id: APP.4.2.A29.3 + description: "Au\xDFerdem SOLLTEN alle von Notfall-Konten durchgef\xFChrten\ + \ Aktivit\xE4ten protokolliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a30 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 + ref_id: APP.4.2.A30 + name: Implementierung eines kontinuierlichen Monitorings der Sicherheitseinstellungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a30.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a30 + ref_id: APP.4.2.A30.1 + description: "Es SOLLTE st\xE4ndig \xFCberwacht werden, ob alle Sicherheitseinstellungen\ + \ des SAP-ERP-Systems korrekt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a30.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a30 + ref_id: APP.4.2.A30.2 + description: "Au\xDFerdem SOLLTE \xFCberwacht werden, ob alle Patches und Updates\ + \ ordnungsgem\xE4\xDF eingespielt wurden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a30.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a30 + ref_id: APP.4.2.A30.3 + description: "Das SAP-Monitoring SOLLTE in die allgemeine System\xFCberwachung\ + \ der Institution integriert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a31 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 + ref_id: APP.4.2.A31 + name: Konfiguration von SAP Single-Sign-On + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a31.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a31 + ref_id: APP.4.2.A31.1 + description: Sind mehrere SAP-ERP-Systeme vorhanden, SOLLTEN die Benutzenden + auf die Systeme mit SAP Single-Sign-On (SAP SSO) zugreifen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a31.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a31 + ref_id: APP.4.2.A31.2 + description: Es SOLLTE in der Planungsphase entschieden werden, zwischen welchen + SAP-ERP-Systemen der SSO-Mechanismus benutzt wird. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a31.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a31 + ref_id: APP.4.2.A31.3 + description: Das SSO SOLLTE sicher konfiguriert und betrieben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a32 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2 + ref_id: APP.4.2.A32 + name: "Echtzeiterfassung und Alarmierung von irregul\xE4ren Vorg\xE4ngen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a32.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a32 + ref_id: APP.4.2.A32.1 + description: "Die wichtigsten Sicherheitsaufzeichnungsfunktionen der SAP-ERP-Systeme\ + \ wie Security Audit Log oder System Log SOLLTEN kontinuierlich \xFCberwacht\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a32.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a32 + ref_id: APP.4.2.A32.2 + description: "Bei verd\xE4chtigen Vorg\xE4ngen SOLLTEN automatisch die zust\xE4\ + ndigen Mitarbeitenden alarmiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a32.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.2.a32 + ref_id: APP.4.2.A32.3 + description: "Um SAP-spezifische Sicherheitsvorf\xE4lle analysieren und Falschmeldungen\ + \ von echten Sicherheitsvorf\xE4llen abgrenzen zu k\xF6nnen, SOLLTEN entweder\ + \ Mitarbeitende geschult oder entsprechende Serviceleistungen von Drittanbietenden\ + \ genutzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app + ref_id: APP.4.3 + name: Relationale Datenbanken + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 + ref_id: APP.4.3.A1 + name: "Erstellung einer Sicherheitsrichtlinie f\xFCr Datenbanksysteme" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a1 + ref_id: APP.4.3.A1.1 + description: "Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution\ + \ MUSS eine spezifische Sicherheitsrichtlinie f\xFCr Datenbanksysteme erstellt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a1 + ref_id: APP.4.3.A1.2 + description: "Darin M\xDCSSEN nachvollziehbar Anforderungen und Vorgaben beschrieben\ + \ sein, wie Datenbanksysteme sicher betrieben werden sollen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a1 + ref_id: APP.4.3.A1.3 + description: "Die Richtlinie MUSS allen im Bereich Datenbanksysteme zust\xE4\ + ndigen Mitarbeitenden bekannt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a1 + ref_id: APP.4.3.A1.4 + description: "Sie MUSS grundlegend f\xFCr ihre Arbeit sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a1 + ref_id: APP.4.3.A1.5 + description: "Wird die Richtlinie ver\xE4ndert oder wird von den Anforderungen\ + \ abgewichen, MUSS dies mit dem oder der ISB abgestimmt und dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a1 + ref_id: APP.4.3.A1.6 + description: "Es MUSS regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Richtlinie\ + \ noch korrekt umgesetzt ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a1.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a1 + ref_id: APP.4.3.A1.7 + description: "Die Ergebnisse M\xDCSSEN sinnvoll dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 + ref_id: APP.4.3.A3 + name: "Basish\xE4rtung des Datenbankmanagementsystems" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a3 + ref_id: APP.4.3.A3.1 + description: "Das Datenbankmanagementsystem MUSS geh\xE4rtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a3 + ref_id: APP.4.3.A3.2 + description: "Hierf\xFCr MUSS eine Checkliste mit den durchzuf\xFChrenden Schritten\ + \ zusammengestellt und abgearbeitet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a3 + ref_id: APP.4.3.A3.3 + description: "Passw\xF6rter D\xDCRFEN NICHT im Klartext gespeichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a3 + ref_id: APP.4.3.A3.4 + description: "Die Basish\xE4rtung MUSS regelm\xE4\xDFig \xFCberpr\xFCft und,\ + \ falls erforderlich, angepasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 + ref_id: APP.4.3.A4 + name: Geregeltes Anlegen neuer Datenbanken + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a4 + ref_id: APP.4.3.A4.1 + description: "Neue Datenbanken M\xDCSSEN nach einem definierten Prozess angelegt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a4 + ref_id: APP.4.3.A4.2 + description: "Wenn eine neue Datenbank angelegt wird, M\xDCSSEN Grundinformationen\ + \ zur Datenbank nachvollziehbar dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 + ref_id: APP.4.3.A9 + name: Datensicherung eines Datenbanksystems + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a9 + ref_id: APP.4.3.A9.1 + description: "Es M\xDCSSEN regelm\xE4\xDFig Systemsicherungen des DBMS und der\ + \ Daten durchgef\xFChrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a9 + ref_id: APP.4.3.A9.2 + description: Auch bevor eine Datenbank neu erzeugt wird, MUSS das Datenbanksystem + gesichert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a9 + ref_id: APP.4.3.A9.3 + description: "Hierf\xFCr SOLLTEN die daf\xFCr zul\xE4ssigen Dienstprogramme\ + \ benutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a9 + ref_id: APP.4.3.A9.4 + description: Alle Transaktionen SOLLTEN so gesichert werden, dass sie jederzeit + wiederherstellbar sind. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a9.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a9 + ref_id: APP.4.3.A9.5 + description: "Wenn die Datensicherung die verf\xFCgbaren Kapazit\xE4ten \xFC\ + bersteigt, SOLLTE ein erweitertes Konzept erstellt werden, um die Datenbank\ + \ zu sichern, z. B. eine inkrementelle Sicherung." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a9.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a9 + ref_id: APP.4.3.A9.6 + description: "Abh\xE4ngig vom Schutzbedarf der Daten SOLLTEN die Wiederherstellungsparameter\ + \ vorgegeben werden (siehe CON.3 Datensicherungskonzept)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 + ref_id: APP.4.3.A11 + name: Ausreichende Dimensionierung der Hardware + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a11 + ref_id: APP.4.3.A11.1 + description: Datenbankmanagementsysteme SOLLTEN auf ausreichend dimensionierter + Hardware installiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a11 + ref_id: APP.4.3.A11.2 + description: "Die Hardware SOLLTE \xFCber gen\xFCgend Reserven verf\xFCgen,\ + \ um auch eventuell steigenden Anforderungen gerecht zu werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a11 + ref_id: APP.4.3.A11.3 + description: "Zeichnen sich trotzdem w\xE4hrend des Betriebs Ressourcenengp\xE4\ + sse ab, SOLLTEN diese fr\xFChzeitig behoben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a11.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a11 + ref_id: APP.4.3.A11.4 + description: "Wenn die Hardware dimensioniert wird, SOLLTE das erwartete Wachstum\ + \ f\xFCr den geplanten Einsatzzeitraum ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 + ref_id: APP.4.3.A12 + name: Einheitlicher Konfigurationsstandard von Datenbankmanagementsystemen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a12 + ref_id: APP.4.3.A12.1 + description: "F\xFCr alle eingesetzten Datenbankmanagementsysteme SOLLTE ein\ + \ einheitlicher Konfigurationsstandard definiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a12 + ref_id: APP.4.3.A12.2 + description: Alle Datenbankmanagementsysteme SOLLTEN nach diesem Standard konfiguriert + und einheitlich betrieben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a12 + ref_id: APP.4.3.A12.3 + description: Falls es bei einer Installation notwendig ist, vom Konfigurationsstandard + abzuweichen, SOLLTEN alle Schritte von dem oder der ISB freigegeben und nachvollziehbar + dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a12 + ref_id: APP.4.3.A12.4 + description: "Der Konfigurationsstandard SOLLTE regelm\xE4\xDFig \xFCberpr\xFC\ + ft und, falls erforderlich, angepasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 + ref_id: APP.4.3.A13 + name: Restriktive Handhabung von Datenbank-Links + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a13 + ref_id: APP.4.3.A13.1 + description: "Es SOLLTE sichergestellt sein, dass nur Zust\xE4ndige dazu berechtigt\ + \ sind, Datenbank-Links (DB-Links) anzulegen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a13 + ref_id: APP.4.3.A13.2 + description: "Werden solche Links angelegt, M\xDCSSEN so genannte Private DB-Links\ + \ vor Public DB-Links bevorzugt angelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a13 + ref_id: APP.4.3.A13.3 + description: "Alle von den Zust\xE4ndigen angelegten DB-Links SOLLTEN dokumentiert\ + \ und regelm\xE4\xDFig \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a13.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a13 + ref_id: APP.4.3.A13.4 + description: "Zudem SOLLTEN DB-Links mitber\xFCcksichtigt werden, wenn das Datenbanksystem\ + \ gesichert wird (siehe APP.4.3.A9 Datensicherung eines Datenbanksystems)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 + ref_id: APP.4.3.A16 + name: "Verschl\xFCsselung der Datenbankanbindung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a16 + ref_id: APP.4.3.A16.1 + description: "Das Datenbankmanagementsystem SOLLTE so konfiguriert werden, dass\ + \ Datenbankverbindungen immer verschl\xFCsselt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a16 + ref_id: APP.4.3.A16.2 + description: Die dazu eingesetzten kryptografischen Verfahren und Protokolle + SOLLTEN den internen Vorgaben der Institution entsprechen (siehe CON.1 Kryptokonzept). + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 + ref_id: APP.4.3.A17 + name: "Daten\xFCbernahme oder Migration" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a17 + ref_id: APP.4.3.A17.1 + description: "Es SOLLTE vorab definiert werden, wie initial oder regelm\xE4\xDF\ + ig Daten in eine Datenbank \xFCbernommen werden sollen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a17 + ref_id: APP.4.3.A17.2 + description: "Nachdem Daten \xFCbernommen wurden, SOLLTE gepr\xFCft werden,\ + \ ob sie vollst\xE4ndig und unver\xE4ndert sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 + ref_id: APP.4.3.A18 + name: "\xDCberwachung des Datenbankmanagementsystems" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a18 + ref_id: APP.4.3.A18.1 + description: "Die f\xFCr den sicheren Betrieb kritischen Parameter, Ereignisse\ + \ und Betriebszust\xE4nde des Datenbankmanagementsystems SOLLTEN definiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a18 + ref_id: APP.4.3.A18.2 + description: "Diese SOLLTEN mithilfe eines Monitoring-Systems \xFCberwacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a18 + ref_id: APP.4.3.A18.3 + description: "F\xFCr alle kritischen Parameter, Ereignisse und Betriebszust\xE4\ + nde SOLLTEN Schwellwerte festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a18.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a18 + ref_id: APP.4.3.A18.4 + description: "Wenn diese Werte \xFCberschritten werden, MUSS geeignet reagiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a18.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a18 + ref_id: APP.4.3.A18.5 + description: "Hierbei SOLLTEN die zust\xE4ndigen Mitarbeitenden alarmiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a18.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a18 + ref_id: APP.4.3.A18.6 + description: "Anwendungsspezifische Parameter, Ereignisse, Betriebszust\xE4\ + nde und deren Schwellwerte SOLLTEN mit den Zust\xE4ndigen f\xFCr die Fachanwendungen\ + \ abgestimmt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 + ref_id: APP.4.3.A19 + name: "Schutz vor sch\xE4dlichen Datenbank-Skripten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a19 + ref_id: APP.4.3.A19.1 + description: "Werden Datenbank-Skripte entwickelt, SOLLTEN daf\xFCr verpflichtende\ + \ Qualit\xE4tskriterien definiert werden (siehe CON.8 Software-Entwicklung)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a19 + ref_id: APP.4.3.A19.2 + description: "Datenbank-Skripte SOLLTEN ausf\xFChrlichen Funktionstests auf\ + \ gesonderten Testsystemen unterzogen werden, bevor sie produktiv eingesetzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a19.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a19 + ref_id: APP.4.3.A19.3 + description: Die Ergebnisse SOLLTEN dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 + ref_id: APP.4.3.A20 + name: "Regelm\xE4\xDFige Audits" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a20 + ref_id: APP.4.3.A20.1 + description: "Bei allen Komponenten des Datenbanksystems SOLLTE regelm\xE4\xDF\ + ig \xFCberpr\xFCft werden, ob alle festgelegten Sicherheitsma\xDFnahmen umgesetzt\ + \ und diese korrekt konfiguriert sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a20.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a20 + ref_id: APP.4.3.A20.2 + description: "Dabei SOLLTE gepr\xFCft werden, ob der dokumentierte Stand dem\ + \ Ist-Zustand entspricht und ob die Konfiguration des Datenbankmanagementsystems\ + \ der dokumentierten Standardkonfiguration entspricht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a20.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a20 + ref_id: APP.4.3.A20.3 + description: "Zudem SOLLTE gepr\xFCft werden, ob alle Datenbank-Skripte ben\xF6\ + tigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a20.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a20 + ref_id: APP.4.3.A20.4 + description: "Auch SOLLTE gepr\xFCft werden, ob sie dem Qualit\xE4tsstandard\ + \ der Institution gen\xFCgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a20.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a20 + ref_id: APP.4.3.A20.5 + description: "Zus\xE4tzlich SOLLTEN die Protokolldateien des Datenbanksystems\ + \ und des Betriebssystems nach Auff\xE4lligkeiten untersucht werden (siehe\ + \ DER.1 Detektion von sicherheitsrelevanten Ereignissen)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a20.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a20 + ref_id: APP.4.3.A20.6 + description: Die Auditergebnisse SOLLTEN nachvollziehbar dokumentiert sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a20.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a20 + ref_id: APP.4.3.A20.7 + description: Sie SOLLTEN mit dem Soll-Zustand abgeglichen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a20.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a20 + ref_id: APP.4.3.A20.8 + description: Abweichungen SOLLTE nachgegangen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 + ref_id: APP.4.3.A21 + name: Einsatz von Datenbank Security Tools + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a21 + ref_id: APP.4.3.A21.1 + description: "Es SOLLTEN Informationssicherheitsprodukte f\xFCr Datenbanken\ + \ eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a21.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a21 + ref_id: APP.4.3.A21.2 + description: 'Die eingesetzten Produkte SOLLTEN folgende Funktionen bereitstellen:' + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a21.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a21 + ref_id: APP.4.3.A21.3 + description: "\u2022 Erstellung einer \xDCbersicht \xFCber alle Datenbanksysteme," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a21.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a21 + ref_id: APP.4.3.A21.4 + description: "\u2022 erweiterte Konfigurationsm\xF6glichkeiten und Rechtemanagement\ + \ der Datenbanken," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a21.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a21 + ref_id: APP.4.3.A21.5 + description: "\u2022 Erkennung und Unterbindung von m\xF6glichen Angriffen (z.\ + \ B. Brute Force Angriffe auf Konten, SQL-Injection) und" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a21.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a21 + ref_id: APP.4.3.A21.6 + description: "\u2022 Auditfunktionen (z. B. \xDCberpr\xFCfung von Konfigurationsvorgaben)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 + ref_id: APP.4.3.A22 + name: Notfallvorsorge + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a22 + ref_id: APP.4.3.A22.1 + description: "F\xFCr das Datenbankmanagementsystem SOLLTE ein Notfallplan erstellt\ + \ werden, der festlegt, wie ein Notbetrieb realisiert werden kann." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a22.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a22 + ref_id: APP.4.3.A22.2 + description: "Die f\xFCr den Notfallplan notwendigen Ressourcen SOLLTEN ermittelt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a22.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a22 + ref_id: APP.4.3.A22.3 + description: "Zus\xE4tzlich SOLLTE der Notfallplan definieren, wie aus dem Notbetrieb\ + \ der Regelbetrieb wiederhergestellt werden kann." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a22.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a22 + ref_id: APP.4.3.A22.4 + description: "Der Notfallplan SOLLTE die n\xF6tigen Meldewege, Reaktionswege,\ + \ Ressourcen und Reaktionszeiten der Fachverantwortlichen festlegen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a22.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a22 + ref_id: APP.4.3.A22.5 + description: "Auf Basis eines Koordinationsplans zum Wiederanlauf SOLLTEN alle\ + \ von der Datenbank abh\xE4ngigen IT-Systeme vorab ermittelt und ber\xFCcksichtigt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a23 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 + ref_id: APP.4.3.A23 + name: Archivierung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a23.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a23 + ref_id: APP.4.3.A23.1 + description: Ist es erforderlich, Daten eines Datenbanksystems zu archivieren, + SOLLTE ein entsprechendes Archivierungskonzept erstellt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a23.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a23 + ref_id: APP.4.3.A23.2 + description: "Es SOLLTE sichergestellt sein, dass die Datenbest\xE4nde zu einem\ + \ sp\xE4teren Zeitpunkt wieder vollst\xE4ndig und konsistent verf\xFCgbar\ + \ sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a23.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a23 + ref_id: APP.4.3.A23.3 + description: Im Archivierungskonzept SOLLTEN sowohl die Intervalle der Archivierung + als auch die Vorhaltefristen der archivierten Daten festgelegt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a23.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a23 + ref_id: APP.4.3.A23.4 + description: "Zus\xE4tzlich SOLLTE dokumentiert werden, mit welcher Technik\ + \ die Datenbanken archiviert wurden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a23.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a23 + ref_id: APP.4.3.A23.5 + description: "Mit den archivierten Daten SOLLTEN regelm\xE4\xDFig Wiederherstellungstests\ + \ durchgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a23.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a23 + ref_id: APP.4.3.A23.6 + description: Die Ergebnisse SOLLTEN dokumentiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a24 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 + ref_id: APP.4.3.A24 + name: "Datenverschl\xFCsselung in der Datenbank" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a24.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a24 + ref_id: APP.4.3.A24.1 + description: "Die Daten in den Datenbanken SOLLTEN verschl\xFCsselt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a24.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a24 + ref_id: APP.4.3.A24.2 + description: 'Dabei SOLLTEN vorher unter anderem folgende Faktoren betrachtet + werden:' + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a24.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a24 + ref_id: APP.4.3.A24.3 + description: "\u2022 Einfluss auf die Performance," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a24.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a24 + ref_id: APP.4.3.A24.4 + description: "\u2022 Schl\xFCsselverwaltungsprozesse und -verfahren, einschlie\xDF\ + lich separater Schl\xFCsselaufbewahrung und -sicherung," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a24.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a24 + ref_id: APP.4.3.A24.5 + description: "\u2022 Einfluss auf Backup-Recovery-Konzepte," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a24.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a24 + ref_id: APP.4.3.A24.6 + description: "\u2022 funktionale Auswirkungen auf die Datenbank, beispielsweise\ + \ Sortierm\xF6glichkeiten." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a25 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3 + ref_id: APP.4.3.A25 + name: "Sicherheitspr\xFCfungen von Datenbanksystemen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a25.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a25 + ref_id: APP.4.3.A25.1 + description: "Datenbanksysteme SOLLTEN regelm\xE4\xDFig mithilfe von Sicherheitspr\xFC\ + fungen kontrolliert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a25.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.3.a25 + ref_id: APP.4.3.A25.2 + description: "Bei den Sicherheitspr\xFCfungen SOLLTEN die systemischen und spezifischen\ + \ Aspekte des herstellenden Unternehmens der eingesetzten Datenbank-Infrastruktur\ + \ (z. B. Verzeichnisdienste) sowie des eingesetzten Datenbankmanagementsystems\ + \ betrachtet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app + ref_id: APP.4.4 + name: Kubernetes + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 + ref_id: APP.4.4.A1 + name: Planung der Separierung der Anwendungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a1 + ref_id: APP.4.4.A1.1 + description: Vor der Inbetriebnahme MUSS geplant werden, wie die in den Pods + betriebenen Anwendungen und deren unterschiedlichen Test- und Produktions-Betriebsumgebungen + separiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a1 + ref_id: APP.4.4.A1.2 + description: Auf Basis des Schutzbedarfs der Anwendungen MUSS festgelegt werden, + welche Architektur der Namespaces, Meta-Tags, Cluster und Netze angemessen + auf die Risiken eingeht und ob auch virtualisierte Server und Netze zum Einsatz + kommen sollen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a1 + ref_id: APP.4.4.A1.3 + description: Die Planung MUSS Regelungen zu Netz-, CPU- und Festspeicherseparierung + enthalten. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a1 + ref_id: APP.4.4.A1.4 + description: Die Separierung SOLLTE auch das Netzzonenkonzept und den Schutzbedarf + beachten und auf diese abgestimmt sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a1 + ref_id: APP.4.4.A1.5 + description: Anwendungen SOLLTEN jeweils in einem eigenen Kubernetes-Namespace + laufen, der alle Programme der Anwendung umfasst. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a1 + ref_id: APP.4.4.A1.6 + description: "Nur Anwendungen mit \xE4hnlichem Schutzbedarf und \xE4hnlichen\ + \ m\xF6glichen Angriffsvektoren SOLLTEN einen Kubernetes-Cluster teilen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 + ref_id: APP.4.4.A2 + name: Planung der Automatisierung mit CI/CD + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a2 + ref_id: APP.4.4.A2.1 + description: Wenn eine Automatisierung des Betriebs von Anwendungen in Kubernetes + mithilfe von CI/CD stattfindet, DARF diese NUR nach einer geeigneten Planung + erfolgen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a2 + ref_id: APP.4.4.A2.2 + description: "Die Planung MUSS den gesamten Lebenszyklus von Inbetrieb- bis\ + \ Au\xDFerbetriebnahme inklusive Entwicklung, Tests, Betrieb, \xDCberwachung\ + \ und Updates umfassen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a2 + ref_id: APP.4.4.A2.3 + description: "Das Rollen- und Rechtekonzept sowie die Absicherung von Kubernetes\ + \ Secrets M\xDCSSEN Teil der Planung sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 + ref_id: APP.4.4.A3 + name: "Identit\xE4ts- und Berechtigungsmanagement bei Kubernetes" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a3 + ref_id: APP.4.4.A3.1 + description: "Kubernetes und alle anderen Anwendungen der Control Plane M\xDC\ + SSEN jede Aktion eines Benutzenden oder, im automatisierten Betrieb, einer\ + \ entsprechenden Software authentifizieren und autorisieren, unabh\xE4ngig\ + \ davon, ob die Aktionen \xFCber einen Client, eine Weboberfl\xE4che oder\ + \ \xFCber eine entsprechende Schnittstelle (API) erfolgt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a3 + ref_id: APP.4.4.A3.2 + description: "Administrative Handlungen D\xDCRFEN NICHT anonym erfolgen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a3 + ref_id: APP.4.4.A3.3 + description: "Benutzende D\xDCRFEN NUR die unbedingt notwendigen Rechte erhalten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a3 + ref_id: APP.4.4.A3.4 + description: "Berechtigungen ohne Einschr\xE4nkungen M\xDCSSEN sehr restriktiv\ + \ vergeben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a3 + ref_id: APP.4.4.A3.5 + description: Nur ein kleiner Kreis von Personen SOLLTE berechtigt sein, Prozesse + der Automatisierung zu definieren. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a3.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a3 + ref_id: APP.4.4.A3.6 + description: "Nur ausgew\xE4hlte Administrierende SOLLTEN in Kubernetes das\ + \ Recht erhalten, Freigaben f\xFCr Festspeicher (Persistent Volumes) anzulegen\ + \ oder zu \xE4ndern." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 + ref_id: APP.4.4.A4 + name: Separierung von Pods + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a4 + ref_id: APP.4.4.A4.1 + description: "Der Betriebssystem-Kernel der Nodes MUSS \xFCber Isolationsmechanismen\ + \ zur Beschr\xE4nkung von Sichtbarkeit und Ressourcennutzung der Pods untereinander\ + \ verf\xFCgen (vergleiche Linux Namespaces und cgroups)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a4 + ref_id: APP.4.4.A4.2 + description: Die Trennung MUSS dabei mindestens IDs von Prozessen sowie Benutzenden, + Inter-Prozess-Kommunikation, Dateisystem und Netz inklusive Hostname umfassen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 + ref_id: APP.4.4.A5 + name: Datensicherung im Cluster + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5 + ref_id: APP.4.4.A5.1 + description: Es MUSS eine Datensicherung des Clusters erfolgen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5 + ref_id: APP.4.4.A5.2 + description: 'Die Datensicherung MUSS umfassen:' + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5 + ref_id: APP.4.4.A5.3 + description: "\u2022 Festspeicher (Persistent Volumes)," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5 + ref_id: APP.4.4.A5.4 + description: "\u2022 Konfigurationsdateien von Kubernetes und den weiteren Programmen\ + \ der Control Plane," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5 + ref_id: APP.4.4.A5.5 + description: "\u2022 den aktuellen Zustand des Kubernetes-Clusters inklusive\ + \ der Erweiterungen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5 + ref_id: APP.4.4.A5.6 + description: "\u2022 Datenbanken der Konfiguration, namentlich hier etcd," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5 + ref_id: APP.4.4.A5.7 + description: "\u2022 alle Infrastrukturanwendungen, die zum Betrieb des Clusters\ + \ und der darin befindlichen Dienste notwendig sind und" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5 + ref_id: APP.4.4.A5.8 + description: "\u2022 die Datenhaltung der Code und Image Registries." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5 + ref_id: APP.4.4.A5.9 + description: "Es SOLLTEN auch Snapshots f\xFCr den Betrieb der Anwendungen betrachtet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a5 + ref_id: APP.4.4.A5.10 + description: "Snapshots D\xDCRFEN die Datensicherung NICHT ersetzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 + ref_id: APP.4.4.A6 + name: Initialisierung von Pods + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a6 + ref_id: APP.4.4.A6.1 + description: Sofern im Pod zum Start eine Initialisierung z. B. einer Anwendung + erfolgt, SOLLTE diese in einem eigenen Init-Container stattfinden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a6 + ref_id: APP.4.4.A6.2 + description: Es SOLLTE sichergestellt sein, dass die Initialisierung alle bereits + laufenden Prozesse beendet. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a6 + ref_id: APP.4.4.A6.3 + description: Kubernetes SOLLTE nur bei erfolgreicher Initialisierung die weiteren + Container starten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 + ref_id: APP.4.4.A7 + name: Separierung der Netze bei Kubernetes + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a7 + ref_id: APP.4.4.A7.1 + description: "Die Netze f\xFCr die Administration der Nodes, der Control Plane\ + \ sowie die einzelnen Netze der Anwendungsdienste SOLLTEN separiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a7 + ref_id: APP.4.4.A7.2 + description: "Es SOLLTEN NUR die f\xFCr den Betrieb notwendigen Netzports der\ + \ Pods in die daf\xFCr vorgesehenen Netze freigegeben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a7 + ref_id: APP.4.4.A7.3 + description: "Bei mehreren Anwendungen auf einem Kubernetes-Cluster SOLLTEN\ + \ zun\xE4chst alle Netzverbindungen zwischen den Kubernetes-Namespaces untersagt\ + \ und nur ben\xF6tigte Netzverbindungen gestattet sein (Whitelisting)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a7 + ref_id: APP.4.4.A7.4 + description: "Die zur Administration der Nodes, der Runtime und von Kubernetes\ + \ inklusive seiner Erweiterungen notwendigen Netzports SOLLTEN NUR aus dem\ + \ Administrationsnetz und von Pods, die diese ben\xF6tigen, erreichbar sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a7 + ref_id: APP.4.4.A7.5 + description: "Nur ausgew\xE4hlte Administrierende SOLLTEN in Kubernetes berechtigt\ + \ sein, das CNI zu verwalten und Regeln f\xFCr das Netz anzulegen oder zu\ + \ \xE4ndern." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 + ref_id: APP.4.4.A8 + name: Absicherung von Konfigurationsdateien bei Kubernetes + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a8 + ref_id: APP.4.4.A8.1 + description: Die Konfigurationsdateien des Kubernetes-Clusters, inklusive aller + Erweiterungen und Anwendungen, SOLLTEN versioniert und annotiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a8 + ref_id: APP.4.4.A8.2 + description: Zugangsrechte auf die Verwaltungssoftware der Konfigurationsdateien + SOLLTEN minimal vergeben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a8 + ref_id: APP.4.4.A8.3 + description: "Zugriffsrechte f\xFCr lesenden und schreibenden Zugriff auf die\ + \ Konfigurationsdateien der Control Plane SOLLTEN besonders sorgf\xE4ltig\ + \ vergeben und eingeschr\xE4nkt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 + ref_id: APP.4.4.A9 + name: Nutzung von Kubernetes Service-Accounts + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a9 + ref_id: APP.4.4.A9.1 + description: Pods SOLLTEN NICHT den "default"-Service-Account nutzen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a9 + ref_id: APP.4.4.A9.2 + description: "Dem \"default\"-Service-Account SOLLTEN keine Rechte einger\xE4\ + umt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a9 + ref_id: APP.4.4.A9.3 + description: "Pods f\xFCr unterschiedliche Anwendungen SOLLTEN jeweils unter\ + \ eigenen Service-Accounts laufen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a9 + ref_id: APP.4.4.A9.4 + description: "Berechtigungen f\xFCr die Service-Accounts der Pods der Anwendungen\ + \ SOLLTEN auf die unbedingt notwendigen Rechte beschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a9.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a9 + ref_id: APP.4.4.A9.5 + description: "Pods, die keinen Service-Account ben\xF6tigen, SOLLTEN diesen\ + \ nicht einsehen k\xF6nnen und keinen Zugriff auf entsprechende Token haben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a9.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a9 + ref_id: APP.4.4.A9.6 + description: "Nur Pods der Control Plane und Pods, die diese unbedingt ben\xF6\ + tigen, SOLLTEN privilegierte Service-Accounts nutzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a9.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a9 + ref_id: APP.4.4.A9.7 + description: "Programme der Automatisierung SOLLTEN jeweils eigene Token erhalten,\ + \ auch wenn sie aufgrund \xE4hnlicher Aufgaben einen gemeinsamen Service-Account\ + \ nutzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 + ref_id: APP.4.4.A10 + name: Absicherung von Prozessen der Automatisierung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a10 + ref_id: APP.4.4.A10.1 + description: Alle Prozesse der Automatisierungssoftware, wie CI/CD und deren + Pipelines, SOLLTEN nur mit unbedingt notwendigen Rechten arbeiten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a10 + ref_id: APP.4.4.A10.2 + description: "Wenn unterschiedliche Gruppen von Benutzenden die Konfiguration\ + \ \xFCber die Automatisierungssoftware ver\xE4ndern oder Pods starten k\xF6\ + nnen, SOLLTE dies f\xFCr jede Gruppe durch eigene Prozesse durchgef\xFChrt\ + \ werden, die nur die f\xFCr die jeweilige Gruppe notwendigen Rechte besitzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 + ref_id: APP.4.4.A11 + name: "\xDCberwachung der Container" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a11 + ref_id: APP.4.4.A11.1 + description: "In Pods SOLLTE jeder Container einen Health Check f\xFCr den Start\ + \ und den Betrieb (\u201Ereadiness\u201C und \u201Eliveness\u201C) definieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a11 + ref_id: APP.4.4.A11.2 + description: "Diese Checks SOLLTEN Auskunft \xFCber die Verf\xFCgbarkeit der\ + \ im Pod ausgef\xFChrten Software geben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a11 + ref_id: APP.4.4.A11.3 + description: "Die Checks SOLLTEN fehlschlagen, wenn die \xFCberwachte Software\ + \ ihre Aufgaben nicht ordnungsgem\xE4\xDF wahrnehmen kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a11.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a11 + ref_id: APP.4.4.A11.4 + description: "F\xFCr jede dieser Kontrollen SOLLTE eine dem im Pod betriebenen\ + \ Dienst angemessene Zeitspanne definieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a11.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a11 + ref_id: APP.4.4.A11.5 + description: "Auf Basis dieser Checks SOLLTE Kubernetes die Pods l\xF6schen\ + \ oder neu starten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 + ref_id: APP.4.4.A12 + name: Absicherung der Infrastruktur-Anwendungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a12 + ref_id: APP.4.4.A12.1 + description: "Sofern eine eigene Registry f\xFCr Images oder eine Software zur\ + \ Automatisierung, zur Verwaltung des Festspeichers, zur Speicherung von Konfigurationsdateien\ + \ oder \xE4hnliches im Einsatz ist, SOLLTE deren Absicherung mindestens betrachten:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a12 + ref_id: APP.4.4.A12.2 + description: "\u2022 Verwendung von personenbezogenen und Service-Accounts f\xFC\ + r den Zugang," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a12 + ref_id: APP.4.4.A12.3 + description: "\u2022 verschl\xFCsselte Kommunikation auf allen Netzports," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a12 + ref_id: APP.4.4.A12.4 + description: "\u2022 minimale Vergabe der Berechtigungen an Benutzende und Service\ + \ Accounts," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a12.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a12 + ref_id: APP.4.4.A12.5 + description: "\u2022 Protokollierung der Ver\xE4nderungen und" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a12.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a12 + ref_id: APP.4.4.A12.6 + description: "\u2022 regelm\xE4\xDFige Datensicherung." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 + ref_id: APP.4.4.A13 + name: Automatisierte Auditierung der Konfiguration + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a13 + ref_id: APP.4.4.A13.1 + description: Es SOLLTE ein automatisches Audit der Einstellungen der Nodes, + von Kubernetes und der Pods der Anwendungen gegen eine definierte Liste der + erlaubten Einstellungen und gegen standardisierte Benchmarks erfolgen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a13 + ref_id: APP.4.4.A13.2 + description: Kubernetes SOLLTE die aufgestellten Regeln im Cluster durch Anbindung + geeigneter Werkzeuge durchsetzen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 + ref_id: APP.4.4.A14 + name: Verwendung dedizierter Nodes + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a14 + ref_id: APP.4.4.A14.1 + description: In einem Kubernetes-Cluster SOLLTEN die Nodes dedizierte Aufgaben + zugewiesen bekommen und jeweils nur Pods betreiben, welche der jeweiligen + Aufgabe zugeordnet sind. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a14 + ref_id: APP.4.4.A14.2 + description: "Bastion Nodes SOLLTEN alle ein- und ausgehenden Datenverbindungen\ + \ der Anwendungen zu anderen Netzen \xFCbernehmen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a14 + ref_id: APP.4.4.A14.3 + description: "Management Nodes SOLLTEN die Pods der Control Plane betreiben\ + \ und sie SOLLTEN nur die Datenverbindungen der Control Plane \xFCbernehmen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a14.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a14 + ref_id: APP.4.4.A14.4 + description: Sofern eingesetzt, SOLLTEN Speicher-Nodes nur die Pods der Festspeicherdienste + im Cluster betreiben. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 + ref_id: APP.4.4.A15 + name: Trennung von Anwendungen auf Node- und Cluster-Ebene + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a15 + ref_id: APP.4.4.A15.1 + description: "Anwendungen mit einem sehr hohen Schutzbedarf SOLLTEN jeweils\ + \ eigene Kubernetes-Cluster oder dedizierte Nodes nutzen, die nicht f\xFC\ + r andere Anwendungen bereitstehen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 + ref_id: APP.4.4.A16 + name: Verwendung von Operatoren + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a16 + ref_id: APP.4.4.A16.1 + description: Die Automatisierung von Betriebsaufgaben in Operatoren SOLLTE bei + besonders kritischen Anwendungen und den Programmen der Control Plane zum + Einsatz kommen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 + ref_id: APP.4.4.A17 + name: Attestierung von Nodes + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a17 + ref_id: APP.4.4.A17.1 + description: "Nodes SOLLTEN eine kryptografisch und m\xF6glichst mit einem TPM\ + \ verifizierte gesicherte Zustandsmeldung an die Control Plane senden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a17 + ref_id: APP.4.4.A17.2 + description: Die Control Plane SOLLTE nur Nodes in den Cluster aufnehmen, die + erfolgreich ihre Unversehrtheit nachweisen konnten. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 + ref_id: APP.4.4.A18 + name: Verwendung von Mikro-Segmentierung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a18 + ref_id: APP.4.4.A18.1 + description: "Die Pods SOLLTEN auch innerhalb eines Kubernetes-Namespace nur\ + \ \xFCber die notwendigen Netzports miteinander kommunizieren k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a18 + ref_id: APP.4.4.A18.2 + description: "Es SOLLTEN Regeln innerhalb des CNI existieren, die alle bis auf\ + \ die f\xFCr den Betrieb notwendigen Netzverbindungen innerhalb des Kubernetes-Namespace\ + \ unterbinden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a18 + ref_id: APP.4.4.A18.3 + description: "Diese Regeln SOLLTEN Quelle und Ziel der Verbindungen genau definieren\ + \ und daf\xFCr mindestens eines der folgenden Kriterien nutzen: Service-Name,\ + \ Metadaten (\u201ELabels\"), die Kubernetes Service Accounts oder zertifikatsbasierte\ + \ Authentifizierung." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a18.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a18 + ref_id: APP.4.4.A18.4 + description: "Alle Kriterien, die als Bezeichnung f\xFCr diese Verbindung dienen,\ + \ SOLLTEN so abgesichert sein, dass sie nur von berechtigten Personen und\ + \ Verwaltungs-Diensten ver\xE4ndert werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 + ref_id: APP.4.4.A19 + name: "Hochverf\xFCgbarkeit von Kubernetes" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a19 + ref_id: APP.4.4.A19.1 + description: "Der Betrieb SOLLTE so aufgebaut sein, dass bei Ausfall eines Standortes\ + \ die Cluster und damit die Anwendungen in den Pods entweder ohne Unterbrechung\ + \ weiterlaufen oder in kurzer Zeit an einem anderen Standort neu anlaufen\ + \ k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a19 + ref_id: APP.4.4.A19.2 + description: "F\xFCr den Wiederanlauf SOLLTEN alle notwendigen Konfigurationsdateien,\ + \ Images, Nutzdaten, Netzverbindungen und sonstige f\xFCr den Betrieb ben\xF6\ + tigten Ressourcen inklusive der zum Betrieb n\xF6tigen Hardware bereits an\ + \ diesem Standort verf\xFCgbar sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a19.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a19 + ref_id: APP.4.4.A19.3 + description: "F\xFCr den unterbrechungsfreien Betrieb des Clusters SOLLTEN die\ + \ Control Plane von Kubernetes, die Infrastruktur-Anwendungen der Cluster\ + \ sowie die Pods der Anwendungen anhand von Standort-Daten der Nodes \xFC\ + ber mehrere Brandabschnitte so verteilt werden, dass der Ausfall eines Brandabschnitts\ + \ nicht zum Ausfall der Anwendung f\xFChrt." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 + ref_id: APP.4.4.A20 + name: "Verschl\xFCsselte Datenhaltung bei Pods" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a20 + ref_id: APP.4.4.A20.1 + description: "Die Dateisysteme mit den persistenten Daten der Control Plane\ + \ (hier besonders etcd) und der Anwendungsdienste SOLLTEN verschl\xFCsselt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4 + ref_id: APP.4.4.A21 + name: "Regelm\xE4\xDFiger Restart von Pods" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a21 + ref_id: APP.4.4.A21.1 + description: "Bei einem erh\xF6hten Risiko f\xFCr Fremdeinwirkung und einem\ + \ sehr hohen Schutzbedarf SOLLTEN Pods regelm\xE4\xDFig gestoppt und neu gestartet\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a21.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a21 + ref_id: APP.4.4.A21.2 + description: "Kein Pod SOLLTE l\xE4nger als 24 Stunden laufen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a21.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.4.a21 + ref_id: APP.4.4.A21.3 + description: "Dabei SOLLTE die Verf\xFCgbarkeit der Anwendungen im Pod sichergestellt\ + \ sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app + ref_id: APP.4.6 + name: SAP ABAP-Programmierung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 + ref_id: APP.4.6.A1 + name: "Absicherung von Reports mit Berechtigungspr\xFCfungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a1 + ref_id: APP.4.6.A1.1 + description: "Es MUSS sichergestellt sein, dass nur berechtigte Personen selbst\ + \ programmierte Auswertungen (Reports) starten k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a1 + ref_id: APP.4.6.A1.2 + description: "Deswegen MUSS jeder Report explizite, zum Kontext passende Berechtigungspr\xFC\ + fungen durchf\xFChren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 + ref_id: APP.4.6.A2 + name: "Formal korrekte Auswertung von Berechtigungspr\xFCfungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a2 + ref_id: APP.4.6.A2.1 + description: "Jede Berechtigungspr\xFCfung im Code MUSS durch Abfrage des R\xFC\ + ckgabewertes SY-SUBRC ausgewertet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 + ref_id: APP.4.6.A3 + name: "Berechtigungspr\xFCfung vor dem Start einer Transaktion" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a3 + ref_id: APP.4.6.A3.1 + description: "Wenn Entwickelnde den Befehl CALL TRANSACTION verwenden, MUSS\ + \ vorher immer eine Startberechtigungspr\xFCfung durchgef\xFChrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 + ref_id: APP.4.6.A4 + name: "Verzicht auf propriet\xE4re Berechtigungspr\xFCfungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a4 + ref_id: APP.4.6.A4.1 + description: "Jede Berechtigungspr\xFCfung MUSS technisch \xFCber den daf\xFC\ + r vorgesehenen Befehl AUTHORITY-CHECK erfolgen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a4 + ref_id: APP.4.6.A4.2 + description: "Propriet\xE4re Berechtigungspr\xFCfungen, z. B. basierend auf\ + \ Konto-Kennungen, D\xDCRFEN NICHT benutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 + ref_id: APP.4.6.A5 + name: "Erstellung einer Richtlinie f\xFCr die ABAP-Entwicklung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a5 + ref_id: APP.4.6.A5.1 + description: "Es SOLLTE eine Richtlinie f\xFCr die Entwicklung von ABAP-Programmen\ + \ erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a5 + ref_id: APP.4.6.A5.2 + description: "Die Richtlinie SOLLTE neben Namenskonventionen auch Vorgaben zu\ + \ ABAP-Elementen beinhalten, die verwendet bzw. nicht verwendet werden d\xFC\ + rfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a5 + ref_id: APP.4.6.A5.3 + description: Die Anforderungen aus diesem Baustein SOLLTEN in die Richtlinie + aufgenommen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a5 + ref_id: APP.4.6.A5.4 + description: "Die Richtlinie SOLLTE f\xFCr die Entwickelnden verbindlich sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 + ref_id: APP.4.6.A6 + name: "Vollst\xE4ndige Ausf\xFChrung von Berechtigungspr\xFCfungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a6 + ref_id: APP.4.6.A6.1 + description: "Bei einer Berechtigungspr\xFCfung im ABAP-Code (AUTHORITY-CHECK\ + \ ) SOLLTE sichergestellt sein, dass alle Felder des relevanten Berechtigungsobjekts\ + \ \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a6 + ref_id: APP.4.6.A6.2 + description: "Wenn einzelne Felder tats\xE4chlich nicht ben\xF6tigt werden,\ + \ SOLLTEN sie als DUMMY gekennzeichnet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a6 + ref_id: APP.4.6.A6.3 + description: "Zus\xE4tzlich SOLLTE am Feld der Grund f\xFCr die Ausnahme dokumentiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 + ref_id: APP.4.6.A7 + name: "Berechtigungspr\xFCfung w\xE4hrend der Eingabeverarbeitung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a7 + ref_id: APP.4.6.A7.1 + description: Funktionscodes und Bildschirmelemente von ABAP-Dynpro-Anwendungen + SOLLTEN konsistent sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a7 + ref_id: APP.4.6.A7.2 + description: "Wenn ein Bildschirmelement abgeschaltet wurde, dann SOLLTE eine\ + \ Anwendung NICHT ohne ad\xE4quate Berechtigungspr\xFCfungen auf Ereignisse\ + \ dieses Elements reagieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a7 + ref_id: APP.4.6.A7.3 + description: "Wenn bestimmte Eintr\xE4ge eines Dynpro-Men\xFCs ausgeblendet\ + \ oder einzelne Schaltfl\xE4chen deaktiviert werden, dann SOLLTEN auch die\ + \ zugeh\xF6rigen Funktionscodes nicht ausgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 + ref_id: APP.4.6.A8 + name: Schutz vor unberechtigten oder manipulierenden Zugriffen auf das Dateisystem + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a8 + ref_id: APP.4.6.A8.1 + description: "Wenn Zugriffe auf Dateien des SAP-Servers von Eingaben der Benutzenden\ + \ abh\xE4ngen, SOLLTEN diese Eingaben vor dem Zugriff validiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 + ref_id: APP.4.6.A9 + name: "Berechtigungspr\xFCfung in remote-f\xE4higen Funktionsbausteinen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a9 + ref_id: APP.4.6.A9.1 + description: "Es SOLLTE sichergestellt werden, dass alle remote-f\xE4higen Funktionsbausteine\ + \ im Programmcode explizit pr\xFCfen, ob der Aufrufende berechtigt ist, die\ + \ zugeh\xF6rige Businesslogik auszuf\xFChren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 + ref_id: APP.4.6.A10 + name: "Verhinderung der Ausf\xFChrung von Betriebssystemkommandos" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a10 + ref_id: APP.4.6.A10.1 + description: "Jedem Aufruf eines erlaubten Betriebssystemkommandos SOLLTE eine\ + \ entsprechende Berechtigungspr\xFCfung (Berechtigungsobjekt S_LOG_COM) vorangestellt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a10 + ref_id: APP.4.6.A10.2 + description: Eingaben von Benutzenden SOLLTEN NICHT Teil eines Kommandos sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a10 + ref_id: APP.4.6.A10.3 + description: "Deswegen SOLLTEN Betriebssystemaufrufe ausschlie\xDFlich \xFC\ + ber daf\xFCr vorgesehene SAP-Standardfunktionsbausteine ausgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 + ref_id: APP.4.6.A11 + name: Vermeidung von eingeschleustem Schadcode + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a11 + ref_id: APP.4.6.A11.1 + description: Die ABAP-Befehle INSERT REPORT und GENERATE SUBROUTINE POOL SOLLTEN + NICHT verwendet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 + ref_id: APP.4.6.A12 + name: "Vermeidung von generischer Modulausf\xFChrung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a12 + ref_id: APP.4.6.A12.1 + description: "Transaktionen, Programme, Funktionsbausteine und Methoden SOLLTEN\ + \ NICHT generisch ausf\xFChrbar sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a12 + ref_id: APP.4.6.A12.2 + description: "Sollte es wichtige Gr\xFCnde f\xFCr eine generische Ausf\xFChrung\ + \ geben, SOLLTE detailliert dokumentiert werden, wo und warum dies geschieht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a12 + ref_id: APP.4.6.A12.3 + description: "Zus\xE4tzlich SOLLTE eine Allowlist definiert werden, die alle\ + \ erlaubten Module enth\xE4lt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a12 + ref_id: APP.4.6.A12.4 + description: Bevor ein Modul aufgerufen wird, SOLLTE die Eingabe von Benutzenden + mit der Allowlist abgeglichen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 + ref_id: APP.4.6.A13 + name: Vermeidung von generischem Zugriff auf Tabelleninhalte + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a13 + ref_id: APP.4.6.A13.1 + description: Tabelleninhalte SOLLTEN NICHT generisch ausgelesen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a13 + ref_id: APP.4.6.A13.2 + description: "Sollte es wichtige Gr\xFCnde daf\xFCr geben, dies doch zu tun,\ + \ SOLLTE detailliert dokumentiert werden, wo und warum dies geschieht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a13 + ref_id: APP.4.6.A13.3 + description: "Au\xDFerdem SOLLTE dann gew\xE4hrleistet sein, dass sich der dynamische\ + \ Tabellenname auf eine kontrollierbare Liste von Werten beschr\xE4nkt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 + ref_id: APP.4.6.A14 + name: Vermeidung von nativen SQL-Anweisungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a14 + ref_id: APP.4.6.A14.1 + description: Die Schnittstelle ABAP Database Connectivity (ADBC) SOLLTE NICHT + verwendet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a14 + ref_id: APP.4.6.A14.2 + description: Eingaben von Benutzenden SOLLTEN NICHT Teil von ADBC-Befehlen sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 + ref_id: APP.4.6.A15 + name: Vermeidung von Datenlecks + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a15 + ref_id: APP.4.6.A15.1 + description: "Es SOLLTE eine ausreichend sichere Berechtigungspr\xFCfung durchgef\xFC\ + hrt werden, bevor gesch\xE4ftskritische Daten angezeigt, \xFCbermittelt oder\ + \ exportiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a15 + ref_id: APP.4.6.A15.2 + description: "Vorgesehene (gewollte) M\xF6glichkeiten des Exports SOLLTEN dokumentiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 + ref_id: APP.4.6.A16 + name: "Verzicht auf systemabh\xE4ngige Funktionsausf\xFChrung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a16 + ref_id: APP.4.6.A16.1 + description: "ABAP-Programme SOLLTEN NICHT systemabh\xE4ngig programmiert werden,\ + \ so dass sie nur auf einem bestimmten SAP-System ausgef\xFChrt werden k\xF6\ + nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a16 + ref_id: APP.4.6.A16.2 + description: Sollte dies jedoch unbedingt erforderlich sein, SOLLTE es detailliert + dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a16 + ref_id: APP.4.6.A16.3 + description: "Au\xDFerdem SOLLTE der Code dann manuell \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 + ref_id: APP.4.6.A17 + name: "Verzicht auf mandantenabh\xE4ngige Funktionsausf\xFChrung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a17 + ref_id: APP.4.6.A17.1 + description: "ABAP-Programme SOLLTEN NICHT mandantenabh\xE4ngig programmiert\ + \ werden, so dass sie nur von einem bestimmten Mandanten ausgef\xFChrt werden\ + \ k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a17 + ref_id: APP.4.6.A17.2 + description: Sollte dies jedoch unbedingt erforderlich sein, SOLLTE es detailliert + dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a17 + ref_id: APP.4.6.A17.3 + description: "Au\xDFerdem SOLLTEN dann zus\xE4tzliche Sicherheitsma\xDFnahmen\ + \ ergriffen werden, wie beispielsweise eine manuelle Code-\xDCberpr\xFCfung\ + \ (manuelles Code-Review) oder eine Qualit\xE4tssicherung auf dem entsprechenden\ + \ Mandanten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 + ref_id: APP.4.6.A18 + name: Vermeidung von Open-SQL-Injection-Schwachstellen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a18 + ref_id: APP.4.6.A18.1 + description: Dynamisches Open SQL SOLLTE NICHT verwendet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a18 + ref_id: APP.4.6.A18.2 + description: "Falls Datenbankzugriffe mit dynamischen SQL-Bedingungen notwendig\ + \ sind, SOLLTEN KEINE Eingaben von Benutzenden in der jeweiligen Abfrage \xFC\ + bertragen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a18 + ref_id: APP.4.6.A18.3 + description: "Wenn das dennoch der Fall ist, SOLLTEN die Eingaben von Benutzenden\ + \ zwingend gepr\xFCft werden (Output Encoding)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 + ref_id: APP.4.6.A19 + name: Schutz vor Cross-Site-Scripting + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a19 + ref_id: APP.4.6.A19.1 + description: "Auf selbst entwickeltes HTML in Business-Server-Pages-(BSP)-Anwendungen\ + \ oder HTTP-Handlern SOLLTE m\xF6glichst verzichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 + ref_id: APP.4.6.A20 + name: Keine Zugriffe auf Daten eines anderen Mandanten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a20 + ref_id: APP.4.6.A20.1 + description: Die automatische Mandantentrennung SOLLTE NICHT umgangen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a20.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a20 + ref_id: APP.4.6.A20.2 + description: Auf Daten anderer Mandanten SOLLTE NICHT mittels EXEC SQL oder + der Open SQL Option CLIENT SPECIFIED zugegriffen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 + ref_id: APP.4.6.A21 + name: Verbot von verstecktem ABAP-Quelltext + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a21 + ref_id: APP.4.6.A21.1 + description: Der Quelltext eines selbst erstellten ABAP-Programms SOLLTE immer + lesbar sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a21.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a21 + ref_id: APP.4.6.A21.2 + description: Techniken, die das verhindern (Obfuskation), SOLLTEN NICHT verwendet + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6 + ref_id: APP.4.6.A22 + name: Einsatz von ABAP-Codeanalyse Werkzeugen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.4.6.a22 + ref_id: APP.4.6.A22.1 + description: "Zur automatisierten \xDCberpr\xFCfung von ABAP-Code auf sicherheitsrelevante\ + \ Programmierfehler, funktionale und technische Fehler sowie auf qualitative\ + \ Schwachstellen SOLLTE ein ABAP-Codeanalyse-Werkzeug eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app + ref_id: APP.5.2 + name: Microsoft Exchange und Outlook + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2 + ref_id: APP.5.2.A1 + name: Planung des Einsatzes von Exchange und Outlook + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a1 + ref_id: APP.5.2.A1.1 + description: "Bevor Exchange und Outlook eingesetzt werden, MUSS die Institution\ + \ deren Einsatz sorgf\xE4ltig planen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a1 + ref_id: APP.5.2.A1.2 + description: 'Dabei MUSS sie mindestens folgende Punkte beachten:' + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a1 + ref_id: APP.5.2.A1.3 + description: "\u2022 Aufbau der E-Mail-Infrastruktur," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a1 + ref_id: APP.5.2.A1.4 + description: "\u2022 einzubindende Clients beziehungsweise Server," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a1 + ref_id: APP.5.2.A1.5 + description: "\u2022 Nutzung von funktionalen Erweiterungen sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a1 + ref_id: APP.5.2.A1.6 + description: "\u2022 die zu verwendenden Protokolle." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2 + ref_id: APP.5.2.A2 + name: Auswahl einer geeigneten Exchange-Infrastruktur + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a2 + ref_id: APP.5.2.A2.1 + description: Der IT-Betrieb MUSS auf Basis der Planung des Einsatzes von Exchange + entscheiden, mit welchen IT-Systemen und Anwendungskomponenten sowie in welcher + hierarchischen Abstufung die Exchange-Infrastruktur realisiert wird. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a2 + ref_id: APP.5.2.A2.2 + description: Im Rahmen der Auswahl MUSS auch entschieden werden, ob die Exchange-Systeme + als Cloud- oder lokaler Dienst betrieben werden sollen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2 + ref_id: APP.5.2.A3 + name: Berechtigungsmanagement und Zugriffsrechte + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a3 + ref_id: APP.5.2.A3.1 + description: "Zus\xE4tzlich zum allgemeinen Berechtigungskonzept MUSS die Institution\ + \ ein Berichtigungskonzept f\xFCr die Systeme der Exchange-Infrastruktur erstellen,\ + \ geeignet dokumentieren und anwenden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a3 + ref_id: APP.5.2.A3.2 + description: "Der IT-Betrieb MUSS serverseitige Benutzendenprofile f\xFCr einen\ + \ rechnerunabh\xE4ngigen Zugriff der Benutzenden auf Exchange-Daten verwenden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a3 + ref_id: APP.5.2.A3.3 + description: "Er MUSS die Standard-NTFS-Berechtigungen f\xFCr das Exchange-Verzeichnis\ + \ so anpassen, dass nur autorisierte Administrierende und Systemkonten auf\ + \ die Daten in diesem Verzeichnis zugreifen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2 + ref_id: APP.5.2.A5 + name: Datensicherung von Exchange + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a5 + ref_id: APP.5.2.A5.1 + description: "Exchange-Server M\xDCSSEN vor Installationen und Konfigurations\xE4\ + nderungen sowie in zyklischen Abst\xE4nden gesichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a5 + ref_id: APP.5.2.A5.2 + description: "Dabei M\xDCSSEN insbesondere die Exchange-Server-Datenbanken gesichert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a5 + ref_id: APP.5.2.A5.3 + description: "Gel\xF6schte Exchange-Objekte SOLLTEN erst nach einiger Zeit aus\ + \ der Datenbank entfernt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2 + ref_id: APP.5.2.A7 + name: Migration von Exchange-Systemen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a7 + ref_id: APP.5.2.A7.1 + description: "Der IT-Betrieb SOLLTE alle Migrationsschritte gr\xFCndlich planen\ + \ und dokumentieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a7 + ref_id: APP.5.2.A7.2 + description: "Der IT-Betrieb SOLLTE dabei Postf\xE4cher, Objekte, Sicherheitsrichtlinien,\ + \ Active-Directory-Konzepte sowie die Anbindung an andere E-Mail-Systeme ber\xFC\ + cksichtigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a7 + ref_id: APP.5.2.A7.3 + description: "Au\xDFerdem SOLLTE er Funktionsunterschiede zwischen verschiedenen\ + \ Versionen von Exchange beachten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a7 + ref_id: APP.5.2.A7.4 + description: "Das neue Exchange-System SOLLTE, bevor es installiert wird, in\ + \ einem separaten Testnetz gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2 + ref_id: APP.5.2.A9 + name: Sichere Konfiguration von Exchange-Servern + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a9 + ref_id: APP.5.2.A9.1 + description: Der IT-Betrieb SOLLTE Exchange-Server entsprechend der Vorgaben + aus der Sicherheitsrichtlinie installieren und konfigurieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a9 + ref_id: APP.5.2.A9.2 + description: Konnektoren SOLLTEN sicher konfiguriert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a9 + ref_id: APP.5.2.A9.3 + description: Der IT-Betrieb SOLLTE die Protokollierung des Exchange-Systems + aktivieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a9 + ref_id: APP.5.2.A9.4 + description: "F\xFCr vorhandene benutzendenspezifische Anpassungen SOLLTE ein\ + \ entsprechendes Konzept erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a9.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a9 + ref_id: APP.5.2.A9.5 + description: "Bei der Verwendung von funktionalen Erweiterungen SOLLTE sichergestellt\ + \ sein, dass die definierten Anforderungen an die Schutzziele Vertraulichkeit,\ + \ Integrit\xE4t und Verf\xFCgbarkeit weiterhin erf\xFCllt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2 + ref_id: APP.5.2.A10 + name: Sichere Konfiguration von Outlook + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a10 + ref_id: APP.5.2.A10.1 + description: "Der IT-Betrieb SOLLTE f\xFCr jeden Benutzenden ein eigenes Outlook-Profil\ + \ mit benutzendenspezifischen Einstellungen anlegen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a10 + ref_id: APP.5.2.A10.2 + description: "Der IT-Betrieb SOLLTE Outlook so konfigurieren, dass nur notwendige\ + \ Informationen an andere Benutzende \xFCbermittelt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a10 + ref_id: APP.5.2.A10.3 + description: "Der IT-Betrieb SOLLTE die Benutzenden dar\xFCber informieren,\ + \ welche Informationen automatisiert an andere Benutzende \xFCbermittelt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a10 + ref_id: APP.5.2.A10.4 + description: "Lesebest\xE4tigungen und Informationen, die auf die interne Struktur\ + \ der Institution schlie\xDFen lassen, SOLLTEN NICHT an Externe \xFCbermittelt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2 + ref_id: APP.5.2.A11 + name: Absicherung der Kommunikation zwischen Exchange-Systemen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a11 + ref_id: APP.5.2.A11.1 + description: Der IT-Betrieb SOLLTE nachvollziehbar entscheiden, mit welchen + Schutzmechanismen die Kommunikation zwischen Exchange-Systemen abgesichert + wird. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a11 + ref_id: APP.5.2.A11.2 + description: 'Insbesondere SOLLTE der IT-Betrieb festlegen, wie die Kommunikation + zu folgenden Schnittstellen abgesichert wird:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a11 + ref_id: APP.5.2.A11.3 + description: "\u2022 Administrationsschnittstellen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a11.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a11 + ref_id: APP.5.2.A11.4 + description: "\u2022 Client-Server-Kommunikation," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a11.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a11 + ref_id: APP.5.2.A11.5 + description: "\u2022 vorhandene Web-based-Distributed-Authoring-and-Versioning-(WebDAV)-Schnittstellen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a11.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a11 + ref_id: APP.5.2.A11.6 + description: "\u2022 Server-Server-Kommunikation und" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a11.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a11 + ref_id: APP.5.2.A11.7 + description: "\u2022 Public-Key-Infrastruktur, auf der die E-Mail-Verschl\xFC\ + sselung von Outlook basiert." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2 + ref_id: APP.5.2.A12 + name: Einsatz von Outlook Anywhere, MAPI over HTTP und Outlook im Web + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a12 + ref_id: APP.5.2.A12.1 + description: Der IT-Betrieb SOLLTE Outlook Anywhere, MAPI over HTTP und Outlook + im Web entsprechend den Sicherheitsanforderungen der Institution konfigurieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a12 + ref_id: APP.5.2.A12.2 + description: "Der Zugriff auf Exchange \xFCber das Internet SOLLTE auf die notwendigen\ + \ Benutzenden beschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2 + ref_id: APP.5.2.A17 + name: "Verschl\xFCsselung von Exchange-Datenbankdateien" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a17 + ref_id: APP.5.2.A17.1 + description: "Der IT-Betrieb SOLLTE ein Konzept f\xFCr die Verschl\xFCsselung\ + \ von PST-Dateien und Informationsspeicher-Dateien erstellen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a17 + ref_id: APP.5.2.A17.2 + description: "Die Institution SOLLTE die Benutzenden \xFCber die Funktionsweise\ + \ und die Schutzmechanismen bei der Verschl\xFCsselung von PST-Dateien informieren." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a17 + ref_id: APP.5.2.A17.3 + description: "Weitere Aspekte f\xFCr lokale PST-Dateien, die ber\xFCcksichtigt\ + \ werden SOLLTEN, wenn Exchange-Systemdatenbanken verschl\xFCsselt werden,\ + \ sind:" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a17.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a17 + ref_id: APP.5.2.A17.4 + description: "\u2022 eigene Verschl\xFCsselungsfunktionen," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a17.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a17 + ref_id: APP.5.2.A17.5 + description: "\u2022 Verschl\xFCsselungsgrade sowie" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a17.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a17 + ref_id: APP.5.2.A17.6 + description: "\u2022 Mechanismen zur Absicherung der Daten in einer PST-Datei." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a17.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.2.a17 + ref_id: APP.5.2.A17.7 + description: "Mechanismen wie z. B. Encrypting File System oder Windows BitLocker\ + \ Laufwerkverschl\xFCsselung SOLLTEN zur Absicherung der PST-Dateien genutzt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app + ref_id: APP.5.3 + name: Allgemeiner E-Mail-Client und -Server + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3 + ref_id: APP.5.3.A1 + name: Sichere Konfiguration der E-Mail-Clients + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1 + ref_id: APP.5.3.A1.1 + description: "Die Institution MUSS eine sichere Konfiguration f\xFCr die E-Mail-Clients\ + \ vorgeben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1 + ref_id: APP.5.3.A1.2 + description: "Die E-Mail-Clients M\xDCSSEN den Benutzenden vorkonfiguriert zur\ + \ Verf\xFCgung gestellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1 + ref_id: APP.5.3.A1.3 + description: "Die Institution SOLLTE sicherstellen, dass sicherheitsrelevante\ + \ Teile der Konfiguration nicht von Benutzenden ge\xE4ndert werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1 + ref_id: APP.5.3.A1.4 + description: "Ist dies nicht m\xF6glich, MUSS die Institution darauf hinweisen,\ + \ dass die Konfiguration nicht selbstst\xE4ndig ge\xE4ndert werden darf." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1 + ref_id: APP.5.3.A1.5 + description: "Bevor Dateianh\xE4nge aus E-Mails ge\xF6ffnet werden, M\xDCSSEN\ + \ sie auf Schadsoftware \xFCberpr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1 + ref_id: APP.5.3.A1.6 + description: "Die Dateianh\xE4nge M\xDCSSEN auf dem Client oder auf dem E-Mail-Server\ + \ \xFCberpr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1 + ref_id: APP.5.3.A1.7 + description: "E-Mail-Clients M\xDCSSEN so konfiguriert werden, dass sie eventuell\ + \ vorhandenen HTML-Code und andere aktive Inhalte in E-Mails nicht automatisch\ + \ interpretieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1 + ref_id: APP.5.3.A1.8 + description: "Vorschaufunktionen f\xFCr Datei-Anh\xE4nge M\xDCSSEN so konfiguriert\ + \ werden, dass sie Dateien nicht automatisch interpretieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1 + ref_id: APP.5.3.A1.9 + description: "E-Mail-Filterregeln sowie die automatische Weiterleitung von E-Mails\ + \ M\xDCSSEN auf notwendige Anwendungsf\xE4lle beschr\xE4nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a1 + ref_id: APP.5.3.A1.10 + description: "E-Mail-Clients M\xDCSSEN f\xFCr die Kommunikation mit E-Mail-Servern\ + \ \xFCber nicht vertrauensw\xFCrdige Netze eine sichere Transportverschl\xFC\ + sselung einsetzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3 + ref_id: APP.5.3.A2 + name: Sicherer Betrieb von E-Mail-Servern + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2 + ref_id: APP.5.3.A2.1 + description: "F\xFCr den E-Mail-Empfang \xFCber nicht vertrauensw\xFCrdige Netze\ + \ M\xDCSSEN E-Mail-Server eine sichere Transportverschl\xFCsselung anbieten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2 + ref_id: APP.5.3.A2.2 + description: "Der Empfang von E-Mails \xFCber unverschl\xFCsselte Verbindungen\ + \ SOLLTE deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2 + ref_id: APP.5.3.A2.3 + description: "Versenden E-Mail-Server von sich aus E-Mails an andere E-Mail-Server,\ + \ SOLLTEN sie eine sichere Transportverschl\xFCsselung nutzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2 + ref_id: APP.5.3.A2.4 + description: "Der IT-Betrieb SOLLTE den E-Mail-Versand durch unsichere Netze\ + \ \xFCber unverschl\xFCsselte Verbindungen deaktivieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2 + ref_id: APP.5.3.A2.5 + description: "Der IT-Betrieb MUSS den E-Mail-Server so konfigurieren, dass E-Mail-Clients\ + \ nur \xFCber eine sichere Transportverschl\xFCsselung auf Postf\xE4cher zugreifen\ + \ k\xF6nnen, wenn dies \xFCber nicht vertrauensw\xFCrdige Netze passiert." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2 + ref_id: APP.5.3.A2.6 + description: Die Institution MUSS alle erlaubten E-Mail-Protokolle und Dienste + festlegen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2 + ref_id: APP.5.3.A2.7 + description: Der IT-Betrieb MUSS Schutzmechanismen gegen Denial-of-Service (DoS)-Attacken + ergreifen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2 + ref_id: APP.5.3.A2.8 + description: "Werden Nachrichten auf einem E-Mail-Server gespeichert, MUSS der\ + \ IT-Betrieb eine geeignete Gr\xF6\xDFenbeschr\xE4nkung f\xFCr das serverseitige\ + \ Postfach einrichten und dokumentieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a2 + ref_id: APP.5.3.A2.9 + description: "Au\xDFerdem MUSS der IT-Betrieb den E-Mail-Server so einstellen,\ + \ dass er nicht als Spam-Relay missbraucht werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3 + ref_id: APP.5.3.A3 + name: Datensicherung und Archivierung von E-Mails + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a3 + ref_id: APP.5.3.A3.1 + description: "Der IT-Betrieb MUSS die Daten der E-Mail-Server und -Clients regelm\xE4\ + \xDFig sichern." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a3 + ref_id: APP.5.3.A3.2 + description: "Daf\xFCr MUSS die Institution regeln, wie die gesendeten und empfangenen\ + \ E-Mails der E-Mail-Clients sowie die E-Mails auf den Servern gesichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a3 + ref_id: APP.5.3.A3.3 + description: "Die Institution SOLLTE ebenfalls bei der Archivierung beachten,\ + \ dass E-Mails m\xF6glicherweise nur lokal auf Clients gespeichert sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3 + ref_id: APP.5.3.A4 + name: Spam- und Virenschutz auf dem E-Mail-Server + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a4 + ref_id: APP.5.3.A4.1 + description: "Der IT-Betrieb MUSS sicherstellen, dass auf E-Mail-Servern eingehende\ + \ und ausgehende E-Mails, insbesondere deren Anh\xE4nge, auf Spam-Merkmale\ + \ und sch\xE4dliche Inhalte \xFCberpr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a4 + ref_id: APP.5.3.A4.2 + description: "Die Einf\xFChrung und Nutzung von E-Mail-Filterprogrammen MUSS\ + \ mit den Datenschutzbeauftragten und der Personalvertretung abgestimmt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a4 + ref_id: APP.5.3.A4.3 + description: "Die Institution MUSS festlegen, wie mit verschl\xFCsselten E-Mails\ + \ zu verfahren ist, wenn diese nicht durch das Virenschutzprogramm entschl\xFC\ + sselt werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3 + ref_id: APP.5.3.A5 + name: Festlegung von Vertretungsregelungen bei E-Mail-Nutzung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a5 + ref_id: APP.5.3.A5.1 + description: "Die Institution SOLLTE Vertretungsregelungen f\xFCr die Bearbeitung\ + \ von E-Mails festlegen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a5 + ref_id: APP.5.3.A5.2 + description: "Werden E-Mails weitergeleitet, SOLLTEN die Vertretenen mindestens\ + \ dar\xFCber informiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a5 + ref_id: APP.5.3.A5.3 + description: "Bei der Weiterleitung von E-Mails M\xDCSSEN datenschutzrechtliche\ + \ Aspekte ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a5 + ref_id: APP.5.3.A5.4 + description: "Die Institution SOLLTE f\xFCr Autoreply-Funktionen in E-Mail-Programmen\ + \ Regelungen etablieren, die beschreiben, wie diese Funktionen sicher verwendet\ + \ werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a5.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a5 + ref_id: APP.5.3.A5.5 + description: Wenn die Autoreply-Funktion benutzt wird, SOLLTEN keine internen + Informationen weitergegeben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3 + ref_id: APP.5.3.A6 + name: "Festlegung einer Sicherheitsrichtlinie f\xFCr E-Mail" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 + ref_id: APP.5.3.A6.1 + description: "Die Institution SOLLTE eine Sicherheitsrichtlinie f\xFCr die Nutzung\ + \ von E-Mails erstellen und regelm\xE4\xDFig aktualisieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 + ref_id: APP.5.3.A6.2 + description: "Die Institution SOLLTE alle Benutzenden und Administrierenden\ + \ \xFCber neue oder ver\xE4nderte Sicherheitsvorgaben f\xFCr E-Mail-Anwendungen\ + \ informieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 + ref_id: APP.5.3.A6.3 + description: "Die E-Mail-Sicherheitsrichtlinie SOLLTE konform zu den geltenden\ + \ \xFCbergeordneten Sicherheitsrichtlinien der Institution sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 + ref_id: APP.5.3.A6.4 + description: "Die Institution SOLLTE pr\xFCfen, ob die Sicherheitsrichtlinie\ + \ korrekt angewendet wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 + ref_id: APP.5.3.A6.5 + description: "Die E-Mail-Sicherheitsrichtlinie f\xFCr Benutzende SOLLTE vorgeben," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 + ref_id: APP.5.3.A6.6 + description: "\u2022 welche Zugriffsrechte es gibt," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 + ref_id: APP.5.3.A6.7 + description: "\u2022 wie E-Mails auf gef\xE4lschte Absendeadressen \xFCberpr\xFC\ + ft werden," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 + ref_id: APP.5.3.A6.8 + description: "\u2022 wie sich \xFCbermittelte Informationen absichern lassen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 + ref_id: APP.5.3.A6.9 + description: "\u2022 wie die Integrit\xE4t von E-Mails \xFCberpr\xFCft werden\ + \ soll," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 + ref_id: APP.5.3.A6.10 + description: "\u2022 welche offenen E-Mail-Verteiler verwendet werden d\xFC\ + rfen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 + ref_id: APP.5.3.A6.11 + description: "\u2022 ob E-Mails privat genutzt werden d\xFCrfen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 + ref_id: APP.5.3.A6.12 + description: "\u2022 wie mit E-Mails und Postf\xE4chern ausscheidender Personen\ + \ umgegangen werden soll," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.13 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 + ref_id: APP.5.3.A6.13 + description: "\u2022 ob und wie Webmail-Dienste genutzt werden d\xFCrfen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.14 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 + ref_id: APP.5.3.A6.14 + description: "\u2022 wer f\xFCr Gruppenpostf\xE4cher zust\xE4ndig ist," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.15 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 + ref_id: APP.5.3.A6.15 + description: "\u2022 wie mit Datei-Anh\xE4ngen umgegangen werden soll und" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.16 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 + ref_id: APP.5.3.A6.16 + description: "\u2022 ob Benutzende die HTML-Darstellung von E-Mails aktivieren\ + \ d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.17 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 + ref_id: APP.5.3.A6.17 + description: "Die E-Mail-Sicherheitsrichtlinie SOLLTE erg\xE4nzend f\xFCr die\ + \ Administrierenden die Einstellungsoptionen der E-Mail-Anwendungen beinhalten,\ + \ au\xDFerdem die Vorgaben f\xFCr m\xF6gliche Zugriffe von anderen Servern\ + \ auf einen E-Mail-Server." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.18 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 + ref_id: APP.5.3.A6.18 + description: Auch Angaben zu berechtigten Zugriffspunkten, von denen aus auf + einen E-Mail-Server zugegriffen werden darf, SOLLTEN in der Richtlinie enthalten + sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6.19 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a6 + ref_id: APP.5.3.A6.19 + description: Die E-Mail-Sicherheitsrichtlinie SOLLTE den Umgang mit Newsgroups + und Mailinglisten regeln. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3 + ref_id: APP.5.3.A7 + name: "Schulung zu Sicherheitsmechanismen von E-Mail-Clients f\xFCr Benutzende" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a7 + ref_id: APP.5.3.A7.1 + description: "Die Institution SOLLTE das Personal dar\xFCber aufkl\xE4ren, welche\ + \ Risiken entstehen, wenn E-Mail-Anwendungen benutzt werden und wie sicher\ + \ mit E-Mails umgegangen werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a7 + ref_id: APP.5.3.A7.2 + description: "Dies SOLLTE zus\xE4tzlich zur allgemeinen Schulung und Sensibilisierung\ + \ geschehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a7 + ref_id: APP.5.3.A7.3 + description: "Die Institution SOLLTE zu den Gefahren sensibilisieren, die entstehen\ + \ k\xF6nnen, wenn E-Mail-Anh\xE4nge ge\xF6ffnet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a7 + ref_id: APP.5.3.A7.4 + description: "Die Schulungen SOLLTEN ebenfalls darauf eingehen, wie E-Mails\ + \ von gef\xE4lschten Absendeadressen erkannt werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a7 + ref_id: APP.5.3.A7.5 + description: Die Institution SOLLTE davor warnen, an E-Mail-Kettenbriefen teilzunehmen + oder zu viele Mailinglisten zu abonnieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3 + ref_id: APP.5.3.A8 + name: Umgang mit Spam durch Benutzende + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a8 + ref_id: APP.5.3.A8.1 + description: "Grunds\xE4tzlich SOLLTEN die Benutzenden alle Spam-E-Mails ignorieren\ + \ und l\xF6schen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a8 + ref_id: APP.5.3.A8.2 + description: "Die Benutzenden SOLLTEN auf unerw\xFCnschte E-Mails nicht antworten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a8 + ref_id: APP.5.3.A8.3 + description: Sie SOLLTEN Links in diesen E-Mails nicht folgen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a8 + ref_id: APP.5.3.A8.4 + description: "Falls die Institution \xFCber ein zentrales Spam-Management verf\xFC\ + gt, SOLLTEN die Benutzenden Spam-E-Mails an dieses weiterleiten und die E-Mails\ + \ danach l\xF6schen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3 + ref_id: APP.5.3.A9 + name: "Erweiterte Sicherheitsma\xDFnahmen auf dem E-Mail-Server" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9 + ref_id: APP.5.3.A9.1 + description: "Die E-Mail-Server einer Institution SOLLTEN eingehende E-Mails\ + \ mittels des Sender Policy Framework (SPF) und mit Hilfe von DomainKeys Identified\ + \ Mail (DKIM) \xFCberpr\xFCfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9 + ref_id: APP.5.3.A9.2 + description: Die Institution SOLLTE selbst DKIM und SPF einsetzen, um von ihr + versendete E-Mails zu authentisieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9 + ref_id: APP.5.3.A9.3 + description: "Wird SPF verwendet, SOLLTEN alle sendeberechtigten E-Mail-Server\ + \ f\xFCr eine Domain im SPF-Eintrag angegeben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9 + ref_id: APP.5.3.A9.4 + description: Der SPF-Eintrag SOLLTE den "-all" Parameter enthalten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9 + ref_id: APP.5.3.A9.5 + description: "Der Softfail-Parameter (\u201E~\u201C) SOLLTE nur zu Testzwecken\ + \ verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9 + ref_id: APP.5.3.A9.6 + description: "Die Institution SOLLTE Domain-based Message Authentication, Reporting\ + \ and Conformance (DMARC) nutzen, um festzulegen, wie von ihr versendete E-Mails\ + \ durch den empfangenden E-Mail-Server \xFCberpr\xFCft werden sollen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9 + ref_id: APP.5.3.A9.7 + description: "DMARC-Eintr\xE4ge SOLLTEN vorgeben, dass E-Mails im Fehlerfall\ + \ abgewiesen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9 + ref_id: APP.5.3.A9.8 + description: "DMARC-Reporte SOLLTEN regelm\xE4\xDFig ausgewertet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9 + ref_id: APP.5.3.A9.9 + description: "Die Institution SOLLTE festlegen, ob DMARC-Reporte \xFCber empfangene\ + \ E-Mails an andere Institutionen versendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a9 + ref_id: APP.5.3.A9.10 + description: "Die Institution SOLLTE die E-Mail-Kommunikation \xFCber DANE und\ + \ MTA-STS absichern." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3 + ref_id: APP.5.3.A10 + name: "Ende-zu-Ende-Verschl\xFCsselung und Signatur" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a10 + ref_id: APP.5.3.A10.1 + description: "Die Institution SOLLTE eine Ende-zu-Ende-Verschl\xFCsselung sowie\ + \ digitale Signaturen f\xFCr E-Mails einsetzen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a10 + ref_id: APP.5.3.A10.2 + description: "Es SOLLTEN nur Protokolle zur Verschl\xFCsselung und Signatur\ + \ genutzt werden, die dem aktuellen Stand der Technik entsprechen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3 + ref_id: APP.5.3.A11 + name: Einsatz redundanter E-Mail-Server + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a11 + ref_id: APP.5.3.A11.1 + description: Die Institution SOLLTE redundante E-Mail-Server betreiben. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a11 + ref_id: APP.5.3.A11.2 + description: "Die redundanten E-Mail-Server SOLLTEN mit geeigneter Priorit\xE4\ + t in den MX-Records der betroffenen Domains hinterlegt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a11 + ref_id: APP.5.3.A11.3 + description: Die Institution SOLLTE festlegen, wie E-Mails zwischen den E-Mail-Servern + synchronisiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3 + ref_id: APP.5.3.A12 + name: "\xDCberwachung \xF6ffentlicher Block-Listen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a12 + ref_id: APP.5.3.A12.1 + description: "Der IT-Betrieb SOLLTE regelm\xE4\xDFig \xFCberpr\xFCfen, ob die\ + \ E-Mail-Server der Institution auf \xF6ffentlichen Spam- oder Block-Listen\ + \ aufgef\xFChrt sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3 + ref_id: APP.5.3.A13 + name: TLS-Reporting + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a13 + ref_id: APP.5.3.A13.1 + description: Die Institution SOLLTE TLS-Reporting einsetzen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.3.a13 + ref_id: APP.5.3.A13.2 + description: Es SOLLTE festgelegt werden, ob TLS-Reports an andere Institutionen + versendet werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app + ref_id: APP.5.4 + name: 'Unified Communications und Collaboration (UCC) ' + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 + ref_id: APP.5.4.A1 + name: Planung von UCC + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1 + ref_id: APP.5.4.A1.1 + description: "Es MUSS umfassend und detailliert geplant werden, wie und f\xFC\ + r welchen Zweck UCC eingesetzt werden soll." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1 + ref_id: APP.5.4.A1.2 + description: "Die Planung MUSS insbesondere die Wechselwirkungen der UCC-Dienste\ + \ ber\xFCcksichtigen und mindestens folgende Aspekte beinhalten:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1 + ref_id: APP.5.4.A1.3 + description: "\u2022 Einsatzzwecke der vorgesehenen UCC-Dienste" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1 + ref_id: APP.5.4.A1.4 + description: "\u2022 Funktionale Anforderungen an UCC als Gesamtheit und an\ + \ die einzelnen UCC-Dienste" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1 + ref_id: APP.5.4.A1.5 + description: "\u2022 Anforderungen zur Absicherung von UCC" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1 + ref_id: APP.5.4.A1.6 + description: "\u2022 Festlegung zu Informationen und Daten, die \xFCber UCC\ + \ \xFCbertragen werden d\xFCrfen" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1 + ref_id: APP.5.4.A1.7 + description: "\u2022 Analyse der Kommunikation und der Abh\xE4ngigkeiten von\ + \ UCC-Diensten untereinander" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1 + ref_id: APP.5.4.A1.8 + description: "\u2022 Produkt- und Dienstauswahl ausgehend von den definierten\ + \ Anforderungen" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1 + ref_id: APP.5.4.A1.9 + description: "\u2022 Aufstellen von organisatorischen Regelungen, um die UCC-Dienste\ + \ zu benutzen Bei der Planung MUSS ber\xFCcksichtigt werden, wie UCC in die\ + \ IT-Infrastruktur der Institution integriert wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a1 + ref_id: APP.5.4.A1.10 + description: Hierbei MUSS insbesondere betrachtet werden, ob und wie die Systeme + der UCC-Dienste innerhalb des Netzes separiert werden sollen und welche Schnittstellen + zu weiteren benutzten Anwendungen notwendig sind. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 + ref_id: APP.5.4.A2 + name: "Ber\xFCcksichtigung von UCC in der Netzplanung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a2 + ref_id: APP.5.4.A2.1 + description: "Bevor UCC-Dienste eingef\xFChrt werden, MUSS gepr\xFCft werden,\ + \ ob das Netz die UCC-spezifischen Leistungsparameter erf\xFCllt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a2 + ref_id: APP.5.4.A2.2 + description: "Falls die Leistungsparameter nicht erf\xFCllt werden, MUSS festgelegt\ + \ werden, wie hiermit umgegangen wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a2 + ref_id: APP.5.4.A2.3 + description: "Sollen UCC-Dienste benutzt werden, SOLLTEN im Rahmen der allgemeinen\ + \ Netzplanung insbesondere folgende Aspekte ber\xFCcksichtigt werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a2 + ref_id: APP.5.4.A2.4 + description: "\u2022 Erf\xFCllung der UCC-spezifischen Leistungsparameter wie\ + \ Paketverlust, Jitter und Latenz" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a2 + ref_id: APP.5.4.A2.5 + description: "\u2022 Netzkapazit\xE4ten (Bandbreite) f\xFCr die festgelegte\ + \ Benutzung der UCC-Dienste wie Videokonferenzen" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a2.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a2 + ref_id: APP.5.4.A2.6 + description: "\u2022 Ber\xFCcksichtigung von Power over Ethernet (PoE) f\xFC\ + r station\xE4re Endger\xE4te" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a2.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a2 + ref_id: APP.5.4.A2.7 + description: "\u2022 Verf\xFCgbarkeit von WLAN f\xFCr mobile Endger\xE4te Falls\ + \ die UCC-Dienste erweitert werden, SOLLTEN diese Aspekte erneut gepr\xFC\ + ft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 + ref_id: APP.5.4.A3 + name: "Initiales und regelm\xE4\xDFiges Testen der UCC-Dienste" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a3 + ref_id: APP.5.4.A3.1 + description: "F\xFCr die UCC-Dienste M\xDCSSEN initial Tests durchgef\xFChrt\ + \ werden, die verifizieren, dass die UCC-Komponenten untereinander und mit\ + \ anderen UCC-Diensten interferenzfrei funktionieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a3 + ref_id: APP.5.4.A3.2 + description: "Ebenfalls M\xDCSSEN Tests mit ausgew\xE4hlten Benutzenden durchgef\xFC\ + hrt werden, um insbesondere Wechselwirkungen mit anderen Anwendungen zu \xFC\ + berpr\xFCfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a3 + ref_id: APP.5.4.A3.3 + description: "Diese Tests SOLLTEN wiederholt werden, wenn die UCC-Dienste erweitert\ + \ oder ver\xE4ndert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a3 + ref_id: APP.5.4.A3.4 + description: "Zus\xE4tzlich SOLLTE die Konfiguration der UCC-Dienste in regelm\xE4\ + \xDFigen Abst\xE4nden auf Plausibilit\xE4t und Konformit\xE4t f\xFCr die festgelegten\ + \ Einsatzzwecke \xFCberpr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 + ref_id: APP.5.4.A4 + name: "Deaktivierung nicht ben\xF6tigter Funktionen und Dienste" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4 + ref_id: APP.5.4.A4.1 + description: "UCC-Dienste D\xDCRFEN NUR mit dem geringsten notwendigen Funktionsumfang\ + \ betrieben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4 + ref_id: APP.5.4.A4.2 + description: "Die verf\xFCgbaren Funktionen und Dienste M\xDCSSEN entsprechend\ + \ der definierten Einsatzzwecke ausgew\xE4hlt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4 + ref_id: APP.5.4.A4.3 + description: "Dabei M\xDCSSEN gegebenenfalls auftretende Wechselwirkungen zwischen\ + \ den verschiedenen Komponenten eines UCC-Dienstes ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4 + ref_id: APP.5.4.A4.4 + description: "Au\xDFerdem M\xDCSSEN insbesondere die folgenden Dienste und Funktionen\ + \ auf Notwendigkeit gepr\xFCft und gegebenenfalls deaktiviert oder eingeschr\xE4\ + nkt werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4 + ref_id: APP.5.4.A4.5 + description: "\u2022 Speicherung von personenbezogenen Daten durch die UCC-Komponenten" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4 + ref_id: APP.5.4.A4.6 + description: "\u2022 Zugriff und Verarbeitung von personenbezogenen Daten durch\ + \ Benutzende und den UCC-Dienst" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4 + ref_id: APP.5.4.A4.7 + description: "\u2022 Benutzbarkeit von Funktionen wie Chat, Erreichbarkeitsstatus,\ + \ Dateiablagen oder Team-Bereiche durch externe Teilnehmende" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4 + ref_id: APP.5.4.A4.8 + description: "\u2022 Senden von Daten und Dateien an externe UCC-Dienste Konversationsbezogene\ + \ Log-Daten D\xDCRFEN NUR in minimal notwendigem Umfang gespeichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a4 + ref_id: APP.5.4.A4.9 + description: "Funktionen und Dienste, die auf (dauerhaft) gespeicherte Log-Daten\ + \ zugreifen, M\xDCSSEN auf ihre Notwendigkeit gepr\xFCft und gegebenenfalls\ + \ deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 + ref_id: APP.5.4.A5 + name: "Rollen- und Berechtigungskonzept f\xFCr UCC" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5 + ref_id: APP.5.4.A5.1 + description: "Das Rollen- und Berechtigungskonzept MUSS um UCC-spezifische Definitionen\ + \ von Rollen und Berechtigungen erg\xE4nzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5 + ref_id: APP.5.4.A5.2 + description: "Solche Definitionen M\xDCSSEN sowohl f\xFCr alle internen Benutzenden\ + \ als auch f\xFCr die externen Benutzenden getroffen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5 + ref_id: APP.5.4.A5.3 + description: "Es M\xDCSSEN folgende Aspekte ber\xFCcksichtigt werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5 + ref_id: APP.5.4.A5.4 + description: "\u2022 Berechtigungen zur zielgerichteten Benutzung von UCC-Diensten\ + \ gem\xE4\xDF festgelegter Einsatzzwecke" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5 + ref_id: APP.5.4.A5.5 + description: "\u2022 Berechtigungen zur Anpassung der Konfiguration von Konversationen" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5 + ref_id: APP.5.4.A5.6 + description: "\u2022 Berechtigungen f\xFCr spezielle Funktionen von UCC-Diensten\ + \ wie Aufzeichnung von Konversationen und Zugriff auf Dateiablagen eines UCC-Dienstes\ + \ Dar\xFCber hinaus M\xDCSSEN die Berechtigungen der Konten ebenfalls auf\ + \ das notwendige Minimum reduziert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5 + ref_id: APP.5.4.A5.7 + description: "Dienste, die nur f\xFCr einen Teil der Benutzenden zur Verf\xFC\ + gung stehen, D\xDCRFEN NICHT f\xFCr die restlichen Benutzenden zug\xE4nglich\ + \ sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5 + ref_id: APP.5.4.A5.8 + description: "Zudem SOLLTEN nur Benutzende mit einer entsprechenden Berechtigung\ + \ auf Daten wie Aufzeichnungen oder Dateiablagen zugreifen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a5 + ref_id: APP.5.4.A5.9 + description: "Die Festlegungen M\xDCSSEN festgehalten, regelm\xE4\xDFig und\ + \ anlassbezogen gepr\xFCft und aktualisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 + ref_id: APP.5.4.A6 + name: "Verschl\xFCsselung von UCC-Daten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a6 + ref_id: APP.5.4.A6.1 + description: "S\xE4mtliche Kommunikation \xFCber unzureichend vertrauensw\xFC\ + rdige Netze MUSS mit sicheren Verfahren verschl\xFCsselt werden, sofern dies\ + \ durch die jeweilige UCC-Komponente unterst\xFCtzt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a6 + ref_id: APP.5.4.A6.2 + description: "Falls eine Verschl\xFCsselung f\xFCr einzelne UCC-Komponenten\ + \ oder einzelne Konversationen nicht m\xF6glich ist, MUSS die Festlegung,\ + \ welche Informationen \xFCber diese UCC-Komponenten \xFCbertragen werden\ + \ d\xFCrfen, gepr\xFCft und gegebenenfalls angepasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a6 + ref_id: APP.5.4.A6.3 + description: "Insbesondere MUSS bei anwendungs\xFCbergreifender Kommunikation\ + \ festgelegt werden, f\xFCr welche Konversationen die Medienstr\xF6me und\ + \ die Signalisierung und welche weiteren Daten wie Chat oder Dateitransfer\ + \ verschl\xFCsselt \xFCbertragen werden m\xFCssen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a6 + ref_id: APP.5.4.A6.4 + description: "Dateiablagen, die persistente personenbezogene oder vertrauliche\ + \ Daten enthalten, M\xDCSSEN mit Hilfe von sicheren Verschl\xFCsselungsmechanismen\ + \ abgesichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a6 + ref_id: APP.5.4.A6.5 + description: "Hierbei M\xDCSSEN sowohl interne Dateiablagen der UCC-Dienste\ + \ als auch \xFCber Schnittstellen angebundene externe Dateiablagen ber\xFC\ + cksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a6.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a6 + ref_id: APP.5.4.A6.6 + description: "Die Benutzenden M\xDCSSEN zudem \xFCber den Status der Verschl\xFC\ + sselung innerhalb von Konversationen informiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 + ref_id: APP.5.4.A7 + name: "Regelungen f\xFCr eine sichere Benutzung der UCC-Dienste" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a7 + ref_id: APP.5.4.A7.1 + description: "Konversationen, die mit Hilfe von UCC durchgef\xFChrt werden,\ + \ M\xDCSSEN abgesichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a7 + ref_id: APP.5.4.A7.2 + description: "Hierbei M\xDCSSEN folgende Aspekte ber\xFCcksichtigt werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a7 + ref_id: APP.5.4.A7.3 + description: "\u2022 Auswahl der Teilnehmenden entsprechend dem Inhalt der Konversation" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a7 + ref_id: APP.5.4.A7.4 + description: "\u2022 zus\xE4tzliche Absicherung von geplanten Konversationen\ + \ \xFCber Mechanismen wie PIN oder ein Passwort" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a7 + ref_id: APP.5.4.A7.5 + description: "\u2022 Zuweisung von Moderationsrechten an ausgew\xE4hlte Benutzende\ + \ der einladenden Institution" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a7.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a7 + ref_id: APP.5.4.A7.6 + description: "\u2022 Regelungen zum Umgang mit Aufzeichnungen von Konversationen" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a7.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a7 + ref_id: APP.5.4.A7.7 + description: "\u2022 Regelungen f\xFCr Endger\xE4te, die von mehreren Benutzenden\ + \ verwendet werden Die Benutzenden M\xDCSSEN \xFCber Funktionen informiert\ + \ werden, \xFCber die Konversationen abgesichert werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a7.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a7 + ref_id: APP.5.4.A7.8 + description: "Ebenso M\xDCSSEN die Benutzenden daf\xFCr sensibilisiert werden,\ + \ wie die UCC-Dienste sicher benutzt werden, insbesondere f\xFCr externe Chats\ + \ oder Videokonferenzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 + ref_id: APP.5.4.A8 + name: "Einsatz eines Session Border Controller am Provider-\xDCbergang" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a8 + ref_id: APP.5.4.A8.1 + description: "F\xFCr die UCC-Kommunikation \xFCber eingeschr\xE4nkt vertrauensw\xFC\ + rdige Netze SOLLTE mindestens f\xFCr Sprachdienste ein Session Border Controller\ + \ (SBC) am Netz\xFCbergang bzw. beim \xDCbergang zum SIP-Provider eingesetzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a8 + ref_id: APP.5.4.A8.2 + description: "Der SBC SOLLTE als Verschl\xFCsselungsendpunkt die Signalisierung\ + \ und die Medienstr\xF6me terminieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a8 + ref_id: APP.5.4.A8.3 + description: "Der SBC SOLLTE f\xFCr die Signalisierung und die Medienstr\xF6\ + me Filterfunktionen unterst\xFCtzen, die die jeweiligen Konversationen zus\xE4\ + tzlich absichern." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 + ref_id: APP.5.4.A9 + name: Sichere Konfiguration von UCC + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9 + ref_id: APP.5.4.A9.1 + description: "Um UCC sicher zu konfigurieren, SOLLTEN mindestens die folgenden\ + \ Aspekte ber\xFCcksichtigt werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9 + ref_id: APP.5.4.A9.2 + description: "\u2022 Verschl\xFCsselung von Signalisierungs- und Mediendaten\ + \ auch auf vertrauensw\xFCrdigen \xDCbertragungsstrecken" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9 + ref_id: APP.5.4.A9.3 + description: "\u2022 Absicherung von gespeicherten Daten, insbesondere Festlegung\ + \ f\xFCr Zugriffsberechtigung auf Aufzeichnungen von Konversationen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9 + ref_id: APP.5.4.A9.4 + description: "\u2022 Einschr\xE4nkung der zur Verf\xFCgung stehenden Dienste\ + \ auf ausschlie\xDFlich interne Benutzende" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9 + ref_id: APP.5.4.A9.5 + description: "\u2022 Einschr\xE4nkung der \xDCbertragung von Erreichbarkeitsinformationen\ + \ Gespeicherte Daten SOLLTEN verschl\xFCsselt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9 + ref_id: APP.5.4.A9.6 + description: "Auf gespeicherte Daten SOLLTEN Benutzende nur nach vorheriger\ + \ Authentisierung zugreifen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9 + ref_id: APP.5.4.A9.7 + description: Der IT-Betrieb SOLLTE sichere Einstellungen vorgeben, die verwendet + werden, wenn Konversationen erstellt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9 + ref_id: APP.5.4.A9.8 + description: "F\xFCr textbasierte Konversationen SOLLTE ein Malware-Schutz aktiviert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a9 + ref_id: APP.5.4.A9.9 + description: "Die Umsetzung SOLLTE festgehalten, regelm\xE4\xDFig und anlassbezogen\ + \ auf Einhaltung der Vorgaben gepr\xFCft und angepasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 + ref_id: APP.5.4.A10 + name: "Absicherung und Einschr\xE4nkung von Auswertungen von Inhalten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a10 + ref_id: APP.5.4.A10.1 + description: "Die Art einer (automatischen) Auswertung von Konversationsinhalten\ + \ SOLLTE schon im Vorfeld sorgf\xE4ltig gepr\xFCft werden und ihr Nutzen gegen\ + \ den Schutzbedarf abgewogen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a10 + ref_id: APP.5.4.A10.2 + description: "Es SOLLTE die M\xF6glichkeit bestehen, entsprechende Funktionen\ + \ entweder vollst\xE4ndig oder pro Konversation zu deaktivieren und eine inhaltliche\ + \ Auswertung der Kommunikation zu verhindern." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a10 + ref_id: APP.5.4.A10.3 + description: "Besondere Beachtung SOLLTEN KI-Funktionen und die \xDCbertragung\ + \ von Daten an Onlinedienste erhalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a10 + ref_id: APP.5.4.A10.4 + description: "Werden Inhalte \xFCber den Zweck der Konversation hinausgehend\ + \ ausgewertet, MUSS dazu auch eine Zustimmung der an der Konversation teilnehmenden\ + \ Personen eingeholt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a10.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a10 + ref_id: APP.5.4.A10.5 + description: "Werden w\xE4hrend der Auswertung von Konversationen persistente\ + \ Daten erzeugt, SOLLTEN f\xFCr diese geeignete Schutzma\xDFnahmen umgesetzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 + ref_id: APP.5.4.A11 + name: "Sicherstellung der Verf\xFCgbarkeit von Kommunikationsdiensten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a11 + ref_id: APP.5.4.A11.1 + description: "Die Verf\xFCgbarkeit von UCC-Diensten SOLLTE insbesondere durch\ + \ folgende technische Ma\xDFnahmen sichergestellt werden:" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a11 + ref_id: APP.5.4.A11.2 + description: "\u2022 redundante Auslegung zentraler Server und Dienste" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a11 + ref_id: APP.5.4.A11.3 + description: "\u2022 Benutzung von Call Admission Control (CAC) zur Qualit\xE4\ + tssicherung von Telefonie und Video-Diensten" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a11.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a11 + ref_id: APP.5.4.A11.4 + description: "\u2022 m\xF6glichst autark funktionierende UCC-Dienste Dar\xFC\ + ber hinaus SOLLTE bei Cloud-basierten UCC-Diensten der Cloud-Provider sowie\ + \ der Internet-Provider ausfallsicher an das eigene Netz angebunden werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a11.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a11 + ref_id: APP.5.4.A11.5 + description: "Zudem SOLLTE ein SIP-Provider, der Rufnummern bereitstellt und\ + \ den \xDCbergang ins \xF6ffentliche Telefonnetz bildet, hochverf\xFCgbar\ + \ an das eigene Netz angebunden werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a11.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a11 + ref_id: APP.5.4.A11.6 + description: "Die Verf\xFCgbarkeit SOLLTE durch ein Monitoring der UCC-Dienste\ + \ \xFCberwacht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 + ref_id: APP.5.4.A12 + name: Einbindung von UCC in die Notfallplanung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a12 + ref_id: APP.5.4.A12.1 + description: "Ausgehend von einer Business Impact Analyse SOLLTE gepr\xFCft\ + \ werden, welche UCC-Dienste in der Notfallplanung ber\xFCcksichtigt werden\ + \ sollen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a12 + ref_id: APP.5.4.A12.2 + description: "Hierbei SOLLTEN in Notfallsituationen f\xFCr einzelne UCC-Dienste\ + \ alternative Anwendungen bereitgestellt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a12 + ref_id: APP.5.4.A12.3 + description: "Insbesondere SOLLTE f\xFCr die Benutzenden die Erreichbarkeit\ + \ von wichtigen Diensten wie der Notruf gew\xE4hrleistet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a12 + ref_id: APP.5.4.A12.4 + description: "Zudem SOLLTE ein Notfallplan f\xFCr die UCC-Dienste erstellt werden,\ + \ in dem notwendige Konfigurationen sowie Routing-Anpassungen, die \xFCber\ + \ den Telefonie-Provider realisiert werden, behandelt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a12.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a12 + ref_id: APP.5.4.A12.5 + description: "Ebenso SOLLTE der Wiederanlauf der UCC-Komponenten und -Dienste\ + \ unter Ber\xFCcksichtigung der Wechselwirkungen innerhalb der UCC-Dienste\ + \ festgelegt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 + ref_id: APP.5.4.A13 + name: Sichere Administration von SIP-Trunks + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a13 + ref_id: APP.5.4.A13.1 + description: "Wenn SIP-Trunks administriert werden, SOLLTE f\xFCr folgende T\xE4\ + tigkeiten ein 4-Augen-Prinzip angewendet werden:" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a13 + ref_id: APP.5.4.A13.2 + description: "\u2022 \xC4nderungen an Routing-Konfigurationen" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a13 + ref_id: APP.5.4.A13.3 + description: "\u2022 \xC4nderungen an Parametern, die im Rahmen von Call Admission\ + \ Control benutzt werden" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a13.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a13 + ref_id: APP.5.4.A13.4 + description: "\u2022 \xC4nderungen hinsichtlich der Verschl\xFCsselung sowohl\ + \ in Richtung des eigenen Netzes als auch in Richtung des Provider-Netzes" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a13.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a13 + ref_id: APP.5.4.A13.5 + description: "\u2022 \xC4nderungen an weiteren sicherheitsrelevanten Konfigurationen\ + \ wie der lokalen Speicherung von Verbindungsdaten" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 + ref_id: APP.5.4.A14 + name: "Ende-zu-Ende-Verschl\xFCsselung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a14 + ref_id: APP.5.4.A14.1 + description: "F\xFCr UCC-Kommunikation SOLLTE eine sichere Ende-zu-Ende-Verschl\xFC\ + sselung benutzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a14 + ref_id: APP.5.4.A14.2 + description: "Die Ende-zu-Ende-Verschl\xFCsselung SOLLTE sich sowohl auf die\ + \ Signalisierung als auch auf die Mediendaten von Audio- und Videokommunikation\ + \ mit zwei oder mehr Teilnehmenden erstrecken." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a14 + ref_id: APP.5.4.A14.3 + description: "Bei Konversationen zwischen UCC-Diensten von verschiedenen Herstellenden\ + \ SOLLTEN die \xFCbertragenen Informationen eingeschr\xE4nkt werden, sofern\ + \ eine Ende-zu-Ende-Verschl\xFCsselung nach Stand der Technik nicht m\xF6\ + glich ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 + ref_id: APP.5.4.A15 + name: "Einschr\xE4nkung von KI-Funktionen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a15 + ref_id: APP.5.4.A15.1 + description: Die Benutzung von KI-Funktionen SOLLTE deaktiviert oder auf ein + Minimum reduziert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a15 + ref_id: APP.5.4.A15.2 + description: "Ist eine permanente Deaktivierung nicht m\xF6glich oder erw\xFC\ + nscht, SOLLTE festgelegt werden, dass Benutzende der UCC-Dienste zu Beginn\ + \ einer Konversation zielgerichtet KI-Funktionen deaktivieren, falls dies\ + \ m\xF6glich ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 + ref_id: APP.5.4.A16 + name: "Einsatz eines SBC an weiteren Netz\xFCberg\xE4ngen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a16 + ref_id: APP.5.4.A16.1 + description: "Erg\xE4nzend zu einem SBC am Netz\xFCbergang zum Provider, SOLLTEN\ + \ weitere SBC an internen Netz\xFCberg\xE4ngen eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a16 + ref_id: APP.5.4.A16.2 + description: "Hierbei SOLLTEN insbesondere Netz\xFCberg\xE4nge zwischen Netzsegmenten\ + \ mit unterschiedlichem Schutzbedarf ber\xFCcksichtigt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a16 + ref_id: APP.5.4.A16.3 + description: "Der SBC SOLLTE sicherstellen, dass die Verschl\xFCsselungsmechanismen\ + \ an den SBC-gesicherten Netzsegment\xFCberg\xE4ngen anforderungskonform realisiert\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 + ref_id: APP.5.4.A17 + name: "Einschr\xE4nkung der Benutzung von UCC-Diensten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a17 + ref_id: APP.5.4.A17.1 + description: "Folgende Aspekte SOLLTEN mindestens ber\xFCcksichtigt werden,\ + \ um die UCC-Dienste sowie die \xFCbertragenen Daten zus\xE4tzlich abzusichern:" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a17 + ref_id: APP.5.4.A17.2 + description: "\u2022 Einschr\xE4nkung der Dienste entsprechend des Schutzbedarfs\ + \ der \xFCbertragenen Informationen" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a17 + ref_id: APP.5.4.A17.3 + description: "\u2022 Benutzung einer Multi-Faktor-Authentisierung f\xFCr Benutzende" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a17.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a17 + ref_id: APP.5.4.A17.4 + description: "\u2022 Deaktivierung von Funktionen f\xFCr externe Benutzende" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a17.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a17 + ref_id: APP.5.4.A17.5 + description: "\u2022 Deaktivierung der Speicherung von Metadaten" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a17.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a17 + ref_id: APP.5.4.A17.6 + description: "\u2022 Einschr\xE4nkung der Sichtbarkeit von kommunikationsbezogenen\ + \ Daten f\xFCr Administrierende Dar\xFCber hinaus SOLLTEN zus\xE4tzliche technische\ + \ und organisatorische Vorkehrungen getroffen werden, um Konversationen \xFC\ + ber die Vergabe von PINs bzw. Passw\xF6rtern hinaus abzusichern." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4 + ref_id: APP.5.4.A18 + name: Einbindung von UCC in ein Sicherheitsmonitoring + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a18 + ref_id: APP.5.4.A18.1 + description: "Die zentralen UCC-Komponenten SOLLTEN durch ein Sicherheitsmonitoring\ + \ \xFCberwacht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a18 + ref_id: APP.5.4.A18.2 + description: "Dies SOLLTE mindestens f\xFCr Komponenten umgesetzt werden, die\ + \ wie Multipoint Control Units Verschl\xFCsselungsendpunkte realisieren oder\ + \ die wie SBCs an Vertrauensgrenzen positioniert sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.5.4.a18 + ref_id: APP.5.4.A18.3 + description: "Wird f\xFCr die IT der Institution ein System zur zentralen Detektion\ + \ und automatisierten Echtzeit\xFCberpr\xFCfung von Ereignismeldungen eingesetzt,\ + \ SOLLTEN die zentralen UCC-Komponenten hierin eingebunden werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app + ref_id: APP.6 + name: Allgemeine Software + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6 + ref_id: APP.6.A1 + name: Planung des Software-Einsatzes + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1 + ref_id: APP.6.A1.1 + description: "Bevor eine Institution eine (neue) Software einf\xFChrt, MUSS\ + \ sie entscheiden," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1 + ref_id: APP.6.A1.2 + description: "\u2022 wof\xFCr die Software genutzt und welche Informationen\ + \ damit verarbeitet werden sollen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1 + ref_id: APP.6.A1.3 + description: "\u2022 wie die Benutzenden bei der Anforderungserhebung beteiligt\ + \ und bei der Einf\xFChrung unterst\xFCtzt werden sollen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1 + ref_id: APP.6.A1.4 + description: "\u2022 wie die Software an weitere Anwendungen und IT-Systeme\ + \ \xFCber welche Schnittstellen angebunden wird," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1 + ref_id: APP.6.A1.5 + description: "\u2022 auf welchen IT-Systemen die Software ausgef\xFChrt werden\ + \ soll und welche Ressourcen zur Ausf\xFChrung der Software erforderlich sind,\ + \ sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1 + ref_id: APP.6.A1.6 + description: "\u2022 ob sich die Institution in Abh\xE4ngigkeit zu einem Hersteller\ + \ oder einer Herstellerin begibt, wenn sie diese Software einsetzt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1 + ref_id: APP.6.A1.7 + description: "Hierbei M\xDCSSEN bereits Sicherheitsaspekte ber\xFCcksichtigt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1 + ref_id: APP.6.A1.8 + description: "Zus\xE4tzlich MUSS die Institution die Zust\xE4ndigkeiten f\xFC\ + r fachliche Betreuung, Freigabe und betriebliche Administration schon im Vorfeld\ + \ kl\xE4ren und festlegen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a1 + ref_id: APP.6.A1.9 + description: "Die Zust\xE4ndigkeiten M\xDCSSEN dokumentiert und bei Bedarf aktualisiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6 + ref_id: APP.6.A2 + name: "Erstellung eines Anforderungskatalogs f\xFCr Software" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a2 + ref_id: APP.6.A2.1 + description: "Auf Basis der Ergebnisse der Planung M\xDCSSEN die Anforderungen\ + \ an die Software in einem Anforderungskatalog erhoben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a2 + ref_id: APP.6.A2.2 + description: Der Anforderungskatalog MUSS dabei die grundlegenden funktionalen + Anforderungen umfassen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a2 + ref_id: APP.6.A2.3 + description: "Dar\xFCber hinaus M\xDCSSEN die nichtfunktionalen Anforderungen\ + \ und hier insbesondere die Sicherheitsanforderungen in den Anforderungskatalog\ + \ integriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a2 + ref_id: APP.6.A2.4 + description: "Hierbei M\xDCSSEN sowohl die Anforderungen von den Fachverantwortlichen\ + \ als auch vom IT-Betrieb ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a2 + ref_id: APP.6.A2.5 + description: "Insbesondere M\xDCSSEN auch die rechtlichen Anforderungen, die\ + \ sich aus dem Kontext der zu verarbeitenden Daten ergeben, ber\xFCcksichtigt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a2.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a2 + ref_id: APP.6.A2.6 + description: Der fertige Anforderungskatalog SOLLTE mit allen betroffenen Fachabteilungen + abgestimmt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6 + ref_id: APP.6.A3 + name: Sichere Beschaffung von Software + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a3 + ref_id: APP.6.A3.1 + description: "Wenn Software beschafft wird, MUSS auf Basis des Anforderungskatalogs\ + \ eine geeignete Software ausgew\xE4hlt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a3 + ref_id: APP.6.A3.2 + description: "Die ausgew\xE4hlte Software MUSS aus vertrauensw\xFCrdigen Quellen\ + \ beschafft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a3 + ref_id: APP.6.A3.3 + description: "Die vertrauensw\xFCrdige Quelle SOLLTE eine M\xF6glichkeit bereitstellen,\ + \ die Software auf Integrit\xE4t zu \xFCberpr\xFCfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a3 + ref_id: APP.6.A3.4 + description: "Dar\xFCber hinaus SOLLTE die Software mit einem geeigneten Wartungsvertrag\ + \ oder einer vergleichbaren Zusage des herstellenden oder anbietenden Unternehmens\ + \ beschafft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a3 + ref_id: APP.6.A3.5 + description: "Diese Vertr\xE4ge oder Zusagen SOLLTEN insbesondere garantieren,\ + \ dass auftretende Sicherheitsl\xFCcken und Schwachstellen der Software w\xE4\ + hrend des gesamten Nutzungszeitraums zeitnah behoben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6 + ref_id: APP.6.A4 + name: "Regelung f\xFCr die Installation und Konfiguration von Software" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4 + ref_id: APP.6.A4.1 + description: Die Installation und Konfiguration der Software MUSS durch den + IT-Betrieb so geregelt werden, dass + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4 + ref_id: APP.6.A4.2 + description: "\u2022 die Software nur mit dem geringsten notwendigen Funktionsumfang\ + \ installiert und ausgef\xFChrt wird," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4 + ref_id: APP.6.A4.3 + description: "\u2022 die Software mit den geringsten m\xF6glichen Berechtigungen\ + \ ausgef\xFChrt wird," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4 + ref_id: APP.6.A4.4 + description: "\u2022 die datensparsamsten Einstellungen (in Bezug auf die Verarbeitung\ + \ von personenbezogenen Daten) konfiguriert werden sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4 + ref_id: APP.6.A4.5 + description: "\u2022 alle relevanten Sicherheitsupdates und -patches installiert\ + \ sind, bevor die Software produktiv eingesetzt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4 + ref_id: APP.6.A4.6 + description: "Hierbei M\xDCSSEN auch abh\xE4ngige Komponenten (unter anderem\ + \ Laufzeitumgebungen, Bibliotheken, Schnittstellen sowie weitere Programme)\ + \ mitbetrachtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4 + ref_id: APP.6.A4.7 + description: Der IT-Betrieb MUSS in Abstimmung mit den Fachverantwortlichen + festlegen, wer die Software wie installieren darf. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4 + ref_id: APP.6.A4.8 + description: Idealerweise SOLLTE Software immer zentral durch den IT-Betrieb + installiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4 + ref_id: APP.6.A4.9 + description: "Ist es erforderlich, dass die Software (teilweise) manuell installiert\ + \ wird, dann MUSS der IT-Betrieb eine Installationsanweisung erstellen, in\ + \ der klar geregelt wird, welche Zwischenschritte zur Installation durchzuf\xFC\ + hren und welche Konfigurationen vorzunehmen sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4 + ref_id: APP.6.A4.10 + description: "Dar\xFCber hinaus MUSS der IT-Betrieb regeln, wie die Integrit\xE4\ + t der Installationsdateien \xFCberpr\xFCft wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4 + ref_id: APP.6.A4.11 + description: "Falls zu einem Installationspaket digitale Signaturen oder Pr\xFC\ + fsummen verf\xFCgbar sind, M\xDCSSEN mit diesen die Integrit\xE4t \xFCberpr\xFC\ + ft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4 + ref_id: APP.6.A4.12 + description: Sofern erforderlich, SOLLTE der IT-Betrieb eine sichere Standardkonfiguration + der Software festlegen, mit der die Software konfiguriert wird. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4.13 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a4 + ref_id: APP.6.A4.13 + description: Die Standardkonfiguration SOLLTE dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6 + ref_id: APP.6.A5 + name: Sichere Installation von Software + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a5 + ref_id: APP.6.A5.1 + description: "Software MUSS entsprechend der Regelung f\xFCr die Installation\ + \ auf den IT-Systemen installiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a5 + ref_id: APP.6.A5.2 + description: "Dabei M\xDCSSEN ausschlie\xDFlich unver\xE4nderte Versionen der\ + \ freigegebenen Software verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a5 + ref_id: APP.6.A5.3 + description: Wird von diesen Anweisungen abgewichen, MUSS dies durch Vorgesetzte + und den IT-Betrieb genehmigt werden und entsprechend dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6 + ref_id: APP.6.A6 + name: "Ber\xFCcksichtigung empfohlener Sicherheitsanforderungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6 + ref_id: APP.6.A6.1 + description: "Die Institution SOLLTE die nachfolgenden Sicherheitsanforderungen\ + \ im Anforderungskatalog f\xFCr die Software ber\xFCcksichtigen:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6 + ref_id: APP.6.A6.2 + description: "\u2022 Die Software SOLLTE generelle Sicherheitsfunktionen wie\ + \ Protokollierung und Authentifizierung umfassen, die im Anwendungskontext\ + \ erforderlich sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6 + ref_id: APP.6.A6.3 + description: "\u2022 Die Software SOLLTE es erm\xF6glichen, die H\xE4rtungsfunktionen\ + \ der Einsatzumgebung zu nutzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6 + ref_id: APP.6.A6.4 + description: "Hierbei SOLLTEN insbesondere die H\xE4rtungsfunktionen des geplanten\ + \ Betriebssystems und der geplanten Ausf\xFChrungsumgebung ber\xFCcksichtigt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6 + ref_id: APP.6.A6.5 + description: "\u2022 Wenn durch die Software Informationen \xFCber ungesicherte,\ + \ \xF6ffentliche Netze \xFCbertragen werden, dann SOLLTE die Software sichere\ + \ Verschl\xFCsselungsfunktionen einsetzen, die dem Stand der Technik entsprechen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6 + ref_id: APP.6.A6.6 + description: "Dar\xFCber hinaus SOLLTEN die \xFCbertragenen Daten auf Integrit\xE4\ + t \xFCberpr\xFCft werden, indem Pr\xFCfsummen oder digitale Signaturen eingesetzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6 + ref_id: APP.6.A6.7 + description: "\u2022 Verwendet die Software Zertifikate, dann SOLLTE sie die\ + \ M\xF6glichkeit bieten, die Zertifikate transparent darzustellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6 + ref_id: APP.6.A6.8 + description: "Zudem SOLLTE es m\xF6glich sein, Zertifikate zu sperren, ihnen\ + \ das Vertrauen zu entziehen oder eigene Zertifikate zu erg\xE4nzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a6 + ref_id: APP.6.A6.9 + description: Die sich aus den Sicherheitsanforderungen ergebenden Funktionen + der Software SOLLTEN im Betrieb verwendet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6 + ref_id: APP.6.A7 + name: Auswahl und Bewertung potentieller Software + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a7 + ref_id: APP.6.A7.1 + description: "Anhand des Anforderungskatalogs SOLLTEN die am Markt erh\xE4ltlichen\ + \ Produkte gesichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a7 + ref_id: APP.6.A7.2 + description: Sie SOLLTEN mithilfe einer Bewertungsskala miteinander verglichen + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a7 + ref_id: APP.6.A7.3 + description: "Danach SOLLTE untersucht werden, ob die Produkte aus der engeren\ + \ Wahl die Anforderungen der Institution erf\xFCllen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a7 + ref_id: APP.6.A7.4 + description: "Gibt es mehrere Alternativen f\xFCr Produkte, SOLLTEN auch die\ + \ Akzeptanz der Benutzenden und der zus\xE4tzliche Aufwand f\xFCr z. B. Schulungen\ + \ oder die Migration ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a7 + ref_id: APP.6.A7.5 + description: "Fachverantwortliche SOLLTEN gemeinsam mit dem IT-Betrieb anhand\ + \ der Bewertungen und Testergebnisse ein geeignetes Softwareprodukt ausw\xE4\ + hlen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6 + ref_id: APP.6.A8 + name: "Regelung zur Verf\xFCgbarkeit der Installationsdateien" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a8 + ref_id: APP.6.A8.1 + description: "Der IT-Betrieb SOLLTE die Verf\xFCgbarkeit der Installationsdateien\ + \ sicherstellen, um die Installation reproduzieren zu k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a8 + ref_id: APP.6.A8.2 + description: Hierzu SOLLTE der IT-Betrieb + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a8 + ref_id: APP.6.A8.3 + description: "\u2022 die Installationsdateien geeignet sichern oder" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a8 + ref_id: APP.6.A8.4 + description: "\u2022 die Verf\xFCgbarkeit der Installationsdateien durch die\ + \ Bezugsquelle (z. B. App-Store) sicherstellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a8.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a8 + ref_id: APP.6.A8.5 + description: "Zus\xE4tzlich SOLLTE sichergestellt werden, dass Software reproduzierbar\ + \ konfiguriert werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a8.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a8 + ref_id: APP.6.A8.6 + description: Hierzu SOLLTEN die Konfigurationsdateien gesichert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a8.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a8 + ref_id: APP.6.A8.7 + description: Alternativ SOLLTE geeignet dokumentiert werden, wie die Software + konfiguriert wird. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a8.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a8 + ref_id: APP.6.A8.8 + description: Diese Regelung SOLLTE in das Datensicherungskonzept der Institution + integriert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6 + ref_id: APP.6.A9 + name: Inventarisierung von Software + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a9 + ref_id: APP.6.A9.1 + description: Software SOLLTE inventarisiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a9 + ref_id: APP.6.A9.2 + description: In einem Bestandsverzeichnis SOLLTE dokumentiert werden, auf welchen + Systemen die Software unter welcher Lizenz eingesetzt wird. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a9 + ref_id: APP.6.A9.3 + description: "Bei Bedarf SOLLTEN zus\xE4tzlich die sicherheitsrelevanten Einstellungen\ + \ miterfasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a9 + ref_id: APP.6.A9.4 + description: Software SOLLTE nur mit Lizenzen eingesetzt werden, die dem Einsatzzweck + und den vertraglichen Bestimmungen entsprechen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a9.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a9 + ref_id: APP.6.A9.5 + description: Die Lizenz SOLLTE den gesamten vorgesehenen Benutzungszeitraum + der Software abdecken. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a9.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a9 + ref_id: APP.6.A9.6 + description: Wird von einer Standardkonfiguration abgewichen, SOLLTE dies dokumentiert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a9.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a9 + ref_id: APP.6.A9.7 + description: Das Bestandsverzeichnis SOLLTE anlassbezogen durch den IT-Betrieb + aktualisiert werden, insbesondere wenn Software installiert wird. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a9.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a9 + ref_id: APP.6.A9.8 + description: "Das Bestandsverzeichnis SOLLTE so aufgebaut sein, dass bei Sicherheitsvorf\xE4\ + llen eine schnelle Gesamt\xFCbersicht mit den notwendigen Details erm\xF6\ + glicht wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6 + ref_id: APP.6.A10 + name: "Erstellung einer Sicherheitsrichtlinie f\xFCr den Einsatz der Software" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a10 + ref_id: APP.6.A10.1 + description: Die Institution SOLLTE die Regelungen, die festlegen, wie die Software + eingesetzt und betrieben wird, in einer Sicherheitsrichtlinie zusammenfassen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a10 + ref_id: APP.6.A10.2 + description: "Die Richtlinie SOLLTE allen relevanten Verantwortlichen, Zust\xE4\ + ndigen und Mitarbeitenden der Institution bekannt sein und die Grundlage f\xFC\ + r ihre Arbeit und ihr Handeln bilden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a10 + ref_id: APP.6.A10.3 + description: "Inhaltlich SOLLTE die Richtlinie auch ein Benutzenden-Handbuch\ + \ umfassen, dass erl\xE4utert, wie die Software zu benutzen und zu administrieren\ + \ ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a10 + ref_id: APP.6.A10.4 + description: "Es SOLLTE regelm\xE4\xDFig und stichprobenartig \xFCberpr\xFC\ + ft werden, ob die Mitarbeitenden sich an die Richtlinie halten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a10.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a10 + ref_id: APP.6.A10.5 + description: "Die Richtlinie SOLLTE regelm\xE4\xDFig aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6 + ref_id: APP.6.A11 + name: Verwendung von Plug-ins und Erweiterungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a11 + ref_id: APP.6.A11.1 + description: Es SOLLTEN nur unbedingt notwendige Plug-ins und Erweiterungen + installiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a11 + ref_id: APP.6.A11.2 + description: "Werden Erweiterungen eingesetzt, SOLLTE die Software die M\xF6\ + glichkeit bieten, Erweiterungen zu konfigurieren und abzuschalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6 + ref_id: APP.6.A12 + name: "Geregelte Au\xDFerbetriebnahme von Software" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a12 + ref_id: APP.6.A12.1 + description: "Wenn Software au\xDFer Betrieb genommen wird, SOLLTE der IT-Betrieb\ + \ mit den Fachverantwortlichen regeln, wie dies im Detail durchzuf\xFChren\ + \ ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a12 + ref_id: APP.6.A12.2 + description: "Ebenfalls SOLLTE geregelt werden, wie die Benutzenden hier\xFC\ + ber zu informieren sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a12 + ref_id: APP.6.A12.3 + description: "Hierbei SOLLTE gekl\xE4rt werden, ob die funktionalen Anforderungen\ + \ fortbestehen (z. B. zur Bearbeitung von Fachaufgaben)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a12 + ref_id: APP.6.A12.4 + description: "Ist dies der Fall, dann SOLLTE geregelt werden, wie die ben\xF6\ + tigten Funktionen der betroffenen Software weiter verf\xFCgbar sein werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6 + ref_id: APP.6.A13 + name: Deinstallation von Software + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a13 + ref_id: APP.6.A13.1 + description: "Wird Software deinstalliert, SOLLTEN alle angelegten und nicht\ + \ mehr ben\xF6tigten Dateien entfernt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a13 + ref_id: APP.6.A13.2 + description: "Alle Eintr\xE4ge in Systemdateien, die f\xFCr das Produkt vorgenommen\ + \ wurden und nicht l\xE4nger ben\xF6tigt werden, SOLLTEN r\xFCckg\xE4ngig\ + \ gemacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6 + ref_id: APP.6.A14 + name: Nutzung zertifizierter Software + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a14 + ref_id: APP.6.A14.1 + description: "Bei der Beschaffung von Software SOLLTE festgelegt werden, ob\ + \ Zusicherungen des herstellenden oder anbietenden Unternehmens \xFCber implementierte\ + \ Sicherheitsfunktionen als ausreichend vertrauensw\xFCrdig anerkannt werden\ + \ k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a14 + ref_id: APP.6.A14.2 + description: Ist dies nicht der Fall, SOLLTE eine Zertifizierung der Anwendung + z. B. nach Common Criteria als Entscheidungskriterium herangezogen werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.6.a14 + ref_id: APP.6.A14.3 + description: "Stehen mehrere Produkte zur Auswahl, SOLLTEN insbesondere dann\ + \ Sicherheitszertifikate ber\xFCcksichtigt werden, wenn der evaluierte Funktionsumfang\ + \ die Mindestfunktionalit\xE4t (weitestgehend) umfasst und die Mechanismenst\xE4\ + rke dem Schutzbedarf entspricht." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app + ref_id: APP.7 + name: Entwicklung von Individualsoftware + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7 + ref_id: APP.7.A1 + name: Erweiterung der Planung des Software-Einsatzes um Aspekte von Individualsoftware + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a1 + ref_id: APP.7.A1.1 + description: "Die Planung des Software-Einsatzes MUSS um Aspekte von Individualsoftware\ + \ erg\xE4nzt werden, indem definiert wird," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a1 + ref_id: APP.7.A1.2 + description: "\u2022 wer daf\xFCr zust\xE4ndig ist, die Software-Entwicklung\ + \ bzw. den Auftragnehmenden zu steuern und zu koordinieren, sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a1 + ref_id: APP.7.A1.3 + description: "\u2022 in was f\xFCr einen organisatorischen Rahmen die Software\ + \ zu entwickeln ist (Projektmanagementmodell)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a1 + ref_id: APP.7.A1.4 + description: Individualsoftware SOLLTE im Rahmen eines Entwicklungsprojektes + entwickelt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a1 + ref_id: APP.7.A1.5 + description: Das Entwicklungsprojekt sollte anhand eines Ablaufplans zeitlich + grob geplant werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7 + ref_id: APP.7.A2 + name: Festlegung von Sicherheitsanforderungen an den Prozess der Software-Entwicklung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a2 + ref_id: APP.7.A2.1 + description: Die Institution MUSS klare Anforderungen an den Prozess der Software-Entwicklung + definieren. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a2 + ref_id: APP.7.A2.2 + description: "Aus den Anforderungen MUSS hervorgehen, in was f\xFCr einer Umgebung\ + \ die Software entwickelt werden darf und welche technischen und organisatorischen\ + \ Ma\xDFnahmen von Seiten der beauftragten Software-Entwickelnden umzusetzen\ + \ sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7 + ref_id: APP.7.A3 + name: Festlegung der Sicherheitsfunktionen zur Systemintegration + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a3 + ref_id: APP.7.A3.1 + description: "Der IT-Betrieb und die zust\xE4ndigen Fachverantwortlichen M\xDC\ + SSEN Anforderungen an die technische Einsatzumgebung der geplanten Individualsoftware\ + \ erstellen und mit der Software-Entwicklung abstimmen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a3 + ref_id: APP.7.A3.2 + description: 'Aus den Anforderungen MUSS klar hervorgehen:' + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a3 + ref_id: APP.7.A3.3 + description: "\u2022 auf was f\xFCr einer Hardware-Plattform," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a3 + ref_id: APP.7.A3.4 + description: "\u2022 auf was f\xFCr einer Software-Plattform (inklusive gesamten\ + \ Software-Stack)," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a3 + ref_id: APP.7.A3.5 + description: "\u2022 mit welchen zur Verf\xFCgung stehenden Ressourcen (z. B.\ + \ CPU-Cluster oder Arbeitsspeicher)," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a3.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a3 + ref_id: APP.7.A3.6 + description: "\u2022 mit welchen Schnittstellen mit anderen IT-Systemen oder\ + \ Anwendungen sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a3.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a3 + ref_id: APP.7.A3.7 + description: "\u2022 mit welchen sich hieraus ergebenen Sicherheitsfunktionen\ + \ die Anwendung eingesetzt werden soll." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a3.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a3 + ref_id: APP.7.A3.8 + description: Schnittstellen mit anderen IT-Systemen SOLLTEN in standardisierten + technischen Formaten modelliert und definiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7 + ref_id: APP.7.A4 + name: Anforderungsgerechte Beauftragung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a4 + ref_id: APP.7.A4.1 + description: "Wird Individualsoftware durch die eigene Institution entwickelt\ + \ oder extern beauftragt, dann M\xDCSSEN neben den bestehenden rechtlichen\ + \ und organisatorischen Vorgaben insbesondere" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a4 + ref_id: APP.7.A4.2 + description: "\u2022 der Anforderungskatalog (siehe hierzu APP.6 Allgemeine\ + \ Software)," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a4 + ref_id: APP.7.A4.3 + description: "\u2022 die Sicherheitsanforderungen an den Prozess der Software-Entwicklung,\ + \ sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a4 + ref_id: APP.7.A4.4 + description: "\u2022 die Sicherheitsfunktionen zur Systemintegration als Grundlage\ + \ zur Software-Entwicklung verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7 + ref_id: APP.7.A5 + name: Geeignete Steuerung der Anwendungsentwicklung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a5 + ref_id: APP.7.A5.1 + description: Bei der Entwicklung von Individualsoftware SOLLTE ein geeignetes + Steuerungs- und Projektmanagementmodell verwendet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a5 + ref_id: APP.7.A5.2 + description: "Hierbei SOLLTE das ausgew\xE4hlte Modell mit dem Auftragnehmenden\ + \ abgestimmt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a5 + ref_id: APP.7.A5.3 + description: "Bei der Steuerung SOLLTE es ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a5 + ref_id: APP.7.A5.4 + description: "Es SOLLTE insbesondere ber\xFCcksichtigt werden, dass das ben\xF6\ + tigte Personal ausreichend qualifiziert ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a5.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a5 + ref_id: APP.7.A5.5 + description: "Alle relevanten Phasen SOLLTEN w\xE4hrend des Lebenszyklus der\ + \ Software abgedeckt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a5.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a5 + ref_id: APP.7.A5.6 + description: "Au\xDFerdem SOLLTE es ein geeignetes Entwicklungsmodell, ein Risikomanagement\ + \ sowie Qualit\xE4tsziele enthalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7 + ref_id: APP.7.A6 + name: Dokumentation der Anforderungen an die Individualsoftware + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a6 + ref_id: APP.7.A6.1 + description: Die Anforderungen aus den Anforderungskatalog, die Sicherheitsanforderungen + an den Prozess der Software-Entwicklung, sowie die Sicherheitsfunktionen zur + Systemintegration SOLLTEN umfassend dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a6 + ref_id: APP.7.A6.2 + description: "Insbesondere SOLLTE ein Sicherheitsprofil f\xFCr die Anwendung\ + \ erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a6 + ref_id: APP.7.A6.3 + description: Dieses SOLLTE den Schutzbedarf der zu verarbeitenden Daten und + Funktionen dokumentieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a6 + ref_id: APP.7.A6.4 + description: "Die Dokumentation mitsamt Sicherheitsprofil SOLLTE den Entwickelnden\ + \ zur Software-Entwicklung zur Verf\xFCgung gestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a6 + ref_id: APP.7.A6.5 + description: "Die Dokumentation SOLLTE bei \xC4nderungen an der Individualsoftware\ + \ sowie bei funktionalen Updates aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7 + ref_id: APP.7.A7 + name: Sichere Beschaffung von Individualsoftware + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a7 + ref_id: APP.7.A7.1 + description: "Das Entwicklungsprojekt SOLLTE im Rahmen des hierf\xFCr bestens\ + \ geeigneten Projektmanagementmodells beauftragt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a7 + ref_id: APP.7.A7.2 + description: "Sicherheitsaspekte SOLLTEN dabei bereits bei der Ausschreibung\ + \ und Vergabe ber\xFCcksichtigt werden, sodass" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a7 + ref_id: APP.7.A7.3 + description: "\u2022 einerseits nur geeignete Auftragnehmende beauftragt werden," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a7 + ref_id: APP.7.A7.4 + description: "\u2022 andererseits aber keine weitreichenden R\xFCckschl\xFC\ + sse auf die Sicherheitsarchitektur durch die \xF6ffentlich verf\xFCgbaren\ + \ Informationen m\xF6glich sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a7 + ref_id: APP.7.A7.5 + description: "In der Institution SOLLTEN definierte Prozesse und festgelegte\ + \ Kontaktpersonen existieren, die sicherstellen, dass die jeweiligen Rahmenbedingungen\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7 + ref_id: APP.7.A8 + name: "Fr\xFChzeitige Beteiligung der Fachverantwortlichen bei entwicklungsbegleitenden\ + \ Software-Tests" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a8 + ref_id: APP.7.A8.1 + description: "Fachverantwortliche SOLLTEN schon vor der endg\xFCltigen Abnahme\ + \ fr\xFChzeitig an entwicklungsbegleitenden Tests der Software-Entwickelnden\ + \ beteiligt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a8 + ref_id: APP.7.A8.2 + description: "Dies SOLLTE in Abstimmung mit dem Auftragnehmenden bereits initial\ + \ im Projektablaufplan ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7 + ref_id: APP.7.A9 + name: "Treuh\xE4nderische Hinterlegung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a9 + ref_id: APP.7.A9.1 + description: "F\xFCr institutionskritische Anwendungen SOLLTE gepr\xFCft werden,\ + \ ob diese gegen Ausfall des herstellenden Unternehmens abgesichert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a9 + ref_id: APP.7.A9.2 + description: "Daf\xFCr SOLLTEN nicht zum Lieferumfang der Anwendung geh\xF6\ + rende Materialien und Informationen treuh\xE4nderisch hinterlegt werden, etwa\ + \ bei einer Escrow-Agentur." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a9 + ref_id: APP.7.A9.3 + description: "Dokumentierter Code, Konstruktionspl\xE4ne, Schl\xFCssel oder\ + \ Passw\xF6rter SOLLTEN dazu geh\xF6ren." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a9 + ref_id: APP.7.A9.4 + description: Die Pflichten der Escrow-Agentur zur Hinterlegung und Herausgabe + SOLLTEN vertraglich geregelt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a9.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a9 + ref_id: APP.7.A9.5 + description: "Es SOLLTE gekl\xE4rt werden, wann das Hinterlegte an wen herausgegeben\ + \ werden darf." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7 + ref_id: APP.7.A10 + name: Beauftragung zertifizierter Software-Entwicklungsunternehmen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a10 + ref_id: APP.7.A10.1 + description: Werden besonders sicherheitskritische Anwendungen entwickelt, SOLLTEN + hierzu zertifizierte Software-Entwicklungsunternehmen beauftragt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:app.7.a10 + ref_id: APP.7.A10.2 + description: "Die Zertifizierung SOLLTE Sicherheitsaspekte f\xFCr relevante\ + \ Aspekte der Software-Entwicklung umfassen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con + assessable: false + depth: 1 + ref_id: CON + name: Konzeption und Vorgehensweisen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con + ref_id: CON.1 + name: Kryptokonzept + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1 + ref_id: CON.1.A1 + name: Auswahl geeigneter kryptografischer Verfahren + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a1 + ref_id: CON.1.A1.1 + description: "Es M\xDCSSEN geeignete kryptografische Verfahren ausgew\xE4hlt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a1 + ref_id: CON.1.A1.2 + description: "Dabei MUSS sichergestellt sein, dass etablierte Algorithmen verwendet\ + \ werden, die von der Fachwelt intensiv untersucht wurden und von denen keine\ + \ Sicherheitsl\xFCcken bekannt sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a1 + ref_id: CON.1.A1.3 + description: "Ebenso M\xDCSSEN aktuell empfohlene Schl\xFCssell\xE4ngen verwendet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a1 + ref_id: CON.1.A1.4 + description: "Um eine geeignete Schl\xFCssell\xE4nge auszuw\xE4hlen, SOLLTE\ + \ ber\xFCcksichtigt werden, wie lange das kryptografische Verfahren eingesetzt\ + \ werden soll." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a1 + ref_id: CON.1.A1.5 + description: "Bei einer l\xE4ngeren Einsatzdauer SOLLTEN entsprechend l\xE4\ + ngere Schl\xFCssell\xE4ngen eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1 + ref_id: CON.1.A2 + name: Datensicherung beim Einsatz kryptografischer Verfahren + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a2 + ref_id: CON.1.A2.1 + description: "In Datensicherungen M\xDCSSEN kryptografische Schl\xFCssel vom\ + \ IT-Betrieb derart gespeichert oder aufbewahrt werden, dass Unbefugte nicht\ + \ darauf zugreifen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a2 + ref_id: CON.1.A2.2 + description: "Langlebige kryptografische Schl\xFCssel M\xDCSSEN offline, au\xDF\ + erhalb der eingesetzten IT-Systeme, aufbewahrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a2 + ref_id: CON.1.A2.3 + description: "Bei einer Langzeitspeicherung verschl\xFCsselter Informationen\ + \ SOLLTE regelm\xE4\xDFig gepr\xFCft werden, ob die verwendeten kryptografischen\ + \ Algorithmen und die Schl\xFCssell\xE4ngen noch f\xFCr die jeweiligen Informationen\ + \ geeignet sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a2 + ref_id: CON.1.A2.4 + description: "Der IT-Betrieb MUSS sicherstellen, dass auf verschl\xFCsselt gespeicherte\ + \ Informationen auch nach l\xE4ngeren Zeitr\xE4umen noch zugegriffen werden\ + \ kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a2 + ref_id: CON.1.A2.5 + description: Verwendete Hard- oder Software mit kryptografischen Funktionen + SOLLTE archiviert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1 + ref_id: CON.1.A4 + name: "Geeignetes Schl\xFCsselmanagement" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4 + ref_id: CON.1.A4.1 + description: "In einem geeigneten Schl\xFCsselmanagement f\xFCr kryptografische\ + \ Hard oder Software MUSS festgelegt werden, wie Schl\xFCssel und Zertifikate\ + \ erzeugt, gespeichert, ausgetauscht und wieder gel\xF6scht oder vernichtet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4 + ref_id: CON.1.A4.2 + description: "Es MUSS ferner festgelegt werden, wie die Integrit\xE4t und Authentizit\xE4\ + t der Schl\xFCssel sichergestellt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4 + ref_id: CON.1.A4.3 + description: "Kryptografische Schl\xFCssel SOLLTEN immer mit geeigneten Schl\xFC\ + sselgeneratoren und in einer sicheren Umgebung erzeugt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4 + ref_id: CON.1.A4.4 + description: "In Hard- oder Software mit kryptografischen Funktionen SOLLTEN\ + \ voreingestellte Schl\xFCssel (ausgenommen \xF6ffentliche Zertifikate) ersetzt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4 + ref_id: CON.1.A4.5 + description: "Ein Schl\xFCssel SOLLTE m\xF6glichst nur einem Einsatzzweck dienen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4 + ref_id: CON.1.A4.6 + description: "Insbesondere SOLLTEN f\xFCr die Verschl\xFCsselung und Signaturbildung\ + \ unterschiedliche Schl\xFCssel benutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4 + ref_id: CON.1.A4.7 + description: "Kryptografische Schl\xFCssel SOLLTEN mit sicher geltenden Verfahren\ + \ ausgetauscht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4 + ref_id: CON.1.A4.8 + description: "Wenn \xF6ffentliche Schl\xFCssel von Dritten verwendet werden,\ + \ MUSS sichergestellt sein, dass die Schl\xFCssel authentisch sind und die\ + \ Integrit\xE4t der Schl\xFCsseldaten gew\xE4hrleistet ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4 + ref_id: CON.1.A4.9 + description: "Geheime Schl\xFCssel M\xDCSSEN sicher gespeichert und vor unbefugtem\ + \ Zugriff gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4 + ref_id: CON.1.A4.10 + description: "Alle kryptografischen Schl\xFCssel SOLLTEN hinreichend h\xE4ufig\ + \ gewechselt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4 + ref_id: CON.1.A4.11 + description: "Grunds\xE4tzlich SOLLTE geregelt werden, wie mit abgelaufenen\ + \ Schl\xFCsseln und damit verbundenen Signaturen verfahren wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4 + ref_id: CON.1.A4.12 + description: "Falls die G\xFCltigkeit von Schl\xFCsseln oder Zertifikaten zeitlich\ + \ eingeschr\xE4nkt wird, dann MUSS durch die Institution sichergestellt werden,\ + \ dass die zeitlich eingeschr\xE4nkten Zertifikate oder Schl\xFCssel rechtzeitig\ + \ erneuert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4.13 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4 + ref_id: CON.1.A4.13 + description: "Eine Vorgehensweise SOLLTE f\xFCr den Fall festgelegt werden,\ + \ dass ein privater Schl\xFCssel offengelegt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4.14 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a4 + ref_id: CON.1.A4.14 + description: "Alle erzeugten kryptografischen Schl\xFCssel SOLLTEN sicher aufbewahrt\ + \ und verwaltet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1 + ref_id: CON.1.A5 + name: "Sicheres L\xF6schen und Vernichten von kryptografischen Schl\xFCsseln" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a5 + ref_id: CON.1.A5.1 + description: "Nicht mehr ben\xF6tigte private Schl\xFCssel SOLLTEN sicher gel\xF6\ + scht oder vernichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a5 + ref_id: CON.1.A5.2 + description: "Die Vorgehensweisen und eingesetzten Methoden, um nicht mehr ben\xF6\ + tigte private Schl\xFCssel zu l\xF6schen oder zu vernichten, SOLLTEN im Kryptokonzept\ + \ dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1 + ref_id: CON.1.A9 + name: "Festlegung von Kriterien f\xFCr die Auswahl von Hard- oder Software mit\ + \ kryptografischen Funktionen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9 + ref_id: CON.1.A9.1 + description: Im Kryptokonzept SOLLTE festgelegt werden, anhand welcher Kriterien + und Anforderungen Hard- oder Software mit kryptografischen Funktionen ausgesucht + wird. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9 + ref_id: CON.1.A9.2 + description: Hierbei SOLLTEN Aspekte wie + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9 + ref_id: CON.1.A9.3 + description: "\u2022 Funktionsumfang," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9 + ref_id: CON.1.A9.4 + description: "\u2022 Interoperabilit\xE4t," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9 + ref_id: CON.1.A9.5 + description: "\u2022 Wirtschaftlichkeit," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9 + ref_id: CON.1.A9.6 + description: "\u2022 Fehlbedienungs- und Fehlfunktionssicherheit," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9 + ref_id: CON.1.A9.7 + description: "\u2022 technische Aspekte," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9 + ref_id: CON.1.A9.8 + description: "\u2022 personelle und organisatorische Aspekte," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9 + ref_id: CON.1.A9.9 + description: "\u2022 Lebensdauer von kryptografischen Verfahren und der eingesetzten\ + \ Schl\xFCssell\xE4ngen sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9 + ref_id: CON.1.A9.10 + description: "\u2022 gesetzliche Rahmenbedingungen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9 + ref_id: CON.1.A9.11 + description: "\u2022 internationale rechtliche Aspekte wie Export- und Importbeschr\xE4\ + nkungen f\xFCr Hard- oder Software mit kryptografischen Funktionen, wenn die\ + \ kryptografischen Verfahren auch im Ausland eingesetzt werden" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9 + ref_id: CON.1.A9.12 + description: "\u2022 Datenschutz ber\xFCcksichtigt und im Kryptokonzept dokumentiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9.13 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a9 + ref_id: CON.1.A9.13 + description: "Dabei SOLLTE grunds\xE4tzlich zertifizierte Hard- oder Software\ + \ mit kryptografischen Funktionen, deren Zertifizierung die jeweils relevanten\ + \ Aspekte der Kryptografie umfasst, bevorzugt ausgew\xE4hlt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1 + ref_id: CON.1.A10 + name: Erstellung eines Kryptokonzepts + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10 + ref_id: CON.1.A10.1 + description: "Ausgehend von dem allgemeinen Sicherheitskonzept der Institution\ + \ SOLLTE ein Kryptokonzept f\xFCr Hard- oder Software mit kryptografischen\ + \ Funktionen erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10 + ref_id: CON.1.A10.2 + description: Im Kryptokonzept SOLLTE beschrieben werden, + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10 + ref_id: CON.1.A10.3 + description: "\u2022 wie die Datensicherungen von kryptografischen Schl\xFC\ + sseln durchgef\xFChrt werden," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10 + ref_id: CON.1.A10.4 + description: "\u2022 wie das Schl\xFCsselmanagement von kryptografischen Schl\xFC\ + sseln ausgestaltet ist sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10 + ref_id: CON.1.A10.5 + description: "\u2022 wie das Krypto-Kastaster erhoben wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10 + ref_id: CON.1.A10.6 + description: Weiterhin SOLLTE im Kryptokonzept beschrieben werden, wie sichergestellt + wird, dass kryptografische Funktionen von Hard- oder Software sicher konfiguriert + und korrekt eingesetzt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10 + ref_id: CON.1.A10.7 + description: "Im Kryptokonzept SOLLTEN alle technischen Vorgaben f\xFCr Hard-\ + \ und Software mit kryptografischen Funktionen beschrieben werden (z. B. Anforderungen,\ + \ Konfiguration oder Parameter)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10 + ref_id: CON.1.A10.8 + description: "Um geeignete kryptografische Verfahren auszuw\xE4hlen, SOLLTE\ + \ die BSI TR 02102 ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10 + ref_id: CON.1.A10.9 + description: "Wird das Kryptokonzept ver\xE4ndert oder von ihm abgewichen, SOLLTE\ + \ dies mit dem oder der ISB abgestimmt und dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10 + ref_id: CON.1.A10.10 + description: Das Kryptokonzept SOLLTE allen bekannt sein, die kryptografische + Verfahren einsetzen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10 + ref_id: CON.1.A10.11 + description: "Au\xDFerdem SOLLTE es bindend f\xFCr ihre Arbeit sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a10 + ref_id: CON.1.A10.12 + description: Insbesondere der IT-Betrieb SOLLTE die kryptografischen Vorgaben + des Kryptokonzepts umsetzen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1 + ref_id: CON.1.A11 + name: Test von Hardware mit kryptografischen Funktionen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a11 + ref_id: CON.1.A11.1 + description: "Im Kryptokonzept SOLLTEN Testverfahren f\xFCr Hardware mit kryptografischen\ + \ Funktionen festgelegt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a11 + ref_id: CON.1.A11.2 + description: Bevor Hardware mit kryptografischen Funktionen eingesetzt wird, + sollte getestet werden, ob die kryptografischen Funktionen korrekt funktionieren. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a11 + ref_id: CON.1.A11.3 + description: "Wenn ein IT-System ge\xE4ndert wird, SOLLTE getestet werden, ob\ + \ die eingesetzte kryptografische Hardware noch ordnungsgem\xE4\xDF funktioniert." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a11.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a11 + ref_id: CON.1.A11.4 + description: "Die Konfiguration der kryptografischen Hardware SOLLTE regelm\xE4\ + \xDFig \xFCberpr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1 + ref_id: CON.1.A15 + name: "Reaktion auf praktische Schw\xE4chung eines Kryptoverfahrens" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a15 + ref_id: CON.1.A15.1 + description: "Die Institution SOLLTE mindestens j\xE4hrlich anhand des Krypto-Katasters\ + \ \xFCberpr\xFCfen, ob die eingesetzten kryptografischen Verfahren und die\ + \ zugeh\xF6rigen Parameter noch ausreichend sicher sind und keine bekannten\ + \ Schwachstellen aufweisen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a15 + ref_id: CON.1.A15.2 + description: "Im Kryptokonzept SOLLTE ein Prozess f\xFCr den Fall definiert\ + \ und dokumentiert werden, dass Schwachstellen in kryptografischen Verfahren\ + \ auftreten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a15 + ref_id: CON.1.A15.3 + description: "Dabei SOLLTE sichergestellt werden, dass das geschw\xE4chte kryptografische\ + \ Verfahren entweder abgesichert oder durch eine geeignete Alternative abgel\xF6\ + st wird, sodass hieraus kein Sicherheitsrisiko entsteht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1 + ref_id: CON.1.A16 + name: Physische Absicherung von Hardware mit kryptografischen Funktionen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a16 + ref_id: CON.1.A16.1 + description: Im Kryptokonzept SOLLTE festgelegt werden, wie der IT-Betrieb sicherstellt, + dass nicht unautorisiert physisch auf Hardware mit kryptografischen Funktionen + zugegriffen werden kann. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1 + ref_id: CON.1.A17 + name: Abstrahlsicherheit + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a17 + ref_id: CON.1.A17.1 + description: "Es SOLLTE gepr\xFCft werden, ob zus\xE4tzliche Ma\xDFnahmen hinsichtlich\ + \ der Abstrahlsicherheit notwendig sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a17 + ref_id: CON.1.A17.2 + description: "Dies SOLLTE insbesondere dann geschehen, wenn staatliche Verschlusssachen\ + \ (VS) der Geheimhaltungsgrade VS-VERTRAULICH und h\xF6her verarbeitet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a17 + ref_id: CON.1.A17.3 + description: "Getroffene Ma\xDFnahmen hinsichtlich der Abstrahlsicherheit SOLLTEN\ + \ im Kryptokonzept dokumentiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1 + ref_id: CON.1.A18 + name: Kryptografische Ersatzhardware + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a18 + ref_id: CON.1.A18.1 + description: "Hardware mit kryptografischen Funktionen (z. B. Hardware-Token\ + \ f\xFCr Zwei-Faktor-Authentifizierung) SOLLTE vorr\xE4tig sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a18 + ref_id: CON.1.A18.2 + description: "Im Kryptokonzept SOLLTE dokumentiert werden, f\xFCr welche Hardware\ + \ mit kryptografischen Funktionen Ersatzhardware zur Verf\xFCgung steht und\ + \ wie diese ausgetauscht werden kann." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1 + ref_id: CON.1.A19 + name: Erstellung eines Krypto-Katasters + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a19 + ref_id: CON.1.A19.1 + description: "F\xFCr jede Gruppe von IT-Systemen SOLLTEN folgende Informationen\ + \ im Krypto-Kataster festgehalten werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a19 + ref_id: CON.1.A19.2 + description: "\u2022 Einsatzzweck (z. B. Festplattenverschl\xFCsselung oder\ + \ Verschl\xFCsselung einer Kommunikationsverbindung)" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a19.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a19 + ref_id: CON.1.A19.3 + description: "\u2022 Zust\xE4ndige" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a19.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a19 + ref_id: CON.1.A19.4 + description: "\u2022 eingesetztes kryptografische Verfahren" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a19.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a19 + ref_id: CON.1.A19.5 + description: "\u2022 eingesetzte Hard- oder Software mit kryptografischen Funktionen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a19.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a19 + ref_id: CON.1.A19.6 + description: "\u2022 eingesetzte sicherheitsrelevante Parameter (z. B. Schl\xFC\ + ssell\xE4ngen)" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1 + ref_id: CON.1.A20 + name: "Manipulationserkennung f\xFCr Hard- oder Software mit kryptografischen\ + \ Funktionen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.1.a20 + ref_id: CON.1.A20.1 + description: "Hard- und Software mit kryptografischen Funktionen SOLLTE auf\ + \ Manipulationsversuche hin \xFCberwacht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con + ref_id: CON.2 + name: Datenschutz + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.2.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.2 + ref_id: CON.2.A1 + name: Umsetzung Standard-Datenschutzmodell + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.2.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.2.a1 + ref_id: CON.2.A1.1 + description: "Die gesetzlichen Bestimmungen zum Datenschutz (DSGVO, BDSG, die\ + \ Datenschutzgesetze der Bundesl\xE4nder und gegebenenfalls einschl\xE4gige\ + \ bereichsspezifische Datenschutzregelungen) M\xDCSSEN eingehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.2.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.2.a1 + ref_id: CON.2.A1.2 + description: "Wird die SDM-Methodik nicht ber\xFCcksichtigt, die Ma\xDFnahmen\ + \ also nicht auf der Basis der Gew\xE4hrleistungsziele systematisiert und\ + \ mit dem Referenzma\xDFnahmen-Katalog des SDM abgeglichen, SOLLTE dies begr\xFC\ + ndet und dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con + ref_id: CON.3 + name: Datensicherungskonzept + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3 + ref_id: CON.3.A1 + name: "Erhebung der Einflussfaktoren f\xFCr Datensicherungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1 + ref_id: CON.3.A1.1 + description: "Der IT-Betrieb MUSS f\xFCr jedes IT-System und darauf ausgef\xFC\ + hrten Anwendungen die Rahmenbedingungen f\xFCr die Datensicherung erheben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1 + ref_id: CON.3.A1.2 + description: "Dazu M\xDCSSEN die Fachverantwortlichen f\xFCr die Anwendungen\ + \ ihre Anforderungen an die Datensicherung definieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1 + ref_id: CON.3.A1.3 + description: 'Der IT-Betrieb MUSS mindestens die nachfolgenden Rahmenbedingungen + mit den Fachverantwortlichen abstimmen:' + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1 + ref_id: CON.3.A1.4 + description: "\u2022 zu sichernde Daten," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1 + ref_id: CON.3.A1.5 + description: "\u2022 Speichervolumen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1 + ref_id: CON.3.A1.6 + description: "\u2022 \xC4nderungsvolumen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1 + ref_id: CON.3.A1.7 + description: "\u2022 \xC4nderungszeitpunkte," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1 + ref_id: CON.3.A1.8 + description: "\u2022 Verf\xFCgbarkeitsanforderungen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1 + ref_id: CON.3.A1.9 + description: "\u2022 Vertraulichkeitsanforderungen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1 + ref_id: CON.3.A1.10 + description: "\u2022 Integrit\xE4tsbedarf," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1 + ref_id: CON.3.A1.11 + description: "\u2022 rechtliche Anforderungen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1 + ref_id: CON.3.A1.12 + description: "\u2022 Anforderungen an das L\xF6schen und Vernichten der Daten\ + \ sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1.13 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1 + ref_id: CON.3.A1.13 + description: "\u2022 Zust\xE4ndigkeiten f\xFCr die Datensicherung." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1.14 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1 + ref_id: CON.3.A1.14 + description: "Die Einflussfaktoren M\xDCSSEN nachvollziehbar und auf geeignete\ + \ Weise festgehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1.15 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a1 + ref_id: CON.3.A1.15 + description: "Neue Anforderungen M\xDCSSEN zeitnah ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3 + ref_id: CON.3.A2 + name: "Festlegung der Verfahrensweisen f\xFCr die Datensicherung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a2 + ref_id: CON.3.A2.1 + description: Der IT-Betrieb MUSS Verfahren festlegen, wie die Daten gesichert + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a2 + ref_id: CON.3.A2.2 + description: "F\xFCr die Datensicherungsverfahren M\xDCSSEN Art, H\xE4ufigkeit\ + \ und Zeitpunkte der Datensicherungen bestimmt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a2 + ref_id: CON.3.A2.3 + description: Dies MUSS wiederum auf Basis der erhobenen Einflussfaktoren und + in Abstimmung mit den jeweiligen Fachverantwortlichen geschehen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a2 + ref_id: CON.3.A2.4 + description: "Auch MUSS definiert sein, welche Speichermedien benutzt werden\ + \ und wie die Transport- und Aufbewahrungsmodalit\xE4ten ausgestaltet sein\ + \ m\xFCssen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a2 + ref_id: CON.3.A2.5 + description: "Datensicherungen M\xDCSSEN immer auf separaten Speichermedien\ + \ f\xFCr die Datensicherung gespeichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a2.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a2 + ref_id: CON.3.A2.6 + description: "Besonders sch\xFCtzenswerte Speichermedien f\xFCr die Datensicherung\ + \ SOLLTEN nur w\xE4hrend der Datensicherung und Datenwiederherstellung mit\ + \ dem Netz der Institution oder dem Ursprungssystem verbunden werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a2.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a2 + ref_id: CON.3.A2.7 + description: "In virtuellen Umgebungen sowie f\xFCr Storage-Systeme SOLLTE gepr\xFC\ + ft werden, ob das IT-System erg\xE4nzend durch Snapshot-Mechanismen gesichert\ + \ werden kann, um hierdurch mehrere schnell wiederherstellbare Zwischenversionen\ + \ zwischen den vollst\xE4ndigen Datensicherungen zu erstellen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3 + ref_id: CON.3.A4 + name: "Erstellung von Datensicherungspl\xE4nen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4 + ref_id: CON.3.A4.1 + description: "Der IT-Betrieb MUSS Datensicherungspl\xE4ne je IT-System oder\ + \ Gruppe von IT-Systemen auf Basis der festgelegten Verfahrensweise f\xFC\ + r die Datensicherung erstellen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4 + ref_id: CON.3.A4.2 + description: "Diese M\xDCSSEN festlegen, welche Anforderungen f\xFCr die Datensicherung\ + \ mindestens einzuhalten sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4 + ref_id: CON.3.A4.3 + description: "Die Datensicherungspl\xE4ne M\xDCSSEN mindestens eine kurze Beschreibung\ + \ dazu enthalten:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4 + ref_id: CON.3.A4.4 + description: "\u2022 welche IT-Systeme und welche darauf befindlichen Daten\ + \ durch welche Datensicherung gesichert werden," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4 + ref_id: CON.3.A4.5 + description: "\u2022 in welcher Reihenfolge IT-System und Anwendungen wiederhergestellt\ + \ werden," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4 + ref_id: CON.3.A4.6 + description: "\u2022 wie die Datensicherungen erstellt und wiederhergestellt\ + \ werden k\xF6nnen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4 + ref_id: CON.3.A4.7 + description: "\u2022 wie lange Datensicherungen aufbewahrt werden," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4 + ref_id: CON.3.A4.8 + description: "\u2022 wie die Datensicherungen vor unbefugtem Zugriff und \xDC\ + berschreiben gesichert werden," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4 + ref_id: CON.3.A4.9 + description: "\u2022 welche Parameter zu w\xE4hlen sind sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a4 + ref_id: CON.3.A4.10 + description: "\u2022 welche Hard- und Software eingesetzt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3 + ref_id: CON.3.A5 + name: "Regelm\xE4\xDFige Datensicherung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a5 + ref_id: CON.3.A5.1 + description: "Regelm\xE4\xDFige Datensicherungen M\xDCSSEN gem\xE4\xDF den Datensicherungspl\xE4\ + nen erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a5 + ref_id: CON.3.A5.2 + description: "Alle Mitarbeitenden M\xDCSSEN \xFCber die Regelungen zur Datensicherung\ + \ informiert sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a5 + ref_id: CON.3.A5.3 + description: "Auch M\xDCSSEN sie dar\xFCber informiert werden, welche Aufgaben\ + \ sie bei der Erstellung von Datensicherungen haben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3 + ref_id: CON.3.A6 + name: Entwicklung eines Datensicherungskonzepts + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6 + ref_id: CON.3.A6.1 + description: 'Die Institution SOLLTE ein Datensicherungskonzept erstellen, dass + mindestens die nachfolgenden Punkte umfasst:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6 + ref_id: CON.3.A6.2 + description: "\u2022 Definitionen zu wesentlichen Aspekten der Datensicherung\ + \ (z. B. unterschiedliche Verfahrensweisen zur Datensicherung)," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6 + ref_id: CON.3.A6.3 + description: "\u2022 Gef\xE4hrdungslage," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6 + ref_id: CON.3.A6.4 + description: "\u2022 Einflussfaktoren je IT-System oder Gruppe von IT-Systemen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6 + ref_id: CON.3.A6.5 + description: "\u2022 Datensicherungspl\xE4ne je IT-System oder Gruppe von IT-Systemen\ + \ sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6 + ref_id: CON.3.A6.6 + description: "\u2022 relevante Ergebnisse des Notfallmanagements/BCM, insbesondere\ + \ die Recovery Point Objective (RPO) je IT-System oder Gruppe von IT-Systemen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6 + ref_id: CON.3.A6.7 + description: Der IT-Betrieb SOLLTE das Datensicherungskonzept mit den jeweiligen + Fachverantwortlichen der betreffenden Anwendungen abstimmen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6 + ref_id: CON.3.A6.8 + description: "Wird ein zentrales Datensicherungssystem f\xFCr die Sicherung\ + \ der Daten eingesetzt, SOLLTE beachtet werden, dass sich aufgrund der Konzentration\ + \ der Daten ein h\xF6herer Schutzbedarf ergeben kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6 + ref_id: CON.3.A6.9 + description: "Datensicherungen SOLLTEN regelm\xE4\xDFig gem\xE4\xDF dem Datensicherungskonzept\ + \ durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6 + ref_id: CON.3.A6.10 + description: Das Datensicherungskonzept selbst SOLLTE auch in einer Datensicherung + enthalten sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6 + ref_id: CON.3.A6.11 + description: "Die im Datensicherungskonzept enthaltenen technischen Informationen,\ + \ um Systeme und Datensicherungen wiederherzustellen (Datensicherungspl\xE4\ + ne), SOLLTEN in der Art gesichert werden, dass sie auch verf\xFCgbar sind,\ + \ wenn die Datensicherungssysteme selbst ausfallen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6 + ref_id: CON.3.A6.12 + description: "Die Mitarbeitenden SOLLTEN \xFCber den Teil des Datensicherungskonzepts\ + \ unterrichtet werden, der sie betrifft." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6.13 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a6 + ref_id: CON.3.A6.13 + description: "Regelm\xE4\xDFig SOLLTE kontrolliert werden, ob das Datensicherungskonzept\ + \ korrekt umgesetzt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3 + ref_id: CON.3.A7 + name: Beschaffung eines geeigneten Datensicherungssystems + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a7 + ref_id: CON.3.A7.1 + description: "Bevor ein Datensicherungssystem beschafft wird, SOLLTE der IT-Betrieb\ + \ eine Anforderungsliste erstellen, nach der die am Markt erh\xE4ltlichen\ + \ Produkte bewertet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a7 + ref_id: CON.3.A7.2 + description: "Die angeschafften Datensicherungssysteme SOLLTEN die Anforderungen\ + \ des Datensicherungskonzepts der Institution erf\xFCllen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3 + ref_id: CON.3.A9 + name: "Voraussetzungen f\xFCr die Online-Datensicherung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a9 + ref_id: CON.3.A9.1 + description: "Wenn f\xFCr die Datensicherung ein Online-Speicher genutzt werden\ + \ soll, SOLLTEN mindestens folgende Punkte vertraglich geregelt werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a9 + ref_id: CON.3.A9.2 + description: "\u2022 Gestaltung des Vertrages," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a9 + ref_id: CON.3.A9.3 + description: "\u2022 Ort der Datenspeicherung," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a9 + ref_id: CON.3.A9.4 + description: "\u2022 Vereinbarungen zur Dienstg\xFCte (SLA), insbesondere in\ + \ Hinsicht auf die Verf\xFCgbarkeit," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a9.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a9 + ref_id: CON.3.A9.5 + description: "\u2022 geeignete Authentisierungsmethoden f\xFCr den Zugriff," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a9.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a9 + ref_id: CON.3.A9.6 + description: "\u2022 Verschl\xFCsselung der Daten auf dem Online-Speicher sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a9.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a9 + ref_id: CON.3.A9.7 + description: "\u2022 Verschl\xFCsselung auf dem Transportweg." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a9.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a9 + ref_id: CON.3.A9.8 + description: "Zudem SOLLTEN Sicherungssystem und Netzanbindung so beschaffen\ + \ sein, dass die zul\xE4ssigen Sicherungs- bzw. Wiederherstellungszeiten nicht\ + \ \xFCberschritten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3 + ref_id: CON.3.A12 + name: "Sichere Aufbewahrung der Speichermedien f\xFCr die Datensicherungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a12 + ref_id: CON.3.A12.1 + description: "Die Speichermedien f\xFCr die Datensicherung M\xDCSSEN r\xE4umlich\ + \ getrennt von den gesicherten IT-Systemen aufbewahrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a12 + ref_id: CON.3.A12.2 + description: Sie SOLLTEN in einem anderen Brandabschnitt aufbewahrt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a12 + ref_id: CON.3.A12.3 + description: "Der Aufbewahrungsort SOLLTE so klimatisiert sein, dass die Datentr\xE4\ + ger entsprechend der zeitlichen Vorgaben des Datensicherungskonzepts aufbewahrt\ + \ werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3 + ref_id: CON.3.A13 + name: Einsatz kryptografischer Verfahren bei der Datensicherung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a13 + ref_id: CON.3.A13.1 + description: "Um die Vertraulichkeit der gesicherten Daten zu gew\xE4hrleisten,\ + \ SOLLTE der IT-Betrieb alle Datensicherungen verschl\xFCsseln." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a13 + ref_id: CON.3.A13.2 + description: "Es SOLLTE sichergestellt werden, dass sich die verschl\xFCsselten\ + \ Daten auch nach l\xE4ngerer Zeit wieder einspielen lassen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a13 + ref_id: CON.3.A13.3 + description: "Verwendete kryptografische Schl\xFCssel SOLLTEN mit einer getrennten\ + \ Datensicherung gesch\xFCtzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3 + ref_id: CON.3.A14 + name: Schutz von Datensicherungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a14 + ref_id: CON.3.A14.1 + description: "Die erstellten Datensicherungen M\xDCSSEN in geeigneter Weise\ + \ vor unbefugtem Zugriff gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a14 + ref_id: CON.3.A14.2 + description: "Hierbei MUSS insbesondere sichergestellt werden, dass Datensicherungen\ + \ nicht absichtlich oder unbeabsichtigt \xFCberschrieben werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a14 + ref_id: CON.3.A14.3 + description: "IT-Systeme, die f\xFCr die Datensicherung eingesetzt werden, SOLLTEN\ + \ einen schreibenden Zugriff auf die Speichermedien f\xFCr die Datensicherung\ + \ nur f\xFCr autorisierte Datensicherungen oder autorisierte Administrationst\xE4\ + tigkeiten gestatten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a14.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a14 + ref_id: CON.3.A14.4 + description: "Alternativ SOLLTEN die Speichermedien f\xFCr die Datensicherung\ + \ nur f\xFCr autorisierte Datensicherungen oder autorisierte Administrationst\xE4\ + tigkeiten mit den entsprechenden IT-Systemen verbunden werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3 + ref_id: CON.3.A15 + name: "Regelm\xE4\xDFiges Testen der Datensicherungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.3.a15 + ref_id: CON.3.A15.1 + description: "Es MUSS regelm\xE4\xDFig getestet werden, ob die Datensicherungen\ + \ wie gew\xFCnscht funktionieren, vor allem, ob gesicherte Daten einwandfrei\ + \ und in angemessener Zeit zur\xFCckgespielt werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con + ref_id: CON.6 + name: "L\xF6schen und Vernichten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6 + ref_id: CON.6.A1 + name: "Regelung f\xFCr die L\xF6schung und Vernichtung von Informationen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a1 + ref_id: CON.6.A1.1 + description: "Die Institution MUSS das L\xF6schen und Vernichten von Informationen\ + \ regeln." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a1 + ref_id: CON.6.A1.2 + description: "Dabei M\xDCSSEN die Fachverantwortlichen f\xFCr jedes Fachverfahren\ + \ bzw. Gesch\xE4ftsprozess regeln, welche Informationen unter welchen Voraussetzungen\ + \ gel\xF6scht und entsorgt werden m\xFCssen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a1 + ref_id: CON.6.A1.3 + description: "Hierbei M\xDCSSEN die gesetzlichen Bestimmungen beachtet werden," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a1 + ref_id: CON.6.A1.4 + description: "\u2022 die einerseits minimale Aufbewahrungsfristen bestimmen\ + \ sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a1 + ref_id: CON.6.A1.5 + description: "\u2022 anderseits maximale Aufbewahrungszeiten und ein Anrecht\ + \ auf das sichere L\xF6schen von personenbezogenen Daten garantieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a1 + ref_id: CON.6.A1.6 + description: "Sind personenbezogene Daten betroffen, dann M\xDCSSEN die Regelungen\ + \ zum L\xF6schen und Vernichten mit Bezug zu personenbezogenen Daten mit dem\ + \ oder der Datenschutzbeauftragten abgestimmt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a1.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a1 + ref_id: CON.6.A1.7 + description: "Das L\xF6schen und Vernichten von Informationen MUSS dabei f\xFC\ + r Fachverfahren, Gesch\xE4ftsprozesse und IT-Systeme geregelt werden, bevor\ + \ diese produktiv eingef\xFChrt worden sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6 + ref_id: CON.6.A2 + name: "Ordnungsgem\xE4\xDFes L\xF6schen und Vernichten von sch\xFCtzenswerten\ + \ Betriebsmitteln und Informationen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a2 + ref_id: CON.6.A2.1 + description: "Bevor schutzbed\xFCrftigen Informationen und Datentr\xE4ger entsorgt\ + \ werden, M\xDCSSEN sie sicher gel\xF6scht oder vernichtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a2 + ref_id: CON.6.A2.2 + description: Zu diesem Zweck MUSS der Prozess klar geregelt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a2 + ref_id: CON.6.A2.3 + description: "Einzelne Mitarbeitende M\xDCSSEN dar\xFCber informiert werden,\ + \ welche Aufgaben sie zum sicheren L\xF6schen und Vernichten erf\xFCllen m\xFC\ + ssen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a2 + ref_id: CON.6.A2.4 + description: "Der Prozess zum L\xF6schen und Vernichten von Datentr\xE4gern\ + \ MUSS auch Datensicherungen, wenn erforderlich, ber\xFCcksichtigen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a2 + ref_id: CON.6.A2.5 + description: "Der Standort von Vernichtungseinrichtungen auf dem Gel\xE4nde\ + \ der Institution MUSS klar geregelt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a2.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a2 + ref_id: CON.6.A2.6 + description: "Dabei MUSS auch ber\xFCcksichtigt werden, dass Informationen und\ + \ Betriebsmittel eventuell erst gesammelt und erst sp\xE4ter gel\xF6scht oder\ + \ vernichtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a2.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a2 + ref_id: CON.6.A2.7 + description: Eine solche zentrale Sammelstelle MUSS vor unbefugten Zugriffen + abgesichert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6 + ref_id: CON.6.A4 + name: "Auswahl geeigneter Verfahren zur L\xF6schung oder Vernichtung von Datentr\xE4\ + gern" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a4 + ref_id: CON.6.A4.1 + description: "Die Institution SOLLTE \xFCberpr\xFCfen, ob die Mindestanforderungen\ + \ an die Verfahrensweisen zur L\xF6schung und Vernichtung (siehe dazu CON.6.A12\ + \ Mindestanforderungen an Verfahren zur L\xF6schung und Vernichtung) f\xFC\ + r die tats\xE4chlich eingesetzten Datentr\xE4ger und darauf befindlichen Informationen\ + \ ausreichend sicher sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a4 + ref_id: CON.6.A4.2 + description: "Auf diesem Ergebnis aufbauend SOLLTE die Institution geeignete\ + \ Verfahren zur L\xF6schung und Vernichtung je Datentr\xE4ger bestimmen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a4 + ref_id: CON.6.A4.3 + description: "F\xFCr alle eingesetzten Datentr\xE4gerarten, die von der Institution\ + \ selbst vernichtet bzw. gel\xF6scht werden, SOLLTE es geeignete Ger\xE4te\ + \ und Werkzeuge geben, mit denen die zust\xE4ndigen Mitarbeitenden die gespeicherten\ + \ Informationen l\xF6schen oder vernichten k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a4 + ref_id: CON.6.A4.4 + description: "Die ausgew\xE4hlten Verfahrensweisen SOLLTEN allen verantwortlichen\ + \ Mitarbeitenden bekannt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a4 + ref_id: CON.6.A4.5 + description: "Die Institution SOLLTE regelm\xE4\xDFig kontrollieren, ob die\ + \ gew\xE4hlten Verfahren noch dem Stand der Technik entsprechen und f\xFC\ + r die Institution noch ausreichend sicher sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6 + ref_id: CON.6.A8 + name: "Erstellung einer Richtlinie f\xFCr die L\xF6schung und Vernichtung von\ + \ Informationen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a8 + ref_id: CON.6.A8.1 + description: "Die Regelungen der Institution zum L\xF6schen und Vernichten SOLLTEN\ + \ in einer Richtlinie dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a8 + ref_id: CON.6.A8.2 + description: "Die Richtlinie SOLLTE allen relevanten Mitarbeitenden der Institution\ + \ bekannt sein und die Grundlage f\xFCr ihre Arbeit und ihr Handeln bilden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a8 + ref_id: CON.6.A8.3 + description: "Inhaltlich SOLLTE die Richtlinie alle eingesetzten Datentr\xE4\ + ger, Anwendungen, IT-Systeme und sonstigen Betriebsmittel und Informationen\ + \ enthalten, die vom L\xF6schen und Vernichten betroffen sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a8 + ref_id: CON.6.A8.4 + description: "Es SOLLTE regelm\xE4\xDFig und stichprobenartig \xFCberpr\xFC\ + ft werden, ob die Mitarbeitenden sich an die Richtlinie halten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a8.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a8 + ref_id: CON.6.A8.5 + description: "Die Richtlinie SOLLTE regelm\xE4\xDFig aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6 + ref_id: CON.6.A11 + name: "L\xF6schung und Vernichtung von Datentr\xE4gern durch externe Dienstleistende" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a11 + ref_id: CON.6.A11.1 + description: "Wenn externe Dienstleistende beauftragt werden, MUSS der Prozess\ + \ zum L\xF6schen und Vernichten ausreichend sicher und nachvollziehbar sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a11 + ref_id: CON.6.A11.2 + description: "Die von externen Dienstleistenden eingesetzten Verfahrensweisen\ + \ zum sicheren L\xF6schen und Vernichten M\xDCSSEN mindestens die institutionsinternen\ + \ Anforderungen an die Verfahrensweisen zur L\xF6schung und Vernichtung erf\xFC\ + llen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a11 + ref_id: CON.6.A11.3 + description: "Die mit der L\xF6schung und Vernichtung beauftragten Unternehmen\ + \ SOLLTEN regelm\xE4\xDFig daraufhin \xFCberpr\xFCft werden, ob der L\xF6\ + sch- bzw. Vernichtungsvorgang noch korrekt abl\xE4uft." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6 + ref_id: CON.6.A12 + name: "Mindestanforderungen an Verfahren zur L\xF6schung und Vernichtung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12 + ref_id: CON.6.A12.1 + description: "Die Institution MUSS mindestens die nachfolgenden Verfahren zum\ + \ L\xF6schen und Vernichten von sch\xFCtzenswerten Datentr\xE4gern einsetzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12 + ref_id: CON.6.A12.2 + description: "Diese Verfahren SOLLTEN in Abh\xE4ngigkeit des Schutzbedarfs der\ + \ verarbeiteten Daten \xFCberpr\xFCft und, falls erforderlich, angepasst werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12 + ref_id: CON.6.A12.3 + description: "\u2022 Digitale wiederbeschreibbare Datentr\xE4ger M\xDCSSEN vollst\xE4\ + ndig mit einem Datenstrom aus Zufallswerten (z. B. PRNG Stream) \xFCberschrieben\ + \ werden, wenn sie nicht verschl\xFCsselt eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12 + ref_id: CON.6.A12.4 + description: "\u2022 Wenn digitale Datentr\xE4ger verschl\xFCsselt eingesetzt\ + \ werden, M\xDCSSEN sie durch ein sicheres L\xF6schen des Schl\xFCssels unter\ + \ Beachtung des Kryptokonzepts gel\xF6scht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12 + ref_id: CON.6.A12.5 + description: "\u2022 Optische Datentr\xE4ger M\xDCSSEN mindestens nach Sicherheitsstufe\ + \ O-3 entsprechend der ISO/IEC 21964-2 vernichtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12 + ref_id: CON.6.A12.6 + description: "\u2022 Smartphones oder sonstige Smart Devices SOLLTEN entsprechend\ + \ des Kryptokonzepts verschl\xFCsselt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12 + ref_id: CON.6.A12.7 + description: "Smartphones oder sonstige Smart Devices M\xDCSSEN auf die Werkseinstellung\ + \ (Factory Reset) zur\xFCckgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12 + ref_id: CON.6.A12.8 + description: "Anschlie\xDFend SOLLTE der Einrichtungsvorgang zum Abschluss des\ + \ L\xF6schvorgangs durchgef\xFChrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12 + ref_id: CON.6.A12.9 + description: "\u2022 IoT Ger\xE4te M\xDCSSEN auf den Werkszustand zur\xFCckgesetzt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12 + ref_id: CON.6.A12.10 + description: "Anschlie\xDFend M\xDCSSEN alle in den IoT-Ger\xE4ten hinterlegten\ + \ Zugangsdaten ge\xE4ndert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12 + ref_id: CON.6.A12.11 + description: "\u2022 Papier MUSS mindestens nach Sicherheitsstufe P-3 entsprechend\ + \ der ISO/IEC 21964-2 vernichtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12 + ref_id: CON.6.A12.12 + description: "\u2022 In sonstigen Ger\xE4ten integrierte Datentr\xE4ger M\xDC\ + SSEN \xFCber die integrierten Funktionen sicher gel\xF6scht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12.13 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a12 + ref_id: CON.6.A12.13 + description: "Ist das nicht m\xF6glich, M\xDCSSEN die Massenspeicher ausgebaut\ + \ und entweder wie herk\xF6mmliche digitale Datentr\xE4ger von einem separatem\ + \ IT-System aus sicher gel\xF6scht werden oder mindestens nach Sicherheitsstufe\ + \ E-3 bzw. H-3 entsprechend der ISO/IEC 21964-2 vernichtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6 + ref_id: CON.6.A13 + name: "Vernichtung defekter digitaler Datentr\xE4ger" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a13 + ref_id: CON.6.A13.1 + description: "K\xF6nnen digitale Datentr\xE4ger mit sch\xFCtzenswerten Informationen\ + \ aufgrund eines Defekts nicht sicher entsprechend der Verfahren zur L\xF6\ + schung von Datentr\xE4gern gel\xF6scht werden, dann SOLLTEN diese mindestens\ + \ entsprechend der Sicherheitsstufe 3 nach ISO/IEC 21964-2 vernichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a13 + ref_id: CON.6.A13.2 + description: "Alternativ SOLLTE f\xFCr den Fall, dass defekte Datentr\xE4ger\ + \ ausgetauscht oder repariert werden, vertraglich mit den hierzu beauftragten\ + \ Dienstleistenden vereinbart werden, dass diese Datentr\xE4ger durch die\ + \ Dienstleistenden sicher vernichtet oder gel\xF6scht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a13 + ref_id: CON.6.A13.3 + description: "Die Verfahrensweisen der Dienstleistenden SOLLTEN hierbei mindestens\ + \ die institutionsinternen Anforderungen an die Verfahrensweisen zur L\xF6\ + schung und Vernichtung erf\xFCllen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6 + ref_id: CON.6.A14 + name: "Vernichten von Datentr\xE4gern auf erh\xF6hter Sicherheitsstufe" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a14 + ref_id: CON.6.A14.1 + description: "Die Institution SOLLTE die erforderliche Sicherheitsstufe zur\ + \ Vernichtung von Datentr\xE4gern entsprechend der ISO/IEC 21964-1 anhand\ + \ des Schutzbedarf der zu vernichtenden Datentr\xE4ger bestimmen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.6.a14 + ref_id: CON.6.A14.2 + description: "Die Datentr\xE4ger SOLLTEN entsprechend der zugewiesenen Sicherheitsstufe\ + \ nach ISO/IEC 21964-2 vernichtet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con + ref_id: CON.7 + name: Informationssicherheit auf Auslandsreisen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 + ref_id: CON.7.A1 + name: Sicherheitsrichtlinie zur Informationssicherheit auf Auslandsreisen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a1 + ref_id: CON.7.A1.1 + description: "Alle f\xFCr die Informationssicherheit relevanten Aspekte, die\ + \ in Verbindung mit den T\xE4tigkeiten im Ausland stehen, M\xDCSSEN betrachtet\ + \ und geregelt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a1 + ref_id: CON.7.A1.2 + description: "Die Sicherheitsma\xDFnahmen, die in diesem Zusammenhang ergriffen\ + \ werden, M\xDCSSEN in einer Sicherheitsrichtlinie zur Informationssicherheit\ + \ auf Auslandsreisen dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a1 + ref_id: CON.7.A1.3 + description: "Diese Sicherheitsrichtlinie oder ein entsprechendes Merkblatt\ + \ mit zu beachtenden Sicherheitsma\xDFnahmen M\xDCSSEN transnational agierenden\ + \ Mitarbeitenden ausgeh\xE4ndigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a1 + ref_id: CON.7.A1.4 + description: "Erweiternd MUSS ein Sicherheitskonzept zum Umgang mit tragbaren\ + \ IT-Systemen auf Auslandsreisen erstellt werden, das alle Sicherheitsanforderungen\ + \ und -ma\xDFnahmen angemessen detailliert beschreibt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a1 + ref_id: CON.7.A1.5 + description: "Die Umsetzung des Sicherheitskonzeptes MUSS regelm\xE4\xDFig \xFC\ + berpr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 + ref_id: CON.7.A2 + name: Sensibilisierung der Mitarbeitenden zur Informationssicherheit auf Auslandsreisen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a2 + ref_id: CON.7.A2.1 + description: "Benutzende M\xDCSSEN im verantwortungsvollen Umgang mit Informationstechnik\ + \ bzw. tragbaren IT-Systemen auf Auslandsreisen sensibilisiert und geschult\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a2 + ref_id: CON.7.A2.2 + description: "Benutzende M\xDCSSEN die Gefahren kennen, die durch den unangemessenen\ + \ Umgang mit Informationen, die unsachgem\xE4\xDFe Vernichtung von Daten und\ + \ Datentr\xE4gern oder durch Schadsoftware und den unsicheren Datenaustausch\ + \ entstehen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a2 + ref_id: CON.7.A2.3 + description: "Au\xDFerdem M\xDCSSEN die Grenzen der eingesetzten Sicherheitsma\xDF\ + nahmen aufgezeigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a2 + ref_id: CON.7.A2.4 + description: "Die Benutzenden M\xDCSSEN dazu bef\xE4higt und darin best\xE4\ + rkt werden, einem Verlust oder Diebstahl vorzubeugen bzw. bei Ungereimtheiten\ + \ fachliche Beratung einzuholen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a2 + ref_id: CON.7.A2.5 + description: "Au\xDFerdem SOLLTEN Mitarbeitende auf gesetzliche Anforderungen\ + \ einzelner Reiseziele in Bezug auf die Reisesicherheit hingewiesen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a2.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a2 + ref_id: CON.7.A2.6 + description: "Hierzu MUSS sich der oder die Informationssicherheitsbeauftragte\ + \ \xFCber die gesetzlichen Anforderungen im Rahmen der Informationssicherheit\ + \ (z. B. Datenschutz, IT-Sicherheitsgesetz) informieren und die Mitarbeitenden\ + \ sensibilisieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 + ref_id: CON.7.A3 + name: "Identifikation l\xE4nderspezifischer Regelungen, Reise- und Umgebungsbedingungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a3 + ref_id: CON.7.A3.1 + description: "Vor Reiseantritt M\xDCSSEN die jeweils geltenden Regelungen der\ + \ einzelnen L\xE4nder durch das Informationssicherheitsmanagement bzw. die\ + \ Personalabteilung gepr\xFCft und an die entsprechenden Mitarbeitenden kommuniziert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a3 + ref_id: CON.7.A3.2 + description: "Die Institution MUSS geeignete Regelungen und Ma\xDFnahmen erstellen,\ + \ umsetzen und kommunizieren, die den angemessenen Schutz interner Daten erm\xF6\ + glichen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a3 + ref_id: CON.7.A3.3 + description: "Dabei M\xDCSSEN die individuellen Reise- und Umgebungsbedingungen\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a3 + ref_id: CON.7.A3.4 + description: "Au\xDFerdem M\xDCSSEN sich Mitarbeitende vor Reiseantritt mit\ + \ den klimatischen Bedingungen des Reiseziels auseinandersetzen und abkl\xE4\ + ren, welche Schutzma\xDFnahmen er f\xFCr sich ben\xF6tigt, z. B. Impfungen,\ + \ und welche Schutzma\xDFnahmen f\xFCr die mitgef\xFChrte Informationstechnik\ + \ n\xF6tig sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 + ref_id: CON.7.A4 + name: Verwendung von Sichtschutz-Folien + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a4 + ref_id: CON.7.A4.1 + description: "Benutzende M\xDCSSEN insbesondere im Ausland darauf achten, dass\ + \ bei der Arbeit mit mobilen IT-Ger\xE4ten keine sch\xFCtzenswerten Informationen\ + \ ausgesp\xE4ht werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a4 + ref_id: CON.7.A4.2 + description: "Dazu MUSS ein angemessener Sichtschutz verwendet werden, der den\ + \ gesamten Bildschirm des jeweiligen Ger\xE4tes umfasst und ein Aussp\xE4\ + hen von Informationen erschwert." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 + ref_id: CON.7.A5 + name: Verwendung der Bildschirm-/Code-Sperre + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a5 + ref_id: CON.7.A5.1 + description: "Eine Bildschirm- bzw. Code-Sperre, die verhindert, dass Dritte\ + \ auf die Daten mobiler Endger\xE4te zugreifen k\xF6nnen, MUSS verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a5 + ref_id: CON.7.A5.2 + description: "Die Benutzenden M\xDCSSEN dazu einen angemessenen Code bzw. ein\ + \ sicheres Ger\xE4tepasswort verwenden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a5 + ref_id: CON.7.A5.3 + description: "Die Bildschirmsperre MUSS sich nach einer kurzen Zeit der Inaktivit\xE4\ + t automatisch aktivieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 + ref_id: CON.7.A6 + name: Zeitnahe Verlustmeldung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a6 + ref_id: CON.7.A6.1 + description: "Mitarbeitende M\xDCSSEN ihrer Institution umgehend melden, wenn\ + \ Informationen, IT-Systeme oder Datentr\xE4ger verloren gegangen sind oder\ + \ gestohlen wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a6 + ref_id: CON.7.A6.2 + description: "Hierf\xFCr MUSS es klare Meldewege und Kontaktpersonen innerhalb\ + \ der Institution geben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a6 + ref_id: CON.7.A6.3 + description: "Die Institution MUSS die m\xF6glichen Auswirkungen des Verlustes\ + \ bewerten und geeignete Gegenma\xDFnahmen ergreifen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 + ref_id: CON.7.A7 + name: Sicherer Remote-Zugriff auf das Netz der Institution + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a7 + ref_id: CON.7.A7.1 + description: "Um Besch\xE4ftigten auf Auslandsreisen einen sicheren Fernzugriff\ + \ auf das Netz der Institution zu erm\xF6glichen, MUSS zuvor vom IT-Betrieb\ + \ ein sicherer Remote-Zugang eingerichtet worden sein, z. B. ein Virtual Private\ + \ Network (VPN)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a7 + ref_id: CON.7.A7.2 + description: Der VPN-Zugang MUSS kryptografisch abgesichert sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a7 + ref_id: CON.7.A7.3 + description: "Au\xDFerdem M\xDCSSEN Benutzende \xFCber angemessen sichere Zugangsdaten\ + \ verf\xFCgen, um sich gegen\xFCber dem Endger\xE4t und dem Netz der Institution\ + \ erfolgreich zu authentisieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a7 + ref_id: CON.7.A7.4 + description: "Mitarbeitende M\xDCSSEN den sicheren Remote-Zugriff f\xFCr jegliche\ + \ dar\xFCber m\xF6gliche Kommunikation nutzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a7 + ref_id: CON.7.A7.5 + description: "Es MUSS sichergestellt werden, dass nur autorisierte Personen\ + \ auf IT-Systeme zugreifen d\xFCrfen, die \xFCber einen Fernzugriff verf\xFC\ + gen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a7.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a7 + ref_id: CON.7.A7.6 + description: "Mobile IT-Systeme M\xDCSSEN im Rahmen der M\xF6glichkeiten vor\ + \ dem direkten Anschluss an das Internet durch eine restriktiv konfigurierte\ + \ Personal Firewall gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 + ref_id: CON.7.A8 + name: "Sichere Nutzung von \xF6ffentlichen WLANs" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a8 + ref_id: CON.7.A8.1 + description: "Grunds\xE4tzlich MUSS geregelt werden, ob mobile IT-Systeme direkt\ + \ auf das Internet zugreifen d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a8 + ref_id: CON.7.A8.2 + description: "F\xFCr den Zugriff auf das Netz der Institution \xFCber \xF6ffentlich\ + \ zug\xE4ngliche WLANs M\xDCSSEN Benutzende ein VPN oder vergleichbare Sicherheitsmechanismen\ + \ verwenden (siehe CON.7.A7 Sicherer Remote-Zugriff und NET.2.2 WLAN-Nutzung)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a8 + ref_id: CON.7.A8.3 + description: "Bei der Benutzung von WLAN-Hotspots M\xDCSSEN ebenfalls Sicherheitsma\xDF\ + nahmen getroffen werden, siehe auch INF.9 Mobiler Arbeitsplatz." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 + ref_id: CON.7.A9 + name: "Sicherer Umgang mit mobilen Datentr\xE4gern" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a9 + ref_id: CON.7.A9.1 + description: "Werden mobile Datentr\xE4ger verwendet, M\xDCSSEN Benutzende vorab\ + \ gew\xE4hrleisten, dass diese nicht mit Schadsoftware infiziert sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a9 + ref_id: CON.7.A9.2 + description: "Vor der Weitergabe mobiler Datentr\xE4ger M\xDCSSEN Benutzende\ + \ au\xDFerdem sicherstellen, dass keine sch\xFCtzenswerten Informationen darauf\ + \ enthalten sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a9 + ref_id: CON.7.A9.3 + description: "Wird er nicht mehr genutzt, MUSS der Datentr\xE4ger sicher gel\xF6\ + scht werden, insbesondere wenn er an andere Personen weitergegeben wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a9 + ref_id: CON.7.A9.4 + description: "Dazu MUSS der Datentr\xE4ger mit einem in der Institution festgelegten,\ + \ ausreichend sicheren Verfahren \xFCberschrieben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 + ref_id: CON.7.A10 + name: "Verschl\xFCsselung tragbarer IT-Systeme und Datentr\xE4ger" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a10 + ref_id: CON.7.A10.1 + description: "Damit sch\xFCtzenswerte Informationen nicht durch unberechtigte\ + \ Dritte eingesehen werden k\xF6nnen, M\xDCSSEN Mitarbeitende vor Reiseantritt\ + \ sicherstellen, dass alle sch\xFCtzenswerten Informationen entsprechend den\ + \ internen Richtlinien abgesichert sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a10 + ref_id: CON.7.A10.2 + description: "Mobile Datentr\xE4ger und IT-Systeme SOLLTEN dabei vor Reiseantritt\ + \ durch Benutzende oder den IT-Betrieb verschl\xFCsselt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a10 + ref_id: CON.7.A10.3 + description: "Die kryptografischen Schl\xFCssel M\xDCSSEN getrennt vom verschl\xFC\ + sselten Ger\xE4t aufbewahrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a10 + ref_id: CON.7.A10.4 + description: "Bei der Verschl\xFCsselung von Daten SOLLTEN die gesetzlichen\ + \ Regelungen des Ziellandes beachtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a10.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a10 + ref_id: CON.7.A10.5 + description: "Insbesondere landesspezifische Gesetze zur Herausgabe von Passw\xF6\ + rtern und zur Entschl\xFCsselung von Daten SOLLTEN ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 + ref_id: CON.7.A11 + name: Einsatz von Diebstahl-Sicherungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a11 + ref_id: CON.7.A11.1 + description: "Zum Schutz der mobilen IT-Systeme au\xDFerhalb der Institution\ + \ SOLLTEN Benutzende Diebstahl-Sicherungen einsetzen, vor allem dort, wo ein\ + \ erh\xF6hter Publikumsverkehr herrscht oder die Fluktuation von Benutzenden\ + \ sehr hoch ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a11 + ref_id: CON.7.A11.2 + description: "Die Beschaffungs- und Einsatzkriterien f\xFCr Diebstahl-Sicherungen\ + \ SOLLTEN an die Prozesse der Institution angepasst und dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 + ref_id: CON.7.A12 + name: "Sicheres Vernichten von schutzbed\xFCrftigen Materialien und Dokumenten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a12 + ref_id: CON.7.A12.1 + description: "Die Institution MUSS den Besch\xE4ftigten M\xF6glichkeiten aufzeigen,\ + \ schutzbed\xFCrftige Dokumente angemessen und sicher zu vernichten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a12 + ref_id: CON.7.A12.2 + description: "Benutzende M\xDCSSEN diese Regelungen einhalten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a12 + ref_id: CON.7.A12.3 + description: "Sie D\xDCRFEN interne Unterlagen der Institution NICHT entsorgen,\ + \ bevor diese sicher vernichtet worden sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a12 + ref_id: CON.7.A12.4 + description: "Ist dies vor Ort nicht m\xF6glich oder handelt es sich um Dokumente\ + \ bzw. Datentr\xE4ger mit besonders sch\xFCtzenswerten Informationen, M\xDC\ + SSEN diese bis zur R\xFCckkehr behalten und anschlie\xDFend angemessen vernichtet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 + ref_id: CON.7.A13 + name: "Mitnahme notwendiger Daten und Datentr\xE4ger" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a13 + ref_id: CON.7.A13.1 + description: "Vor Reiseantritt SOLLTEN Benutzende pr\xFCfen, welche Daten w\xE4\ + hrend der Reise nicht unbedingt auf den IT-Systemen gebraucht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a13 + ref_id: CON.7.A13.2 + description: "Ist es nicht notwendig, diese Daten auf den Ger\xE4ten zu lassen,\ + \ SOLLTEN diese sicher gel\xF6scht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a13 + ref_id: CON.7.A13.3 + description: "Ist es n\xF6tig, sch\xFCtzenswerte Daten mit auf Reisen zu nehmen,\ + \ SOLLTE dies nur in verschl\xFCsselter Form erfolgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a13.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a13 + ref_id: CON.7.A13.4 + description: "Dar\xFCber hinaus SOLLTE schriftlich geregelt sein, welche mobilen\ + \ Datentr\xE4ger auf Auslandsreisen mitgenommen werden d\xFCrfen und welche\ + \ Sicherheitsma\xDFnahmen dabei zu ber\xFCcksichtigen sind (z. B. Schutz vor\ + \ Schadsoftware, Verschl\xFCsselung gesch\xE4ftskritischer Daten, Aufbewahrung\ + \ mobiler Datentr\xE4ger)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a13.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a13 + ref_id: CON.7.A13.5 + description: Die Mitarbeitenden SOLLTEN diese Regelungen vor Reiseantritt kennen + und beachten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a13.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a13 + ref_id: CON.7.A13.6 + description: Diese sicherheitstechnischen Anforderungen SOLLTEN sich nach dem + Schutzbedarf der zu bearbeitenden Daten im Ausland und der Daten, auf die + zugegriffen werden soll, richten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 + ref_id: CON.7.A14 + name: Kryptografisch abgesicherte E-Mail-Kommunikation + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a14 + ref_id: CON.7.A14.1 + description: Die E-Mail-basierte Kommunikation SOLLTEN Benutzende entsprechend + den internen Vorgaben der Institution kryptografisch absichern. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a14 + ref_id: CON.7.A14.2 + description: "Die E-Mails SOLLTEN ebenfalls geeignet verschl\xFCsselt bzw. digital\ + \ signiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a14 + ref_id: CON.7.A14.3 + description: "\xD6ffentliche IT-Systeme, etwa in Hotels oder Internetcaf\xE9\ + s, SOLLTEN NICHT f\xFCr den Zugriff auf E-Mails genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a14.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a14 + ref_id: CON.7.A14.4 + description: "Bei der Kommunikation \xFCber E-Mail-Dienste, z. B. Webmail, SOLLTE\ + \ durch den IT-Betrieb vorab gekl\xE4rt werden, welche Sicherheitsmechanismen\ + \ beim Provider umgesetzt werden und ob damit die internen Sicherheitsanforderungen\ + \ erf\xFCllt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a14.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a14 + ref_id: CON.7.A14.5 + description: "Hierzu SOLLTE z. B. der sichere Betrieb der Server, der Aufbau\ + \ einer verschl\xFCsselten Verbindung und die Dauer der Datenspeicherung z\xE4\ + hlen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 + ref_id: CON.7.A15 + name: Abstrahlsicherheit tragbarer IT-Systeme + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a15 + ref_id: CON.7.A15.1 + description: "Es SOLLTE vor Beginn der Reise festgelegt werden, welchen Schutzbedarf\ + \ die einzelnen Informationen haben, die auf dem mobilen Datentr\xE4ger bzw.\ + \ Client der Mitarbeitenden im Ausland verarbeitet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a15 + ref_id: CON.7.A15.2 + description: "Die Institution SOLLTE pr\xFCfen, ob die mitgef\xFChrten Informationen\ + \ einen besonderen Schutzbedarf haben, und entsprechend abstrahlarme bzw.\ + \ -sichere Datentr\xE4ger und Clients einsetzen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 + ref_id: CON.7.A16 + name: "Integrit\xE4tsschutz durch Check-Summen oder digitale Signaturen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a16 + ref_id: CON.7.A16.1 + description: "Benutzende SOLLTEN Check-Summen im Rahmen der Daten\xFCbertragung\ + \ und Datensicherung verwenden, um die Integrit\xE4t der Daten \xFCberpr\xFC\ + fen zu k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a16 + ref_id: CON.7.A16.2 + description: "Besser noch SOLLTEN digitale Signaturen verwendet werden, um die\ + \ Integrit\xE4t von sch\xFCtzenswerten Informationen zu bewahren." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 + ref_id: CON.7.A17 + name: Verwendung vorkonfigurierter Reise-Hardware + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a17 + ref_id: CON.7.A17.1 + description: "Damit sch\xFCtzenswerte Informationen der Institution auf Auslandsreisen\ + \ nicht von Dritten abgegriffen werden k\xF6nnen, SOLLTE der IT-Betrieb den\ + \ Mitarbeitenden vorkonfigurierte Reise-Hardware zur Verf\xFCgung stellen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a17 + ref_id: CON.7.A17.2 + description: "Diese Reise-Hardware SOLLTE auf Basis des Minimalprinzips nur\ + \ die Funktionen und Informationen bereitstellen, die zur Durchf\xFChrung\ + \ der Gesch\xE4ftst\xE4tigkeit unbedingt erforderlich sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7 + ref_id: CON.7.A18 + name: "Eingeschr\xE4nkte Berechtigungen auf Auslandsreisen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a18 + ref_id: CON.7.A18.1 + description: "Vor Reiseantritt SOLLTE gepr\xFCft werden, welche Berechtigungen\ + \ Mitarbeitende wirklich brauchen, um ihrem Alltagsgesch\xE4ft im Ausland\ + \ nachgehen zu k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.7.a18 + ref_id: CON.7.A18.2 + description: "Dabei SOLLTE gepr\xFCft werden, ob Zugriffsrechte f\xFCr die Reisedauer\ + \ der Benutzenden durch den IT-Betrieb entzogen werden k\xF6nnen, um einen\ + \ unbefugten Zugriff auf Informationen der Institution zu verhindern." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con + ref_id: CON.8 + name: Software-Entwicklung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 + ref_id: CON.8.A1 + name: "Definition von Rollen und Zust\xE4ndigkeiten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1 + ref_id: CON.8.A1.1 + description: "F\xFCr den Software-Entwicklungsprozess SOLLTE eine gesamtzust\xE4\ + ndige Person ein benannt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1 + ref_id: CON.8.A1.2 + description: "Au\xDFerdem SOLLTEN die Rollen und Zust\xE4ndigkeiten f\xFCr alle\ + \ Aktivit\xE4ten im Rahmen der Software-Entwicklung festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1 + ref_id: CON.8.A1.3 + description: 'Die Rollen SOLLTEN dabei fachlich die nachfolgenden Themen abdecken:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1 + ref_id: CON.8.A1.4 + description: "\u2022 Requirements-Engineering (Anforderungsmanagement) und \xC4\ + nderungsmanagement," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1 + ref_id: CON.8.A1.5 + description: "\u2022 Software-Entwurf und -Architektur," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1 + ref_id: CON.8.A1.6 + description: "\u2022 Informationssicherheit in der Software-Entwicklung," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1 + ref_id: CON.8.A1.7 + description: "\u2022 Software-Implementierung in dem f\xFCr das Entwicklungsvorhaben\ + \ relevanten Bereichen, sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1 + ref_id: CON.8.A1.8 + description: "\u2022 Software-Tests." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a1 + ref_id: CON.8.A1.9 + description: "F\xFCr jedes Entwicklungsvorhaben SOLLTE eine zust\xE4ndige Person\ + \ f\xFCr die Informationssicherheit benannt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 + ref_id: CON.8.A2 + name: Auswahl eines Vorgehensmodells + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a2 + ref_id: CON.8.A2.1 + description: Ein geeignetes Vorgehensmodell zur Software-Entwicklung MUSS festgelegt + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a2 + ref_id: CON.8.A2.2 + description: "Anhand des gew\xE4hlten Vorgehensmodells MUSS ein Ablaufplan f\xFC\ + r die Software-Entwicklung erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a2 + ref_id: CON.8.A2.3 + description: "Die Sicherheitsanforderungen der Auftraggebenden an die Vorgehensweise\ + \ M\xDCSSEN im Vorgehensmodell integriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a2 + ref_id: CON.8.A2.4 + description: "Das ausgew\xE4hlte Vorgehensmodell, einschlie\xDFlich der festgelegten\ + \ Sicherheitsanforderungen, MUSS eingehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a2 + ref_id: CON.8.A2.5 + description: "Das Personal SOLLTE in der Methodik des gew\xE4hlten Vorgehensmodells\ + \ geschult sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 + ref_id: CON.8.A3 + name: Auswahl einer Entwicklungsumgebung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a3 + ref_id: CON.8.A3.1 + description: "Eine Liste der erforderlichen und optionalen Auswahlkriterien\ + \ f\xFCr eine Entwicklungsumgebung MUSS von Fachverantwortlichen f\xFCr die\ + \ Software-Entwicklung erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a3 + ref_id: CON.8.A3.2 + description: "Die Entwicklungsumgebung MUSS anhand der vorgegebenen Kriterien\ + \ ausgew\xE4hlt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 + ref_id: CON.8.A5 + name: Sicheres Systemdesign + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5 + ref_id: CON.8.A5.1 + description: "Folgende Grundregeln des sicheren Systemdesigns M\xDCSSEN in der\ + \ zu entwickelnden Software ber\xFCcksichtigt werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5 + ref_id: CON.8.A5.2 + description: "\u2022 Grunds\xE4tzlich M\xDCSSEN alle Eingabedaten vor der Weiterverarbeitung\ + \ gepr\xFCft und validiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5 + ref_id: CON.8.A5.3 + description: "\u2022 Bei Client-Server-Anwendungen M\xDCSSEN die Daten grunds\xE4\ + tzlich auf dem Server validiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5 + ref_id: CON.8.A5.4 + description: "\u2022 Die Standardeinstellungen der Software M\xDCSSEN derart\ + \ voreingestellt sein, dass ein sicherer Betrieb der Software erm\xF6glicht\ + \ wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5 + ref_id: CON.8.A5.5 + description: "\u2022 Bei Fehlern oder Ausf\xE4llen von Komponenten des Systems\ + \ D\xDCRFEN NICHT sch\xFCtzenswerte Informationen preisgegeben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5 + ref_id: CON.8.A5.6 + description: "\u2022 Die Software MUSS mit m\xF6glichst geringen Privilegien\ + \ ausgef\xFChrt werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5 + ref_id: CON.8.A5.7 + description: "\u2022 Sch\xFCtzenswerte Daten M\xDCSSEN entsprechend der Vorgaben\ + \ des Kryptokonzepts verschl\xFCsselt \xFCbertragen und gespeichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5 + ref_id: CON.8.A5.8 + description: "\u2022 Zur Benutzenden-Authentisierung und Authentifizierung M\xDC\ + SSEN vertrauensw\xFCrdige Mechanismen verwendet werden, die den Sicherheitsanforderungen\ + \ an die Anwendung entsprechen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5 + ref_id: CON.8.A5.9 + description: "\u2022 Falls zur Authentifizierung Passw\xF6rter gespeichert werden,\ + \ M\xDCSSEN diese mit einem sicheren Hashverfahren gespeichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5 + ref_id: CON.8.A5.10 + description: "\u2022 Sicherheitsrelevante Ereignisse M\xDCSSEN in der Art protokolliert\ + \ werden, dass sie im Nachgang ausgewertet werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5 + ref_id: CON.8.A5.11 + description: "\u2022 Informationen, die f\xFCr den Produktivbetrieb nicht relevant\ + \ sind (z. B. Kommentare mit Zugangsdaten f\xFCr die Entwicklungsumgebung),\ + \ SOLLTEN in ausgeliefertem Programmcode und ausgelieferten Konfigurationsdateien\ + \ entfernt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5 + ref_id: CON.8.A5.12 + description: Das Systemdesign MUSS dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5.13 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a5 + ref_id: CON.8.A5.13 + description: "Es MUSS \xFCberpr\xFCft werden, ob alle Sicherheitsanforderungen\ + \ an das Systemdesign erf\xFCllt wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 + ref_id: CON.8.A6 + name: "Verwendung von externen Bibliotheken aus vertrauensw\xFCrdigen Quellen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a6 + ref_id: CON.8.A6.1 + description: "Wird im Rahmen des Entwicklungs- und Implementierungsprozesses\ + \ auf externe Bibliotheken zur\xFCckgegriffen, M\xDCSSEN diese aus vertrauensw\xFC\ + rdigen Quellen bezogen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a6 + ref_id: CON.8.A6.2 + description: "Bevor externe Bibliotheken verwendet werden, MUSS deren Integrit\xE4\ + t sichergestellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 + ref_id: CON.8.A7 + name: "Durchf\xFChrung von entwicklungsbegleitenden Software-Tests" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7 + ref_id: CON.8.A7.1 + description: "Schon bevor die Software im Freigabeprozess getestet und freigegeben\ + \ wird, M\xDCSSEN entwicklungsbegleitende Software-Tests durchgef\xFChrt und\ + \ der Quellcode auf Fehler gesichtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7 + ref_id: CON.8.A7.2 + description: Hierbei SOLLTEN bereits die Fachverantwortlichen des Auftraggebenden + oder der beauftragenden Fachabteilung beteiligt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7 + ref_id: CON.8.A7.3 + description: "Die entwicklungsbegleitenden Tests M\xDCSSEN die funktionalen\ + \ und nichtfunktionalen Anforderungen der Software umfassen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7 + ref_id: CON.8.A7.4 + description: "Die Software-Tests M\xDCSSEN dabei auch Negativtests abdecken." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7 + ref_id: CON.8.A7.5 + description: "Zus\xE4tzlich M\xDCSSEN auch alle kritischen Grenzwerte der Eingabe\ + \ sowie der Datentypen \xFCberpr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7 + ref_id: CON.8.A7.6 + description: "Testdaten SOLLTEN daf\xFCr sorgf\xE4ltig ausgew\xE4hlt und gesch\xFC\ + tzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7 + ref_id: CON.8.A7.7 + description: "Dar\xFCber hinaus SOLLTE eine automatische statische Code-Analyse\ + \ durchgef\xFChrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7 + ref_id: CON.8.A7.8 + description: Die Software MUSS in einer Test- und Entwicklungsumgebung getestet + werden, die getrennt von der Produktionsumgebung ist. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a7 + ref_id: CON.8.A7.9 + description: "Au\xDFerdem MUSS getestet werden, ob die Systemvoraussetzungen\ + \ f\xFCr die vorgesehene Software ausreichend dimensioniert sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 + ref_id: CON.8.A8 + name: "Bereitstellung von Patches, Updates und \xC4nderungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a8 + ref_id: CON.8.A8.1 + description: "Es MUSS sichergestellt sein, dass sicherheitskritische Patches\ + \ und Updates f\xFCr die entwickelte Software zeitnah durch die Entwickelnden\ + \ bereitgestellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a8 + ref_id: CON.8.A8.2 + description: "Werden f\xFCr verwendete externe Bibliotheken sicherheitskritische\ + \ Updates bereitgestellt, dann M\xDCSSEN die Entwickelnden ihre Software hierauf\ + \ anpassen und ihrerseits entsprechende Patches und Updates zur Verf\xFCgung\ + \ stellen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a8 + ref_id: CON.8.A8.3 + description: "F\xFCr die Installations-, Update- oder Patchdateien M\xDCSSEN\ + \ vom Entwickelnden Checksummen oder digitale Signaturen bereitgestellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 + ref_id: CON.8.A10 + name: Versionsverwaltung des Quellcodes + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a10 + ref_id: CON.8.A10.1 + description: "Der Quellcode des Entwicklungsprojekts MUSS \xFCber eine geeignete\ + \ Versionsverwaltung verwaltet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a10 + ref_id: CON.8.A10.2 + description: "Die Institution MUSS den Zugriff auf die Versionsverwaltung regeln\ + \ und festlegen, wann \xC4nderungen am Quellcode durch die Entwickelnden als\ + \ eigene Version in der Versionsverwaltung gespeichert werden sollen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a10 + ref_id: CON.8.A10.3 + description: "Es MUSS sichergestellt sein, dass durch die Versionsverwaltung\ + \ alle \xC4nderungen am Quellcode nachvollzogen und r\xFCckg\xE4ngig gemacht\ + \ werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a10 + ref_id: CON.8.A10.4 + description: "Die Versionsverwaltung MUSS in dem Datensicherungskonzept ber\xFC\ + cksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a10.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a10 + ref_id: CON.8.A10.5 + description: Die Versionsverwaltung DARF NICHT ohne Datensicherung erfolgen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 + ref_id: CON.8.A11 + name: "Erstellung einer Richtlinie f\xFCr die Software-Entwicklung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a11 + ref_id: CON.8.A11.1 + description: "Es SOLLTE eine Richtlinie f\xFCr die Software-Entwicklung erstellt\ + \ und aktuell gehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a11 + ref_id: CON.8.A11.2 + description: "Die Richtlinie SOLLTE neben Namenskonventionen auch Vorgaben zu\ + \ Elementen beinhalten, die verwendet bzw. nicht verwendet werden d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a11 + ref_id: CON.8.A11.3 + description: Die relevanten Anforderungen aus diesem Baustein SOLLTEN in die + Richtlinie aufgenommen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a11.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a11 + ref_id: CON.8.A11.4 + description: "Die Richtlinie SOLLTE f\xFCr die Entwickelnden verbindlich sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 + ref_id: CON.8.A12 + name: "Ausf\xFChrliche Dokumentation" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a12 + ref_id: CON.8.A12.1 + description: Es SOLLTEN ausreichende Projekt-, Funktions- und Schnittstellendokumentationen + erstellt und aktuell gehalten werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a12 + ref_id: CON.8.A12.2 + description: "Die Betriebsdokumentation SOLLTE konkrete Sicherheitshinweise\ + \ f\xFCr die Installation und Konfiguration f\xFCr Administration, sowie f\xFC\ + r die Benutzung des Produktes beinhalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a12 + ref_id: CON.8.A12.3 + description: "Die Software-Entwicklung SOLLTE so dokumentiert sein, dass Fachleute\ + \ mithilfe der Dokumentation den Programm-Code nachvollziehen und weiterentwickeln\ + \ k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a12 + ref_id: CON.8.A12.4 + description: Die Dokumentation SOLLTE dabei auch die Software-Architektur und + Bedrohungsmodellierung umfassen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a12.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a12 + ref_id: CON.8.A12.5 + description: "Die Aspekte zur Dokumentation SOLLTEN im Vorgehensmodell zur Software-Entwicklung\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 + ref_id: CON.8.A14 + name: Schulung des Entwicklungsteams zur Informationssicherheit + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14 + ref_id: CON.8.A14.1 + description: "Die Entwickelnden und die \xFCbrigen Mitglieder des Entwicklungsteams\ + \ SOLLTEN zu generellen Informationssicherheitsaspekten und zu den jeweils\ + \ speziell f\xFCr sie relevanten Aspekten geschult sein:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14 + ref_id: CON.8.A14.2 + description: "\u2022 Anforderungsanalyse," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14 + ref_id: CON.8.A14.3 + description: "\u2022 Projektmanagement allgemein sowie speziell bei der Software-Entwicklung," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14 + ref_id: CON.8.A14.4 + description: "\u2022 Risikomanagement bzw. Bedrohungsmodellierung in der Software-Entwicklung," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14 + ref_id: CON.8.A14.5 + description: "\u2022 Qualit\xE4tsmanagement und Qualit\xE4tssicherung," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14 + ref_id: CON.8.A14.6 + description: "\u2022 Modelle und Methoden f\xFCr die Software-Entwicklung," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14 + ref_id: CON.8.A14.7 + description: "\u2022 Software-Architektur," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14 + ref_id: CON.8.A14.8 + description: "\u2022 Software-Tests," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14 + ref_id: CON.8.A14.9 + description: "\u2022 \xC4nderungsmanagement sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a14 + ref_id: CON.8.A14.10 + description: "\u2022 Informationssicherheit, Sicherheitsvorgaben in der Institution\ + \ und Sicherheitsaspekte in speziellen Bereichen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 + ref_id: CON.8.A16 + name: Geeignete Steuerung der Software-Entwicklung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a16 + ref_id: CON.8.A16.1 + description: "Bei einer Software-Entwicklung SOLLTE ein geeignetes Steuerungs-\ + \ bzw. Projektmanagementmodell auf Basis des ausgew\xE4hlten Vorgehensmodells\ + \ verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a16 + ref_id: CON.8.A16.2 + description: Das Steuerungs- bzw. Projektmanagementmodell SOLLTE in die Richtlinie + zur Software Entwicklung integriert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a16 + ref_id: CON.8.A16.3 + description: "Dabei SOLLTEN insbesondere die ben\xF6tigten Qualifikationen beim\ + \ Personal und die Abdeckung aller relevanten Phasen w\xE4hrend des Lebenszyklus\ + \ der Software ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a16.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a16 + ref_id: CON.8.A16.4 + description: "F\xFCr das Vorgehensmodell SOLLTE ein geeignetes Risikomanagement\ + \ festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a16.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a16 + ref_id: CON.8.A16.5 + description: "Au\xDFerdem SOLLTEN geeignete Qualit\xE4tsziele f\xFCr das Entwicklungsprojekt\ + \ definiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 + ref_id: CON.8.A17 + name: "Auswahl vertrauensw\xFCrdiger Entwicklungswerkzeuge" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a17 + ref_id: CON.8.A17.1 + description: Zur Entwicklung der Software SOLLTEN nur Werkzeuge mit nachgewiesenen + Sicherheitseigenschaften verwendet werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a17 + ref_id: CON.8.A17.2 + description: An die herstellenden Unternehmen von Hardware oder Software SOLLTEN + hinreichende Anforderungen zur Sicherheit ihrer Werkzeuge gestellt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 + ref_id: CON.8.A18 + name: "Regelm\xE4\xDFige Sicherheitsaudits f\xFCr die Entwicklungsumgebung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a18 + ref_id: CON.8.A18.1 + description: "Es SOLLTEN regelm\xE4\xDFige Sicherheitsaudits der Software-Entwicklungsumgebung\ + \ und der Software-Testumgebung durchgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 + ref_id: CON.8.A19 + name: "Regelm\xE4\xDFige Integrit\xE4tspr\xFCfung der Entwicklungsumgebung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a19 + ref_id: CON.8.A19.1 + description: "Die Integrit\xE4t der Entwicklungsumgebung SOLLTE regelm\xE4\xDF\ + ig mit kryptographischen Mechanismen entsprechend dem Stand der Technik gepr\xFC\ + ft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a19 + ref_id: CON.8.A19.2 + description: "Die Pr\xFCfsummendateien und das Pr\xFCfprogramm selbst SOLLTEN\ + \ ausreichend vor Manipulationen gesch\xFCtzt sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a19.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a19 + ref_id: CON.8.A19.3 + description: "Wichtige Hinweise auf einen Integrit\xE4tsverlust SOLLTEN nicht\ + \ in einer F\xFClle irrelevanter Warnmeldungen (false positives) untergehen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 + ref_id: CON.8.A20 + name: "\xDCberpr\xFCfung von externen Komponenten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a20 + ref_id: CON.8.A20.1 + description: "Unbekannte externe Komponenten (bzw. Programm-Bibliotheken), deren\ + \ Sicherheit nicht durch etablierte und anerkannte Peer-Reviews oder vergleichbares\ + \ sichergestellt werden kann, M\xDCSSEN auf Schwachstellen \xFCberpr\xFCft\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a20.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a20 + ref_id: CON.8.A20.2 + description: "Alle externen Komponenten M\xDCSSEN auf potentielle Konflikte\ + \ \xFCberpr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a20.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a20 + ref_id: CON.8.A20.3 + description: "Die Integrit\xE4t von externen Komponenten MUSS durch Pr\xFCfsummen\ + \ oder kryptographische Zertifikate \xFCberpr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a20.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a20 + ref_id: CON.8.A20.4 + description: "Dar\xFCber hinaus SOLLTEN keine veralteten Versionen von externen\ + \ Komponenten in aktuellen Entwicklungsprojekten verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 + ref_id: CON.8.A21 + name: Bedrohungsmodellierung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a21 + ref_id: CON.8.A21.1 + description: "In der Entwurfsphase der Software-Entwicklung SOLLTE eine Bedrohungsmodellierung\ + \ durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a21.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a21 + ref_id: CON.8.A21.2 + description: Hierzu SOLLTEN auf Basis des Sicherheitsprofils, des Anforderungskatalogs + und der geplanten Einsatzumgebung bzw. Einsatzszenarios potentielle Bedrohungen + identifiziert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a21.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a21 + ref_id: CON.8.A21.3 + description: Die Bedrohungen SOLLTEN hinsichtlich ihrer Eintrittswahrscheinlichkeit + und Auswirkung bewertet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8 + ref_id: CON.8.A22 + name: Sicherer Software-Entwurf + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a22 + ref_id: CON.8.A22.1 + description: "Der Software-Entwurf SOLLTE den Anforderungskatalog, das Sicherheitsprofil\ + \ und die Ergebnisse der Bedrohungsmodellierung ber\xFCcksichtigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a22.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a22 + ref_id: CON.8.A22.2 + description: Im Rahmen des sicheren Software-Entwurfs SOLLTE eine sichere Software-Architektur + entwickelt werden, auf deren Grundlage der Quellcode der Anwendung zu entwickeln + ist. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a22.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.8.a22 + ref_id: CON.8.A22.3 + description: "Hierbei SOLLTEN m\xF6glichst zuk\xFCnftige Standards und Angriffstechniken\ + \ ber\xFCcksichtigt werden, damit die zu entwickelnde Software auch zuk\xFC\ + nftig leicht gewartet werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con + ref_id: CON.9 + name: Informationsaustausch + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9 + ref_id: CON.9.A1 + name: "Festlegung zul\xE4ssiger Empfangender" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a1 + ref_id: CON.9.A1.1 + description: "Die zentrale Verwaltungsstelle MUSS sicherstellen, dass durch\ + \ die Weitergabe von Informationen nicht gegen rechtliche Rahmenbedingungen\ + \ versto\xDFen wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a1 + ref_id: CON.9.A1.2 + description: Die zentrale Verwaltungsstelle MUSS festlegen, wer welche Informationen + erhalten und weitergeben darf. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a1 + ref_id: CON.9.A1.3 + description: "Es MUSS festgelegt werden, auf welchen Wegen die jeweiligen Informationen\ + \ ausgetauscht werden d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a1 + ref_id: CON.9.A1.4 + description: "Alle Beteiligten M\xDCSSEN vor dem Austausch von Informationen\ + \ sicherstellen, dass die empfangende Stelle die notwendigen Berechtigungen\ + \ f\xFCr den Erhalt und die Weiterverarbeitung der Informationen besitzt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9 + ref_id: CON.9.A2 + name: Regelung des Informationsaustausches + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a2 + ref_id: CON.9.A2.1 + description: "Bevor Informationen ausgetauscht werden, MUSS die Institution\ + \ festlegen, wie schutzbed\xFCrftig die Informationen sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a2 + ref_id: CON.9.A2.2 + description: "Sie MUSS festlegen, wie die Informationen bei der \xDCbertragung\ + \ zu sch\xFCtzen sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a2 + ref_id: CON.9.A2.3 + description: "Falls schutzbed\xFCrftige Daten \xFCbermittelt werden, MUSS die\ + \ Institution die Empfangenden dar\xFCber informieren, wie schutzbed\xFCrftig\ + \ die Informationen sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a2 + ref_id: CON.9.A2.4 + description: "Falls die Informationen schutzbed\xFCrftig sind, MUSS die Institution\ + \ die Empfangenden darauf hingewiesen werden, dass diese die Daten ausschlie\xDF\ + lich zu dem Zweck nutzen d\xFCrfen, zu dem sie \xFCbermittelt wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9 + ref_id: CON.9.A3 + name: Unterweisung des Personals zum Informationsaustausch + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a3 + ref_id: CON.9.A3.1 + description: "Fachverantwortliche M\xDCSSEN die Mitarbeitenden \xFCber die Rahmenbedingungen\ + \ jedes Informationsaustauschs informieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a3 + ref_id: CON.9.A3.2 + description: "Die Fachverantwortlichen M\xDCSSEN sicherstellen, dass die Mitarbeitenden\ + \ wissen, welche Informationen sie wann, wo und wie weitergeben d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9 + ref_id: CON.9.A4 + name: Vereinbarungen zum Informationsaustausch mit Externen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a4 + ref_id: CON.9.A4.1 + description: "Bei einem regelm\xE4\xDFigen Informationsaustausch mit anderen\ + \ Institutionen SOLLTE die Institution die Rahmenbedingungen f\xFCr den Informationsaustausch\ + \ formal vereinbaren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a4 + ref_id: CON.9.A4.2 + description: "Die Vereinbarung f\xFCr den Informationsaustausch SOLLTE Angaben\ + \ zum Schutz aller vertraulichen Informationen enthalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9 + ref_id: CON.9.A5 + name: Beseitigung von Restinformationen vor Weitergabe + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a5 + ref_id: CON.9.A5.1 + description: "Zus\xE4tzlich zu den allgemeinen Schulungsma\xDFnahmen SOLLTE\ + \ die Institution \xFCber die Gefahren von Rest- und Zusatzinformationen in\ + \ Dokumenten und Dateien informieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a5 + ref_id: CON.9.A5.2 + description: "Es SOLLTE vermittelt werden, wie sie Rest- und Zusatzinformationen\ + \ in Dokumenten und Dateien vermeiden werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a5 + ref_id: CON.9.A5.3 + description: "Die Institution SOLLTE Anleitungen bereitstellen, die vorgeben\ + \ wie unerw\xFCnschte Restinformationen vom Austausch auszuschlie\xDFen sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a5 + ref_id: CON.9.A5.4 + description: "Jede Datei und jedes Dokument SOLLTE vor der Weitergabe auf unerw\xFC\ + nschte Restinformationen \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a5.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a5 + ref_id: CON.9.A5.5 + description: "Unerw\xFCnschte Restinformationen SOLLTEN vor der Weitergabe aus\ + \ Dokumenten und Dateien entfernt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9 + ref_id: CON.9.A6 + name: "Kompatibilit\xE4tspr\xFCfung des Sende- und Empfangssystems" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a6 + ref_id: CON.9.A6.1 + description: "Vor einem Informationsaustausch SOLLTE \xFCberpr\xFCfen werden,\ + \ ob die eingesetzten IT-Systeme und Produkte kompatibel sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9 + ref_id: CON.9.A7 + name: "Sicherungskopie der \xFCbermittelten Daten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a7 + ref_id: CON.9.A7.1 + description: "Die Institution SOLLTE eine Sicherungskopie der \xFCbermittelten\ + \ Informationen anfertigen, falls die Informationen nicht aus anderen Quellen\ + \ wiederhergestellt werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9 + ref_id: CON.9.A8 + name: "Verschl\xFCsselung und digitale Signatur" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a8 + ref_id: CON.9.A8.1 + description: "Die Institution SOLLTE pr\xFCfen, ob Informationen w\xE4hrend\ + \ des Austausches kryptografisch gesichert werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a8 + ref_id: CON.9.A8.2 + description: "Falls die Informationen kryptografisch gesichert werden, SOLLTEN\ + \ daf\xFCr ausreichend sichere Verfahren eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9 + ref_id: CON.9.A9 + name: Vertraulichkeitsvereinbarungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a9 + ref_id: CON.9.A9.1 + description: Bevor vertrauliche Informationen an andere Institutionen weitergeben + werden, SOLLTE die zentrale Verwaltung informiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a9 + ref_id: CON.9.A9.2 + description: "Die zentrale Verwaltung SOLLTE eine Vertraulichkeitsvereinbarung\ + \ mit der empfangenden Institution abschlie\xDFen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a9 + ref_id: CON.9.A9.3 + description: "Die Vertraulichkeitsvereinbarung SOLLTE regeln, wie die Informationen\ + \ durch die empfangende Institution aufbewahrt werden d\xFCrfen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.9.a9 + ref_id: CON.9.A9.4 + description: "In der Vertraulichkeitsvereinbarung SOLLTE festgelegt werden,\ + \ wer bei der empfangenden Institution Zugriff auf welche \xFCbermittelten\ + \ Informationen haben darf." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con + ref_id: CON.10 + name: Entwicklung von Webanwendungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 + ref_id: CON.10.A1 + name: Authentisierung bei Webanwendungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a1 + ref_id: CON.10.A1.1 + description: "Die Entwickelnden M\xDCSSEN sicherstellen, dass sich die Benutzenden\ + \ gegen\xFCber der Webanwendung sicher und angemessen authentisieren, bevor\ + \ diese auf gesch\xFCtzte Funktionen oder Inhalte zugreifen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a1 + ref_id: CON.10.A1.2 + description: "Es MUSS eine angemessene Authentisierungsmethode ausgew\xE4hlt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a1 + ref_id: CON.10.A1.3 + description: Der Auswahlprozess MUSS dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a1 + ref_id: CON.10.A1.4 + description: Eine zentrale Authentisierungskomponente MUSS verwendet werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a1 + ref_id: CON.10.A1.5 + description: Die zentrale Authentisierungskomponente SOLLTE mit etablierten + Standardkomponenten (z. B. aus Frameworks oder Programmbibliotheken) umgesetzt + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a1 + ref_id: CON.10.A1.6 + description: "Falls eine Webanwendung Authentisierungsdaten auf einem Client\ + \ speichert, MUSS explizit auf die Risiken der Funktion hingewiesen werden\ + \ und zustimmen (\u201EOpt-In\u201C)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a1.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a1 + ref_id: CON.10.A1.7 + description: "Die Webanwendung MUSS die M\xF6glichkeit bieten, Grenzwerte f\xFC\ + r fehlgeschlagene Anmeldeversuche festzulegen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a1.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a1 + ref_id: CON.10.A1.8 + description: "Die Webanwendung MUSS Benutzende sofort informieren, wenn deren\ + \ Passwort zur\xFCckgesetzt wurde." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 + ref_id: CON.10.A2 + name: Zugriffskontrolle bei Webanwendungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a2 + ref_id: CON.10.A2.1 + description: "Die Entwickelnden M\xDCSSEN mittels einer Autorisierungskomponente\ + \ sicherstellen, dass die Benutzenden ausschlie\xDFlich solche Aktionen durchf\xFC\ + hren k\xF6nnen, zu denen sie berechtigt sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a2 + ref_id: CON.10.A2.2 + description: "Jeder Zugriff auf gesch\xFCtzte Inhalte und Funktionen MUSS kontrolliert\ + \ werden, bevor er ausgef\xFChrt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a2 + ref_id: CON.10.A2.3 + description: "Die Autorisierungskomponente MUSS s\xE4mtliche Ressourcen und\ + \ Inhalte ber\xFCcksichtigen, die von der Webanwendung verwaltet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a2 + ref_id: CON.10.A2.4 + description: "Ist die Zugriffskontrolle fehlerhaft, M\xDCSSEN Zugriffe abgelehnt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a2 + ref_id: CON.10.A2.5 + description: Es MUSS eine Zugriffskontrolle bei URL-Aufrufen und Objekt-Referenzen + geben. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 + ref_id: CON.10.A3 + name: Sicheres Session-Management + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3 + ref_id: CON.10.A3.1 + description: "Session-IDs M\xDCSSEN geeignet gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3 + ref_id: CON.10.A3.2 + description: "Session-IDs M\xDCSSEN zuf\xE4llig und mit ausreichender Entropie\ + \ erzeugt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3 + ref_id: CON.10.A3.3 + description: Falls das Framework der Webanwendung sichere Session-IDs generieren + kann, MUSS diese Funktion des Frameworks verwendet werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3 + ref_id: CON.10.A3.4 + description: "Sicherheitsrelevante Konfigurationsm\xF6glichkeiten des Frameworks\ + \ M\xDCSSEN ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3 + ref_id: CON.10.A3.5 + description: "Wenn Session-IDs \xFCbertragen und von den Clients gespeichert\ + \ werden, M\xDCSSEN sie ausreichend gesch\xFCtzt \xFCbertragen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3 + ref_id: CON.10.A3.6 + description: "Eine Webanwendung MUSS die M\xF6glichkeit bieten, eine bestehende\ + \ Sitzung explizit zu beenden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3 + ref_id: CON.10.A3.7 + description: Nachdem ein Konto angemeldet wurde, MUSS eine bereits bestehende + Session-ID durch eine neue ersetzt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3 + ref_id: CON.10.A3.8 + description: "Sitzungen M\xDCSSEN eine maximale G\xFCltigkeitsdauer besitzen\ + \ (Timeout)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3 + ref_id: CON.10.A3.9 + description: "Inaktive Sitzungen M\xDCSSEN automatisch nach einer bestimmten\ + \ Zeit ung\xFCltig werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a3 + ref_id: CON.10.A3.10 + description: "Nachdem die Sitzung ung\xFCltig ist, M\xDCSSEN alle Sitzungsdaten\ + \ ung\xFCltig und gel\xF6scht sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 + ref_id: CON.10.A4 + name: Kontrolliertes Einbinden von Inhalten bei Webanwendungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a4 + ref_id: CON.10.A4.1 + description: "Es MUSS sichergestellt werden, dass eine Webanwendung ausschlie\xDF\ + lich vorgesehene Daten und Inhalte einbindet ausliefert." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a4 + ref_id: CON.10.A4.2 + description: "Die Ziele der Weiterleitungsfunktion einer Webanwendung M\xDC\ + SSEN ausreichend eingeschr\xE4nkt werden, sodass ausschlie\xDFlich auf vertrauensw\xFC\ + rdige Webseiten weitergeleitet wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a4 + ref_id: CON.10.A4.3 + description: "Falls die Vertrauensdom\xE4ne verlassen wird, MUSS ihn die Webanwendung\ + \ dar\xFCber informieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 + ref_id: CON.10.A5 + name: Upload-Funktionen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a5 + ref_id: CON.10.A5.1 + description: "Die Entwickelnden M\xDCSSEN sicherstellen, dass die Benutzenden\ + \ Dateien nur im vorgegebenen Pfad speichern k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a5 + ref_id: CON.10.A5.2 + description: "Die Entwickelnden M\xDCSSEN sicherstellen, dass die Benutzenden\ + \ den Ablageort der Uploads nicht beeinflussen kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a5 + ref_id: CON.10.A5.3 + description: "Die Entwickelnden M\xDCSSEN Funktionen in die Webanwendung integrieren,\ + \ mit denen die Uploads w\xE4hrend des Betriebs der Webanwendung konfiguriert\ + \ werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 + ref_id: CON.10.A6 + name: Schutz vor unerlaubter automatisierter Nutzung von Webanwendungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a6 + ref_id: CON.10.A6.1 + description: "Die Entwickelnden M\xDCSSEN Sicherheitsmechanismen implementieren,\ + \ die die Webanwendung vor automatisierten Zugriffen sch\xFCtzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a6 + ref_id: CON.10.A6.2 + description: "Bei der Implementierung der Sicherheitsmechanismen MUSS ber\xFC\ + cksichtigt werden, wie sich diese auf die Nutzungsm\xF6glichkeiten der berechtigten\ + \ Konten auswirken." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 + ref_id: CON.10.A7 + name: Schutz vertraulicher Daten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a7 + ref_id: CON.10.A7.1 + description: "Die Entwickelnden M\xDCSSEN sicherstellen, dass vertrauliche Daten\ + \ von den Clients zu den Servern nur mit der HTTP-Post-Methode \xFCbertragen\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a7 + ref_id: CON.10.A7.2 + description: "Entwickelnde M\xDCSSEN durch Direktiven in der Webanwendung gew\xE4\ + hrleisten, dass clientseitig keine sch\xFCtzenswerten Daten zwischengespeichert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a7 + ref_id: CON.10.A7.3 + description: "Entwickelnde M\xDCSSEN sicherstellen, dass in Formularen keine\ + \ vertraulichen Formulardaten im Klartext angezeigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a7 + ref_id: CON.10.A7.4 + description: Die Webanwendung SOLLTE verhindern, dass vertrauliche Daten vom + Webbrowser unerwartet gespeichert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a7 + ref_id: CON.10.A7.5 + description: "S\xE4mtliche Zugangsdaten der Webanwendung M\xDCSSEN serverseitig\ + \ mithilfe von sicheren kryptografischen Algorithmen vor unbefugtem Zugriff\ + \ gesch\xFCtzt werden (Salted Hash)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a7.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a7 + ref_id: CON.10.A7.6 + description: "Die Dateien mit den Quelltexten der Webanwendung M\xDCSSEN vor\ + \ unerlaubten Abrufen gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 + ref_id: CON.10.A8 + name: Umfassende Eingabevalidierung und Ausgabekodierung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a8 + ref_id: CON.10.A8.1 + description: "Die Entwickelnden M\xDCSSEN s\xE4mtliche an eine Webanwendung\ + \ \xFCbergebenen Daten als potenziell gef\xE4hrlich behandeln und geeignet\ + \ filtern." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a8 + ref_id: CON.10.A8.2 + description: "S\xE4mtliche Eingabedaten sowie Datenstr\xF6me und Sekund\xE4\ + rdaten, wie z. B. Session-IDs, M\xDCSSEN serverseitig validiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a8 + ref_id: CON.10.A8.3 + description: "Fehleingaben SOLLTEN m\xF6glichst nicht automatisch behandelt\ + \ werden (Sanitizing)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a8 + ref_id: CON.10.A8.4 + description: "L\xE4sst es sich jedoch nicht vermeiden, MUSS Sanitizing sicher\ + \ umgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a8.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a8 + ref_id: CON.10.A8.5 + description: "Ausgabedaten M\xDCSSEN so kodiert werden, dass schadhafter Code\ + \ auf dem Zielsystem nicht interpretiert oder ausgef\xFChrt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 + ref_id: CON.10.A9 + name: Schutz vor SQL-Injection + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a9 + ref_id: CON.10.A9.1 + description: "Falls Daten an ein Datenbankmanagementsystem (DBMS) weitergeleitet\ + \ werden, M\xDCSSEN Stored Procedures bzw. Prepared SQL Statements eingesetzt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a9 + ref_id: CON.10.A9.2 + description: "Falls Daten an ein DBMS weitergeleitet werden und weder Stored\ + \ Procedures noch Prepared SQL Statements von der Einsatzumgebung unterst\xFC\ + tzt werden, M\xDCSSEN die SQL-Queries separat abgesichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 + ref_id: CON.10.A10 + name: Restriktive Herausgabe sicherheitsrelevanter Informationen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a10 + ref_id: CON.10.A10.1 + description: "Die Entwickelnden M\xDCSSEN sicherstellen, dass Webseiten, R\xFC\ + ckantworten und Fehlermeldungen von Webanwendungen keine Informationen enthalten,\ + \ die Angreifenden Hinweise darauf geben, wie er Sicherheitsmechanismen umgehen\ + \ kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 + ref_id: CON.10.A11 + name: Softwarearchitektur einer Webanwendung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a11 + ref_id: CON.10.A11.1 + description: "Die Entwickelnden SOLLTEN die Softwarearchitektur der Webanwendung\ + \ mit allen Bestandteilen und Abh\xE4ngigkeiten dokumentieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a11 + ref_id: CON.10.A11.2 + description: "Die Dokumentation SOLLTE bereits w\xE4hrend des Entwicklungsverlaufs\ + \ aktualisiert und angepasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a11 + ref_id: CON.10.A11.3 + description: Die Dokumentation SOLLTE so gestaltet sein, dass sie schon in der + Entwicklungsphase benutzt werden kann und Entscheidungen nachvollziehbar sind. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a11.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a11 + ref_id: CON.10.A11.4 + description: "In der Dokumentation SOLLTEN alle f\xFCr den Betrieb notwendigen\ + \ Komponenten gekennzeichnet werden, die nicht Bestandteil der Webanwendung\ + \ sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a11.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a11 + ref_id: CON.10.A11.5 + description: In der Dokumentation SOLLTE beschrieben sein, welche Komponenten + welche Sicherheitsmechanismen umsetzen, wie die Webanwendung in eine bestehende + Infrastruktur integriert wird und welche kryptografischen Funktionen und Verfahren + eingesetzt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 + ref_id: CON.10.A12 + name: "Verifikation essenzieller \xC4nderungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a12 + ref_id: CON.10.A12.1 + description: "Falls wichtige Einstellungen mit der Anwendung ge\xE4ndert werden\ + \ sollen, dann SOLLTEN die Entwickelnden sicherstellen, dass die \xC4nderungen\ + \ durch die Eingabe eines Passworts erneut verifiziert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a12 + ref_id: CON.10.A12.2 + description: "Falls dies nicht m\xF6glich ist, dann SOLLTE die Webanwendung\ + \ auf andere geeignete Weise sicherstellen, dass sich die Benutzenden authentisieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a12 + ref_id: CON.10.A12.3 + description: "Die Benutzenden SOLLTEN \xFCber \xC4nderungen mithilfe von Kommunikationswegen\ + \ au\xDFerhalb der Webanwendung informiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 + ref_id: CON.10.A13 + name: Fehlerbehandlung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a13 + ref_id: CON.10.A13.1 + description: "Treten w\xE4hrend der Laufzeit einer Webanwendung Fehler auf,\ + \ SOLLTEN diese so behandelt werden, dass die Webanwendung weiter in einem\ + \ konsistenten Zustand bleibt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a13 + ref_id: CON.10.A13.2 + description: Die Webanwendung SOLLTE Fehlermeldungen protokollieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a13 + ref_id: CON.10.A13.3 + description: Falls eine veranlasste Aktion einen Fehler verursacht, SOLLTE die + Webanwendung diese Aktion abbrechen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a13.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a13 + ref_id: CON.10.A13.4 + description: Die Webanwendung SOLLTE im Fehlerfall den Zugriff auf eine angeforderte + Ressource oder Funktion verweigern. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a13.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a13 + ref_id: CON.10.A13.5 + description: Zuvor reservierte Ressourcen SOLLTEN im Rahmen der Fehlerbehandlung + wieder freigegeben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a13.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a13 + ref_id: CON.10.A13.6 + description: "Der Fehler SOLLTE m\xF6glichst von der Webanwendung selbst behandelt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 + ref_id: CON.10.A14 + name: Sichere HTTP-Konfiguration bei Webanwendungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a14 + ref_id: CON.10.A14.1 + description: Zum Schutz vor Clickjacking, Cross-Site-Scripting und anderen Angriffen + SOLLTEN geeignete HTTP-Response-Header gesetzt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a14 + ref_id: CON.10.A14.2 + description: 'Es SOLLTEN mindestens die folgenden HTTP-Header verwendet werden: + Content-Security-Policy, Strict-Transport-Security, Content-Type, X-Content-Type-Options + sowie Cache-Control.' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a14 + ref_id: CON.10.A14.3 + description: Die verwendeten HTTP-Header SOLLTEN auf die Webanwendung abgestimmt + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a14.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a14 + ref_id: CON.10.A14.4 + description: "Die verwendeten HTTP-Header SOLLTEN so restriktiv wie m\xF6glich\ + \ sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a14.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a14 + ref_id: CON.10.A14.5 + description: "Cookies SOLLTEN grunds\xE4tzlich mit den Attributen secure, SameSite\ + \ und httponly gesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 + ref_id: CON.10.A15 + name: Verhinderung von Cross-Site-Request-Forgery + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a15 + ref_id: CON.10.A15.1 + description: "Die Entwickelnden SOLLTEN die Webanwendung mit solchen Sicherheitsmechanismen\ + \ ausstatten, die eine Unterscheidung zwischen beabsichtigten Seitenaufrufen\ + \ und unbeabsichtigt weitergeleiteten Befehlen Dritter erm\xF6glichen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a15 + ref_id: CON.10.A15.2 + description: "Dabei SOLLTE mindestens gepr\xFCft werden, ob neben der Session-ID\ + \ ein geheimes Token f\xFCr den Zugriff auf gesch\xFCtzte Ressourcen und Funktionen\ + \ ben\xF6tigt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 + ref_id: CON.10.A16 + name: Mehr-Faktor-Authentisierung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a16 + ref_id: CON.10.A16.1 + description: Es SOLLTE eine Mehr-Faktor-Authentisierung implementiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 + ref_id: CON.10.A17 + name: Verhinderung der Blockade von Ressourcen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a17 + ref_id: CON.10.A17.1 + description: Zum Schutz vor Denial-of-Service (DoS)-Angriffen SOLLTEN ressourcenintensive + Operationen vermieden werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a17 + ref_id: CON.10.A17.2 + description: Falls ressourcenintensive Operationen notwendig sind, dann SOLLTEN + diese besonders abgesichert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a17 + ref_id: CON.10.A17.3 + description: "Bei Webanwendungen SOLLTE ein m\xF6glicher \xDCberlauf von Protokollierungsdaten\ + \ \xFCberwacht und verhindert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10 + ref_id: CON.10.A18 + name: Kryptografische Absicherung vertraulicher Daten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.10.a18 + ref_id: CON.10.A18.1 + description: Vertrauliche Daten einer Webanwendung SOLLTEN durch sichere, kryptografische + Algorithmen abgesichert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con + ref_id: CON.11.1 + name: "Geheimschutz VS-NUR F\xDCR DEN DIENSTGEBRAUCH (VS-NfD) " + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 + ref_id: CON.11.1.A1 + name: "Einhaltung der Grunds\xE4tze zur VS-Verarbeitung mit IT nach \xA7 3,\ + \ 4 und 6 und Nr. 1 Anlage V zur VSA" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1 + ref_id: CON.11.1.A1.1 + description: "VS des Geheimhaltungsgrades VS-NfD D\xDCRFEN NUR mit VS-IT verarbeitet,\ + \ die hierf\xFCr freigegeben ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1 + ref_id: CON.11.1.A1.2 + description: "Private IT DARF NICHT f\xFCr die Verarbeitung von Verschlusssachen\ + \ eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1 + ref_id: CON.11.1.A1.3 + description: "Bei der Verarbeitung von VS mit VS-IT MUSS der Grundsatz \"Kenntnis\ + \ nur, wenn n\xF6tig\" eingehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1 + ref_id: CON.11.1.A1.4 + description: "Es D\xDCRFEN NUR Personen Kenntnis von einer VS erhalten, die\ + \ auf Grund ihrer Aufgabenerf\xFCllung von ihr Kenntnis erhalten m\xFCssen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1 + ref_id: CON.11.1.A1.5 + description: "Personen D\xDCRFEN NICHT umfassender oder eher \xFCber eine VS\ + \ unterrichtet werden, als dies aus Gr\xFCnden der Aufgabenerf\xFCllung notwendig\ + \ ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1 + ref_id: CON.11.1.A1.6 + description: "Die Einhaltung des Grundsatzes \u201EKenntnis nur, wenn n\xF6\ + tig\u201C SOLLTE, insbesondere falls die VS-IT durch mehrere Benutzende verwendet\ + \ wird, prim\xE4r \xFCber technische Ma\xDFnahmen sichergestellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1 + ref_id: CON.11.1.A1.7 + description: "Nach dem Grundsatz der mehrschichtigen Sicherheit M\xDCSSEN personelle,\ + \ organisatorische, materielle und technische Ma\xDFnahmen getroffen werden,\ + \ die in ihrem Zusammenwirken" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1 + ref_id: CON.11.1.A1.8 + description: "\u2022 Risiken eines Angriffs reduzieren (Pr\xE4vention)," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1 + ref_id: CON.11.1.A1.9 + description: "\u2022 Angriffe erkennbar machen (Detektion) und" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1 + ref_id: CON.11.1.A1.10 + description: "\u2022 im Falle eines erfolgreichen Angriffs die negativen Folgen\ + \ begrenzen (Reaktion)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1 + ref_id: CON.11.1.A1.11 + description: "Bei der Erf\xFCllung der Anforderungen des vorliegenden Bausteins\ + \ M\xDCSSEN die relevanten Technischen Leitlinien des BSI (BSI TL) beachtet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a1 + ref_id: CON.11.1.A1.12 + description: "Falls von den BSI TL abgewichen werden soll, dann DARF dies NUR\ + \ in Ausnahmef\xE4llen und im Einvernehmen mit dem BSI erfolgen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 + ref_id: CON.11.1.A2 + name: "Erstellung und Fortschreibung der VS-IT-Dokumentation nach \xA7 12 und\ + \ Nr. 2.2 Anlage II zur VSA" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a2 + ref_id: CON.11.1.A2.1 + description: Jede Dienststelle, die VS-IT einsetzt, MUSS als Teil der Geheimschutzdokumentation + eine VS-IT-Dokumentation erstellen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a2 + ref_id: CON.11.1.A2.2 + description: "Die VS-IT-Dokumentation MUSS alle Dokumente beinhalten, welche\ + \ in Nr. 2.2 Anlage II zur VSA aufgef\xFChrt sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a2 + ref_id: CON.11.1.A2.3 + description: "Die VS-IT-Dokumentation MUSS bei allen geheimschutzrelevanten\ + \ \xC4nderungen aktualisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a2 + ref_id: CON.11.1.A2.4 + description: "Sie MUSS zudem mindestens alle drei Jahre auf Aktualit\xE4t, Vollst\xE4\ + ndigkeit und Erforderlichkeit bestehender und noch zu treffender Geheimschutzma\xDF\ + nahmen \xFCberpr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 + ref_id: CON.11.1.A3 + name: "Einsatz von IT-Sicherheitsprodukten nach \xA7\xA7 51, 52 VSA" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 + ref_id: CON.11.1.A3.1 + description: "Auf Basis der im VS-Produktkatalog f\xFCr einzelne Produkttypen\ + \ vom BSI festgelegten Zulassungsrelevanz und insbesondere basierend auf den\ + \ Ergebnissen der Strukturanalyse M\xDCSSEN alle f\xFCr die geplante VS-IT\ + \ relevanten IT-Sicherheitsfunktionen identifiziert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 + ref_id: CON.11.1.A3.2 + description: "Diese lassen sich den folgenden Kategorien gem\xE4\xDF \xA7 52\ + \ VSA zuordnen:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 + ref_id: CON.11.1.A3.3 + description: "\u2022 Zugangs- und Zugriffskontrolle," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 + ref_id: CON.11.1.A3.4 + description: "\u2022 Identifikation und Authentisierung," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 + ref_id: CON.11.1.A3.5 + description: "\u2022 kryptographische Unterst\xFCtzung," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 + ref_id: CON.11.1.A3.6 + description: "\u2022 Sicherheitsmanagement," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 + ref_id: CON.11.1.A3.7 + description: "\u2022 Informationsflusskontrolle," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 + ref_id: CON.11.1.A3.8 + description: "\u2022 interner Schutz der Benutzerdaten," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 + ref_id: CON.11.1.A3.9 + description: "\u2022 Selbstschutz der Sicherheitsfunktionen und ihrer Daten," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 + ref_id: CON.11.1.A3.10 + description: "\u2022 Netztrennung," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 + ref_id: CON.11.1.A3.11 + description: "\u2022 Schutz der Unversehrtheit," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 + ref_id: CON.11.1.A3.12 + description: "\u2022 Verf\xFCgbarkeits\xFCberwachung oder" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.13 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 + ref_id: CON.11.1.A3.13 + description: "\u2022 Sicherheitsprotokollierung und Nachweisf\xFChrung." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.14 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 + ref_id: CON.11.1.A3.14 + description: "Anschlie\xDFend M\xDCSSEN die identifizierten IT-Sicherheitsfunktionen\ + \ den jeweiligen Teilkomponenten der VS-IT unter Ber\xFCcksichtigung des VS-Produktkataloges\ + \ des BSI zugeordnet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.15 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 + ref_id: CON.11.1.A3.15 + description: "Jede identifizierte und f\xFCr den Schutz von VS wesentlich verantwortliche\ + \ Teilkomponente MUSS als IT-Sicherheitsprodukt gem\xE4\xDF VSA festgelegt\ + \ und behandelt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.16 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 + ref_id: CON.11.1.A3.16 + description: "Sofern das identifizierte IT-Sicherheitsprodukt einem Produkttyp\ + \ angeh\xF6rt f\xFCr das eine Zulassungsaussage gem\xE4\xDF BSI TL - IT 01\ + \ erforderlich ist, MUSS ein entsprechendes Produkt gem\xE4\xDF BSI Schrift\ + \ 7164 (Liste der zugelassenen Produkte) verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.17 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 + ref_id: CON.11.1.A3.17 + description: Sofern dort keine IT-Sicherheitsprodukte gelistet sind, MUSS Kontakt + mit der Zulassungsstelle des BSI aufgenommen werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3.18 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a3 + ref_id: CON.11.1.A3.18 + description: "Bei der Verwendung von IT-Sicherheitsprodukten mit Zulassungsaussage\ + \ M\xDCSSEN zus\xE4tzlich die Bestimmungen des BSI f\xFCr den Einsatz und\ + \ Betrieb (SecOPs) des jeweiligen Produktes eingehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 + ref_id: CON.11.1.A4 + name: "Beschaffung von VS-IT nach \xA7 49 VSA" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4 + ref_id: CON.11.1.A4.1 + description: "Bevor VS-IT beschafft wird, MUSS sichergestellt werden, dass deren\ + \ Sicherheit w\xE4hrend des gesamten Lebenszyklus ab dem Zeitpunkt, zu dem\ + \ fest steht, dass die IT zur VS-Verarbeitung eingesetzt werden soll, bis\ + \ zur Aussonderung kontinuierlich gew\xE4hrleistet wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4 + ref_id: CON.11.1.A4.2 + description: "Um einen durchgehenden Geheimschutz sicherzustellen, M\xDCSSEN\ + \ die Vergabeunterlagen so formuliert werden, dass die Anforderungen der VSA\ + \ vollst\xE4ndig erf\xFCllt werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4 + ref_id: CON.11.1.A4.3 + description: "Bei Beschaffungsauftr\xE4gen f\xFCr VS-IT M\xDCSSEN die notwendigen\ + \ IT-Sicherheitsfunktionen der jeweiligen IT-Produkte vorab festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4 + ref_id: CON.11.1.A4.4 + description: "Bei der Formulierung der Vergabeunterlagen M\xDCSSEN insbesondere\ + \ die" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4 + ref_id: CON.11.1.A4.5 + description: "\u2022 Aufbewahrung," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4 + ref_id: CON.11.1.A4.6 + description: "\u2022 Archivierung und" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4 + ref_id: CON.11.1.A4.7 + description: "\u2022 L\xF6schung von elektronischer VS sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4 + ref_id: CON.11.1.A4.8 + description: "\u2022 Aussonderung," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4 + ref_id: CON.11.1.A4.9 + description: "\u2022 Wartung und Instandsetzung von VS-IT ber\xFCcksichtigt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4 + ref_id: CON.11.1.A4.10 + description: Sofern einem zu beschaffenden IT-Produkt eine IT-Sicherheitsfunktion + zugeordnet ist, SOLLTE ein IT-Produkt aus der Liste der zugelassenen IT-Sicherheitsprodukte + beschafft werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4 + ref_id: CON.11.1.A4.11 + description: "Wird stattdessen ein Produkt ohne Zulassungsaussage ausgew\xE4\ + hlt, dann SOLLTE im Vorhinein mit dem BSI abgekl\xE4rt werden, ob es zugelassen\ + \ werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4 + ref_id: CON.11.1.A4.12 + description: "Zus\xE4tzlich SOLLTE in der Ausschreibung aufgenommen werden,\ + \ dass der Hersteller an einem Zulassungsverfahren mitwirken muss (siehe BSI\ + \ TL - IT 01)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4.13 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a4 + ref_id: CON.11.1.A4.13 + description: "Vertr\xE4ge M\xDCSSEN derart gestaltet werden, dass bei einer\ + \ R\xFCckgabe von defekten oder geleasten IT-Produkten deren Datentr\xE4ger\ + \ oder sonstige Komponenten, auf denen VS gespeichert sein k\xF6nnten, im\ + \ Besitz der Dienststelle verbleiben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 + ref_id: CON.11.1.A5 + name: "Verpflichtung bei Zugang zu VS nach \xA7 4 VSA und Anlage V zur VSA" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a5 + ref_id: CON.11.1.A5.1 + description: "Bevor eine Person Zugang zu VS des Geheimhaltungsgrades VS-NfD\ + \ erh\xE4lt, MUSS sie auf Anlage V verpflichtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a5 + ref_id: CON.11.1.A5.2 + description: "Ein Exemplar der Anlage V zur VSA MUSS jeder Person gegen Empfangsbest\xE4\ + tigung zug\xE4nglich gemacht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a5 + ref_id: CON.11.1.A5.3 + description: "Wird Personal von nicht\xF6ffentlichen Stellen Zugang zu VS gew\xE4\ + hrt, so MUSS Nr. 6.6 Anlage V zur VSA beachtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a5 + ref_id: CON.11.1.A5.4 + description: "Von der Verpflichtung einer Person DARF NUR abgesehen werden,\ + \ falls an VS-IT nur kurzzeitig gearbeitet und w\xE4hrenddessen ein Zugriff\ + \ auf VS ausgeschlossen werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 + ref_id: CON.11.1.A6 + name: "Beaufsichtigung und Begleitung von Fremdpersonal f\xFCr VS-IT nach \xA7\ + \xA7 3, 4 VSA" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a6 + ref_id: CON.11.1.A6.1 + description: "Nicht verpflichtetes Fremdpersonal, das an VS-IT arbeitet, MUSS\ + \ w\xE4hrend der gesamten Zeit begleitet und beaufsichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a6 + ref_id: CON.11.1.A6.2 + description: "Die begleitenden Personen M\xDCSSEN \xFCber die notwendigen Fachkenntnisse\ + \ verf\xFCgen, um die T\xE4tigkeiten kontrollieren zu k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 + ref_id: CON.11.1.A7 + name: "Kennzeichnung von elektronischen VS und Datentr\xE4gern nach \xA7\xA7\ + \ 20, 54 und Anlage III, V und VIII zur VSA" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7 + ref_id: CON.11.1.A7.1 + description: "Elektronische VS M\xDCSSEN nach den Vorgaben der VSA gekennzeichnet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7 + ref_id: CON.11.1.A7.2 + description: "Die Kennzeichnung MUSS bei der Verarbeitung von VS mit VS-IT w\xE4\ + hrend der gesamten Dauer ihrer Einstufung jederzeit erkennbar sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7 + ref_id: CON.11.1.A7.3 + description: Die Kennzeichnung MUSS auch bei kopierten, elektronisch versendeten + oder ausgedruckten VS erhalten bleiben. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7 + ref_id: CON.11.1.A7.4 + description: "Falls die Beschaffenheit elektronischer VS eine Kennzeichnung\ + \ nach VSA nicht zul\xE4sst, dann M\xDCSSEN VS sinngem\xE4\xDF gekennzeichnet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7 + ref_id: CON.11.1.A7.5 + description: "Der Dateiname einer elektronischen VS SOLLTE eine Kennzeichnung\ + \ enthalten, die den VS-Charakter des Inhalts erkennen l\xE4sst, ohne die\ + \ VS \xF6ffnen zu m\xFCssen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7 + ref_id: CON.11.1.A7.6 + description: "E-Mails M\xDCSSEN entsprechend des Musters 11 der Anlage VIII\ + \ zur VSA gekennzeichnet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7 + ref_id: CON.11.1.A7.7 + description: "Falls eine elektronische Kennzeichnung von VS (im Sinne von Metadaten)\ + \ verwendet werden soll, dann MUSS gepr\xFCft werden, ob diese IT-Sicherheitsfunktionen\ + \ \xFCbernimmt (siehe CON.11.1.A3 Einsatz von IT-Sicherheitsprodukten nach\ + \ \xA7\xA7 51, 52 VSA)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7 + ref_id: CON.11.1.A7.8 + description: "Datentr\xE4ger, auf denen elektronische VS des Geheimhaltungsgrades\ + \ VS-NfD durch Produkte ohne Zulassungsaussage verschl\xFCsselt gespeichert\ + \ sind, M\xDCSSEN mit dem Geheimhaltungsgrad der darauf gespeicherten VS gekennzeichnet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a7 + ref_id: CON.11.1.A7.9 + description: "Falls sich durch die Zusammenstellung der VS auf dem Datentr\xE4\ + ger ein Datenbestand ergibt, welcher eine h\xF6here Einstufung erforderlich\ + \ macht, dann MUSS der Datentr\xE4ger selbst als VS des Geheimhaltungsgrades\ + \ VS-VERTRAULICH behandelt und gekennzeichnet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 + ref_id: CON.11.1.A8 + name: "Verwaltung und Nachweis von elektronischen VS nach \xA7 21 VSA" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a8 + ref_id: CON.11.1.A8.1 + description: "F\xFCr die Verwaltung von elektronischen VS M\xDCSSEN die Grunds\xE4\ + tze ordnungsgem\xE4\xDFer Aktenf\xFChrung (gem\xE4\xDF Registraturrichtlinie\ + \ f\xFCr das Bearbeiten und Verwalten von Schriftgut in Bundesministerien)\ + \ und die Vorgaben der VSA zur Verwaltung und Nachweisf\xFChrung von VS eingehalten\ + \ werden (keine Nachweisf\xFChrung f\xFCr VS des Geheimhaltungsgrades VS-NfD\ + \ erforderlich)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a8 + ref_id: CON.11.1.A8.2 + description: "Elektronische VS, die als VS-NfD eingestuft sind, D\xDCRFEN NUR\ + \ unter Einhaltung des Grundsatzes \u201EKenntnis nur, wenn n\xF6tig\u201C\ + \ in offenen (elektronischen) Registraturen verwaltet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 + ref_id: CON.11.1.A9 + name: "Speicherung elektronischer VS nach \xA7 23 und Nr. 5 Anlage V zur VSA" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a9 + ref_id: CON.11.1.A9.1 + description: "Elektronische VS M\xDCSSEN mit einem IT-Sicherheitsprodukt mit\ + \ Zulassungsaussage verschl\xFCsselt gespeichert oder entsprechend den Vorgaben\ + \ der VSA materiell gesichert werden (siehe CON.11.1.A15 Handhabung von Datentr\xE4\ + gern und IT-Produkten nach \xA7 54 und Anlage V zur VSA)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 + ref_id: CON.11.1.A10 + name: "Elektronische \xDCbertragung von VS nach \xA7\xA7 24, 53, 55 und Nr.\ + \ 6.2 Anlage V zur VSA" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10 + ref_id: CON.11.1.A10.1 + description: "Falls VS elektronisch \xFCbertragen werden sollen, M\xDCSSEN die\ + \ Regelungen der VSA zur Weitergabe von VS (\xA7 24 VSA) eingehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10 + ref_id: CON.11.1.A10.2 + description: "F\xFCr die Weitergabe an Parlamente, Landesbeh\xF6rden und nicht\ + \ \xF6ffentliche Stellen M\xDCSSEN zus\xE4tzlich die besonderen Regelungen\ + \ nach \xA7\xA7 25 und 26 VSA beachtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10 + ref_id: CON.11.1.A10.3 + description: "Die VS-IT aller Kommunikationspartner MUSS f\xFCr die Verarbeitung\ + \ von VS des Geheimhaltungsgrads VS-NfD freigegeben sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10 + ref_id: CON.11.1.A10.4 + description: "Werden VS elektronisch \xFCbertragen, M\xDCSSEN sie grunds\xE4\ + tzlich durch ein IT-Sicherheitsprodukt mit Zulassungsaussage verschl\xFCsselt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10 + ref_id: CON.11.1.A10.5 + description: "Auf eine Verschl\xFCsselung DARF NUR verzichtet werden, falls:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10 + ref_id: CON.11.1.A10.6 + description: "\u2022 VS ausschlie\xDFlich leitungsgebunden \xFCbertragen werden\ + \ und die \xDCbertragungseinrichtungen, einschlie\xDFlich Kabel und Verteiler,\ + \ gegen unbefugten Zugriff gesch\xFCtzt sind, oder" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10 + ref_id: CON.11.1.A10.7 + description: "\u2022 neben den Hausnetzen zus\xE4tzlich das Transportnetz f\xFC\ + r die Verarbeitung von VS freigegeben ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10 + ref_id: CON.11.1.A10.8 + description: "Es DARF NUR innerhalb von R\xE4umen und Bereichen, die gegen unkontrollierten\ + \ Zutritt gesch\xFCtzt sind, von einem Zugriffsschutz ausgegangen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10 + ref_id: CON.11.1.A10.9 + description: "VS D\xDCRFEN NUR in Ausnahmef\xE4llen nach \xA7 55 Abs." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10 + ref_id: CON.11.1.A10.10 + description: "2-4 VSA unter Einhaltung der dort genannten Anforderungen und\ + \ Vorsichtsma\xDFnahmen auf anderem Wege elektronisch \xFCbertragen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a10 + ref_id: CON.11.1.A10.11 + description: "Falls im Vorhinein zu erwarten ist, dass VS elektronisch \xFC\ + bertragen werden k\xF6nnten, DARF die Ausnahmeregelung nach \xA7 55 VSA NICHT\ + \ angewendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 + ref_id: CON.11.1.A11 + name: "Mitnahme elektronischer VS nach \xA7 28 VSA und Nr. 7 Anlage V zur VSA" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a11 + ref_id: CON.11.1.A11.1 + description: "Elektronische VS D\xDCRFEN NUR auf Dienstreisen und zu Dienstbesprechungen\ + \ mitgenommen werden, soweit dies dienstlich notwendig ist und sie angemessen\ + \ gegen unbefugte Kenntnisnahme gesichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a11 + ref_id: CON.11.1.A11.2 + description: "Werden diese pers\xF6nlich mitgenommen, M\xDCSSEN diese folgenderma\xDF\ + en gespeichert werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a11 + ref_id: CON.11.1.A11.3 + description: "\u2022 auf hierf\xFCr freigegebener VS-IT," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a11.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a11 + ref_id: CON.11.1.A11.4 + description: "\u2022 auf einem Datentr\xE4ger, der in einem verschlossenen Umschlag\ + \ transportiert wird," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a11.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a11 + ref_id: CON.11.1.A11.5 + description: "\u2022 auf einem Datentr\xE4ger, der mit einem IT-Sicherheitsprodukt\ + \ mit Zulassungsaussage verschl\xFCsselt wurde, oder" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a11.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a11 + ref_id: CON.11.1.A11.6 + description: "\u2022 durch ein IT-Sicherheitsprodukt mit Zulassungsaussage verschl\xFC\ + sselt, falls der Datentr\xE4ger selbst nicht durch ein IT-Sicherheitsprodukt\ + \ mit Zulassungsaussage verschl\xFCsselt wurde." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a11.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a11 + ref_id: CON.11.1.A11.7 + description: "Falls VS des Geheimhaltungsgrades VS-NfD in Privatwohnungen verarbeitet\ + \ werden sollen, dann D\xDCRFEN diese NUR elektronisch mit hierf\xFCr freigegebener\ + \ VS-IT verarbeitet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 + ref_id: CON.11.1.A12 + name: "Archivierung elektronischer VS nach \xA7\xA7 30, 31 VSA" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a12 + ref_id: CON.11.1.A12.1 + description: "VS M\xDCSSEN entsprechend dem Bundesarchivgesetz wie nicht eingestufte\ + \ Informationen ausgesondert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a12 + ref_id: CON.11.1.A12.2 + description: "Schon bei Einf\xFChrung von Systemen zur elektronischen Schriftgutverwaltung\ + \ und Vorgangsbearbeitung M\xDCSSEN die technischen Verfahren zur Aussonderung\ + \ fr\xFChzeitig mit dem zust\xE4ndigen Archiv abgesprochen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a12 + ref_id: CON.11.1.A12.3 + description: "Falls das zust\xE4ndige Archiv VS nicht \xFCbernehmen m\xF6chte,\ + \ M\xDCSSEN VS gem\xE4\xDF CON.11.1.A13 L\xF6schung elektronischer VS, Vernichtung\ + \ von Datentr\xE4gern und IT-Produkten nach \xA7\xA7 32, 56 VSA sicher gel\xF6\ + scht bzw. vernichtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 + ref_id: CON.11.1.A13 + name: "L\xF6schung elektronischer VS, Vernichtung von Datentr\xE4gern und IT-Produkten\ + \ nach \xA7\xA7 32, 56 und Nr. 8 Anlage V zur VSA" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a13 + ref_id: CON.11.1.A13.1 + description: "Um VS oder Datentr\xE4ger zu l\xF6schen, die mit einem IT-Sicherheitsprodukt\ + \ mit Zulassungsaussage verschl\xFCsselt wurden, MUSS der Schl\xFCssel unter\ + \ Beachtung der SecOPs gel\xF6scht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a13 + ref_id: CON.11.1.A13.2 + description: "Sollen elektronische VS gel\xF6scht werden, die nicht durch ein\ + \ IT-Sicherheitsprodukt mit Zulassungsaussage verschl\xFCsselt wurden, dann\ + \ MUSS der gesamte Datentr\xE4ger oder das IT-Produkt, auf dem VS gespeichert\ + \ sind, mittels eines IT-Sicherheitsprodukts mit Zulassungsaussage gel\xF6\ + scht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a13 + ref_id: CON.11.1.A13.3 + description: "Die Datentr\xE4ger oder IT-Produkte M\xDCSSEN gel\xF6scht werden,\ + \ bevor sie die gesicherte Einsatzumgebung dauerhaft verlassen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a13.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a13 + ref_id: CON.11.1.A13.4 + description: "Sie M\xDCSSEN physisch vernichtet werden, falls sie nicht gel\xF6\ + scht werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a13.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a13 + ref_id: CON.11.1.A13.5 + description: "F\xFCr die Vernichtung M\xDCSSEN Produkte oder Verfahren eingesetzt\ + \ oder Dienstleister beauftragt werden, die die Anforderungen der BSI TL -\ + \ M 50 erf\xFCllen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a13.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a13 + ref_id: CON.11.1.A13.6 + description: "Die zuvor beschriebenen Teilanforderungen M\xDCSSEN auch bei defekten\ + \ Datentr\xE4gern und IT-Produkten eingehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 + ref_id: CON.11.1.A14 + name: "Zugangs- und Zugriffsschutz nach \xA7 3 VSA" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a14 + ref_id: CON.11.1.A14.1 + description: "VS-IT, die f\xFCr VS-NfD eingestufte VS eingesetzt wird, MUSS\ + \ so gesch\xFCtzt werden, dass ein Zugang zur VS-IT und ein Zugriff auf VS\ + \ nur f\xFCr verpflichtete Personen (siehe CON.11.1.A5 Verpflichtung bei Zugang\ + \ zu VS nach \xA7 4 und Anlage V zur VSA) m\xF6glich ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a14 + ref_id: CON.11.1.A14.2 + description: "Der Schutz der VS MUSS sichergestellt werden \xFCber:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a14 + ref_id: CON.11.1.A14.3 + description: "\u2022 IT-Sicherheitsprodukte mit Zulassungsaussage," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a14.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a14 + ref_id: CON.11.1.A14.4 + description: "\u2022 materielle," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a14.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a14 + ref_id: CON.11.1.A14.5 + description: "\u2022 organisatorische oder" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a14.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a14 + ref_id: CON.11.1.A14.6 + description: "\u2022 personelle Ma\xDFnahmen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a14.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a14 + ref_id: CON.11.1.A14.7 + description: "F\xFCr den Zugangs- und Zugriffsschutz SOLLTE eine Mehr-Faktor-Authentisierung\ + \ genutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 + ref_id: CON.11.1.A15 + name: "Handhabung von Datentr\xE4gern und IT-Produkten nach \xA7 54 und Anlage\ + \ V zur VSA" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a15 + ref_id: CON.11.1.A15.1 + description: "Datentr\xE4ger und IT-Produkte M\xDCSSEN bei Nichtgebrauch in\ + \ verschlossenen Beh\xE4ltern oder R\xE4umen aufbewahrt werden, falls:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a15 + ref_id: CON.11.1.A15.2 + description: "\u2022 der Datentr\xE4ger bzw. das IT-Produkt selbst als VS-NfD\ + \ eingestuft ist," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a15 + ref_id: CON.11.1.A15.3 + description: "\u2022 auf dem Datentr\xE4ger bzw. IT-Produkt unverschl\xFCsselte\ + \ VS des Geheimhaltungsgrades VS-NfD gespeichert sind oder" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a15.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a15 + ref_id: CON.11.1.A15.4 + description: "\u2022 auf dem Datentr\xE4ger bzw. IT-Produkt VS des Geheimhaltungsgrades\ + \ VS-NfD durch ein Produkt ohne Zulassungsaussage verschl\xFCsselt gespeichert\ + \ sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 + ref_id: CON.11.1.A16 + name: "Zusammenschaltung von VS-IT nach \xA7 58 VSA" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a16 + ref_id: CON.11.1.A16.1 + description: "Bevor VS-IT mit anderer VS-IT zusammengeschaltet werden darf,\ + \ MUSS gepr\xFCft werden, ob und inwieweit Informationen zwischen der zusammengeschalteten\ + \ VS-IT ausgetauscht werden d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a16 + ref_id: CON.11.1.A16.2 + description: "Bei der Pr\xFCfung MUSS das jeweilige Schutzniveau und der Grundsatz\ + \ \u201EKenntnis nur, wenn n\xF6tig\u201C ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a16 + ref_id: CON.11.1.A16.3 + description: "Abh\xE4ngig vom Ergebnis der Pr\xFCfung M\xDCSSEN IT-Sicherheitsfunktionen\ + \ zum Schutz der System\xFCberg\xE4nge implementiert werden (siehe CON.11.1.A3\ + \ Einsatz von IT-Sicherheitsprodukten nach \xA7\xA7 51, 52 VSA)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a16.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a16 + ref_id: CON.11.1.A16.4 + description: "Vor der Zusammenschaltung der VS-IT MUSS bewertet und dokumentiert\ + \ werden, ob diese f\xFCr das angestrebte Szenario zwingend erforderlich ist\ + \ und ob durch die Zusammenschaltung eine besondere Gef\xE4hrdung der einzelnen\ + \ Teilsysteme entsteht." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a16.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a16 + ref_id: CON.11.1.A16.5 + description: "Es MUSS gepr\xFCft werden, ob der durch die Zusammenschaltung\ + \ von VS-IT entstandene Gesamtbestand der Daten h\xF6her einzustufen ist und\ + \ weitere Geheimschutzma\xDFnahmen notwendig werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a16.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a16 + ref_id: CON.11.1.A16.6 + description: "Wird VS-IT f\xFCr die Verarbeitung von VS des Geheimhaltungsgrads\ + \ VS-NfD direkt oder kaskadiert mit VS-IT f\xFCr die Verarbeitung von VS des\ + \ Geheimhaltungsgrades STRENG GEHEIM gekoppelt, dann MUSS sichergestellt werden,\ + \ dass keine Verbindungen zu ungesch\xFCtzten oder \xF6ffentlichen Netzen\ + \ hergestellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 + ref_id: CON.11.1.A17 + name: "Wartungs- und Instandsetzungsarbeiten von VS-IT nach \xA7 3 Abs. 3 VSA" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a17 + ref_id: CON.11.1.A17.1 + description: "Wartungs- und Instandsetzungsarbeiten an Komponenten der VS-IT\ + \ SOLLTEN innerhalb der eigenen Dienstliegenschaft durchgef\xFChrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a17 + ref_id: CON.11.1.A17.2 + description: "Ist dies nicht m\xF6glich, MUSS sichergestellt werden, dass die\ + \ Anforderungen der VSA sowohl w\xE4hrend des Transports als auch bei den\ + \ Wartungs- und Instandsetzungsarbeiten erf\xFCllt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a17 + ref_id: CON.11.1.A17.3 + description: "W\xE4hrend der Wartungs- und Instandsetzungsarbeiten SOLLTE die\ + \ Verarbeitung von VS in dem von der Wartung betroffenen Bereich der VS-IT\ + \ eingestellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a17.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a17 + ref_id: CON.11.1.A17.4 + description: "Ist dies nicht m\xF6glich, MUSS w\xE4hrend des Zeitraums der Wartungs-\ + \ und Instandsetzungsarbeiten l\xFCckenlos sichergestellt werden, dass keine\ + \ VS abflie\xDFen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a17.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a17 + ref_id: CON.11.1.A17.5 + description: "Nach Abschluss der Wartungs- und Instandsetzungsarbeiten MUSS\ + \ der oder die Geheimschutzbeauftragte bewerten, ob sich geheimschutzrelevante\ + \ \xC4nderungen an der VS-IT ergeben haben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1 + ref_id: CON.11.1.A18 + name: "Fernwartung von VS-IT nach \xA7 3 Abs. 3 VSA" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a18 + ref_id: CON.11.1.A18.1 + description: "Wird VS-IT ferngewartet, dann MUSS die Fernwartungsverbindung\ + \ verschl\xFCsselt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a18 + ref_id: CON.11.1.A18.2 + description: "F\xFCr die Verschl\xFCsselung M\xDCSSEN IT-Sicherheitsprodukte\ + \ mit Zulassungsaussage eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a18 + ref_id: CON.11.1.A18.3 + description: "Die IT, mit der die Fernwartung durchgef\xFChrt wird, sowie die\ + \ \xDCbertragungsstrecken M\xDCSSEN als VS-IT behandelt und als Schutzobjekte\ + \ definiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a18.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a18 + ref_id: CON.11.1.A18.4 + description: Die Fernwartungsverbindung MUSS durch die Dienststelle auf- und + abgebaut werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a18.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a18 + ref_id: CON.11.1.A18.5 + description: "Die Dienststelle MUSS in der Lage sein, die Verbindung bei Auff\xE4\ + lligkeiten auch w\xE4hrend der Wartung zu unterbrechen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a18.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a18 + ref_id: CON.11.1.A18.6 + description: "F\xFCr die Fernwartung von VS-IT MUSS ein Informationssicherheitskonzept\ + \ erstellt werden, das alle Komponenten, die an der Fernwartung beteiligt\ + \ sind, ber\xFCcksichtigt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a18.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:con.11.1.a18 + ref_id: CON.11.1.A18.7 + description: "Hierbei M\xDCSSEN insbesondere die Netz\xFCberg\xE4nge und die\ + \ VS-IT, aus dem die Fernwartung gesteuert wird, betrachtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der + assessable: false + depth: 1 + ref_id: DER + name: Detektion und Reaktion + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der + ref_id: DER.1 + name: Detektion von sicherheitsrelevanten Ereignissen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 + ref_id: DER.1.A1 + name: "Erstellung einer Sicherheitsrichtlinie f\xFCr die Detektion von sicherheitsrelevanten\ + \ Ereignissen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a1 + ref_id: DER.1.A1.1 + description: "Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution\ + \ MUSS eine spezifische Sicherheitsrichtlinie f\xFCr die Detektion von sicherheitsrelevanten\ + \ Ereignissen erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a1 + ref_id: DER.1.A1.2 + description: "In der spezifischen Sicherheitsrichtlinie M\xDCSSEN nachvollziehbar\ + \ Anforderungen und Vorgaben beschrieben werden, wie die Detektion von sicherheitsrelevanten\ + \ Ereignissen geplant, aufgebaut und sicher betrieben werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a1 + ref_id: DER.1.A1.3 + description: "Die spezifische Sicherheitsrichtlinie MUSS allen im Bereich Detektion\ + \ zust\xE4ndigen Mitarbeitenden bekannt und grundlegend f\xFCr ihre Arbeit\ + \ sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a1 + ref_id: DER.1.A1.4 + description: "Falls die spezifische Sicherheitsrichtlinie ver\xE4ndert wird\ + \ oder von den Anforderungen abgewichen wird, dann MUSS dies mit dem oder\ + \ der verantwortlichen ISB abgestimmt und dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a1 + ref_id: DER.1.A1.5 + description: "Es MUSS regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die spezifische\ + \ Sicherheitsrichtlinie noch korrekt umgesetzt ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a1 + ref_id: DER.1.A1.6 + description: "Die Ergebnisse der \xDCberpr\xFCfung M\xDCSSEN sinnvoll dokumentiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 + ref_id: DER.1.A2 + name: Einhaltung rechtlicher Bedingungen bei der Auswertung von Protokollierungsdaten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a2 + ref_id: DER.1.A2.1 + description: "Wenn Protokollierungsdaten ausgewertet werden, dann M\xDCSSEN\ + \ dabei die Bestimmungen aus den aktuellen Gesetzen zum Bundes- und Landesdatenschutz\ + \ eingehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a2 + ref_id: DER.1.A2.2 + description: "Wenn Detektionssysteme eingesetzt werden, dann M\xDCSSEN die Pers\xF6\ + nlichkeitsrechte bzw. Mitbestimmungsrechte der Mitarbeitendenvertretungen\ + \ gewahrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a2 + ref_id: DER.1.A2.3 + description: Ebenso MUSS sichergestellt sein, dass alle weiteren relevanten + gesetzlichen Bestimmungen beachtet werden, z. B. das Telemediengesetz (TMG), + das Betriebsverfassungsgesetz und das Telekommunikationsgesetz. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 + ref_id: DER.1.A3 + name: "Festlegung von Meldewegen f\xFCr sicherheitsrelevante Ereignisse" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a3 + ref_id: DER.1.A3.1 + description: "F\xFCr sicherheitsrelevante Ereignisse M\xDCSSEN geeignete Melde-\ + \ und Alarmierungswege festgelegt und dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a3 + ref_id: DER.1.A3.2 + description: Es MUSS bestimmt werden, welche Stellen wann zu informieren sind. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a3 + ref_id: DER.1.A3.3 + description: "Es MUSS aufgef\xFChrt sein, wie die jeweiligen Personen erreicht\ + \ werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a3 + ref_id: DER.1.A3.4 + description: "Je nach Dringlichkeit MUSS ein sicherheitsrelevantes Ereignis\ + \ \xFCber verschiedene Kommunikationswege gemeldet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a3 + ref_id: DER.1.A3.5 + description: "Alle Personen, die f\xFCr die Meldung bzw. Alarmierung relevant\ + \ sind, M\xDCSSEN \xFCber ihre Aufgaben informiert sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a3.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a3 + ref_id: DER.1.A3.6 + description: "Alle Schritte des Melde- und Alarmierungsprozesses M\xDCSSEN ausf\xFC\ + hrlich beschrieben sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a3.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a3 + ref_id: DER.1.A3.7 + description: "Die eingerichteten Melde- und Alarmierungswege SOLLTEN regelm\xE4\ + \xDFig gepr\xFCft, erprobt und aktualisiert werden, falls erforderlich." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 + ref_id: DER.1.A4 + name: Sensibilisierung der Mitarbeitenden + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a4 + ref_id: DER.1.A4.1 + description: "Alle Benutzenden M\xDCSSEN dahingehend sensibilisiert werden,\ + \ dass sie Ereignismeldungen ihrer Clients nicht einfach ignorieren oder schlie\xDF\ + en." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a4 + ref_id: DER.1.A4.2 + description: "Sie M\xDCSSEN die Meldungen entsprechend der Alarmierungswege\ + \ an das verantwortliche Incident Management weitergeben (siehe DER.2.1 Behandlung\ + \ von Sicherheitsvorf\xE4llen)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a4 + ref_id: DER.1.A4.3 + description: "Alle Mitarbeitenden M\xDCSSEN einen von ihnen erkannten Sicherheitsvorfall\ + \ unverz\xFCglich dem Incident Management melden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 + ref_id: DER.1.A5 + name: Einsatz von mitgelieferten Systemfunktionen zur Detektion + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a5 + ref_id: DER.1.A5.1 + description: "Falls eingesetzte IT-Systeme oder Anwendungen \xFCber Funktionen\ + \ verf\xFCgen, mit denen sich sicherheitsrelevante Ereignisse detektieren\ + \ lassen, dann M\xDCSSEN diese aktiviert und benutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a5 + ref_id: DER.1.A5.2 + description: "Falls ein sicherheitsrelevanter Vorfall vorliegt, dann M\xDCSSEN\ + \ die Meldungen der betroffenen IT-Systeme ausgewertet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a5 + ref_id: DER.1.A5.3 + description: "Zus\xE4tzlich M\xDCSSEN die protokollierten Ereignisse anderer\ + \ IT-Systeme \xFCberpr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a5 + ref_id: DER.1.A5.4 + description: "Auch SOLLTEN die gesammelten Meldungen in verbindlich festgelegten\ + \ Zeitr\xE4umen stichpunktartig kontrolliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a5.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a5 + ref_id: DER.1.A5.5 + description: "Es MUSS gepr\xFCft werden, ob zus\xE4tzliche Schadcodescanner\ + \ auf zentralen IT-Systemen installiert werden sollen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a5.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a5 + ref_id: DER.1.A5.6 + description: "Falls zus\xE4tzliche Schadcodescanner eingesetzt werden, dann\ + \ M\xDCSSEN diese es \xFCber einen zentralen Zugriff erm\xF6glichen, ihre\ + \ Meldungen und Protokolle auszuwerten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a5.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a5 + ref_id: DER.1.A5.7 + description: "Es MUSS sichergestellt sein, dass die Schadcodescanner sicherheitsrelevante\ + \ Ereignisse automatisch an die Zust\xE4ndigen melden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a5.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a5 + ref_id: DER.1.A5.8 + description: "Die Zust\xE4ndigen M\xDCSSEN die Meldungen auswerten und untersuchen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 + ref_id: DER.1.A6 + name: "Kontinuierliche \xDCberwachung und Auswertung von Protokollierungsdaten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a6 + ref_id: DER.1.A6.1 + description: "Alle Protokollierungsdaten SOLLTEN m\xF6glichst permanent aktiv\ + \ \xFCberwacht und ausgewertet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a6 + ref_id: DER.1.A6.2 + description: "Es SOLLTEN Mitarbeitende benannt werden, die daf\xFCr zust\xE4\ + ndig sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a6 + ref_id: DER.1.A6.3 + description: "Falls die zust\xE4ndigen Mitarbeitenden aktiv nach sicherheitsrelevanten\ + \ Ereignissen suchen m\xFCssen, z. B. wenn sie IT-Systeme kontrollieren oder\ + \ testen, dann SOLLTEN solche Aufgaben in entsprechenden Verfahrensanleitungen\ + \ dokumentiert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a6 + ref_id: DER.1.A6.4 + description: "F\xFCr die Detektion von sicherheitsrelevanten Ereignissen SOLLTEN\ + \ gen\xFCgend personelle Ressourcen bereitgestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 + ref_id: DER.1.A7 + name: "Schulung von Zust\xE4ndigen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a7 + ref_id: DER.1.A7.1 + description: "Alle Zust\xE4ndigen, die Ereignismeldungen kontrollieren, SOLLTEN\ + \ weiterf\xFChrende Schulungen und Qualifikationen erhalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a7 + ref_id: DER.1.A7.2 + description: "Wenn neue IT-Komponenten beschafft werden, SOLLTE ein Budget f\xFC\ + r Schulungen eingeplant werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a7 + ref_id: DER.1.A7.3 + description: "Bevor die Zust\xE4ndigen Schulungen f\xFCr neue IT-Komponenten\ + \ bekommen, SOLLTE ein Schulungskonzept erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 + ref_id: DER.1.A9 + name: "Einsatz zus\xE4tzlicher Detektionssysteme" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a9 + ref_id: DER.1.A9.1 + description: "Anhand des Netzplans SOLLTE festgelegt werden, welche Netzsegmente\ + \ durch zus\xE4tzliche Detektionssysteme gesch\xFCtzt werden m\xFCssen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a9 + ref_id: DER.1.A9.2 + description: "Der Informationsverbund SOLLTE um zus\xE4tzliche Detektionssysteme\ + \ und Sensoren erg\xE4nzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a9 + ref_id: DER.1.A9.3 + description: Schadcodedetektionssysteme SOLLTEN eingesetzt und zentral verwaltet + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a9 + ref_id: DER.1.A9.4 + description: "Auch die im Netzplan definierten \xDCbergange zwischen internen\ + \ und externen Netzen SOLLTEN um netzbasierte Intrusion Detection Systeme\ + \ (NIDS) erg\xE4nzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 + ref_id: DER.1.A10 + name: Einsatz von TLS-/SSL-Proxies + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a10 + ref_id: DER.1.A10.1 + description: "An den \xDCberg\xE4ngen zu externen Netzen SOLLTEN TLS-/SSL-Proxies\ + \ eingesetzt werden, welche die verschl\xFCsselte Verbindung unterbrechen\ + \ und es so erm\xF6glichen, die \xFCbertragenen Daten auf Malware zu pr\xFC\ + fen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a10 + ref_id: DER.1.A10.2 + description: "Alle TLS-/SSL-Proxies SOLLTEN vor unbefugten Zugriffen gesch\xFC\ + tzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a10 + ref_id: DER.1.A10.3 + description: Auf den TLS-/SSL-Proxies SOLLTEN sicherheitsrelevante Ereignisse + automatisch detektiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a10 + ref_id: DER.1.A10.4 + description: "Es SOLLTE eine organisatorische Regelung erstellt werden, unter\ + \ welchen datenschutzrechtlichen Voraussetzungen die Logdaten manuell ausgewertet\ + \ werden d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 + ref_id: DER.1.A11 + name: "Nutzung einer zentralen Protokollierungsinfrastruktur f\xFCr die Auswertung\ + \ sicherheitsrelevanter Ereignisse" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a11 + ref_id: DER.1.A11.1 + description: "Die auf einer zentralen Protokollinfrastruktur gespeicherten Ereignismeldungen\ + \ der IT-Systeme und Anwendungen (siehe OPS.1.1.5 Protokollierung) SOLLTEN\ + \ mithilfe eines Tools abgerufen werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a11 + ref_id: DER.1.A11.2 + description: "Mit dem ausw\xE4hlten Tool SOLLTEN die Meldungen ausgewertet werden\ + \ k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a11 + ref_id: DER.1.A11.3 + description: "Die gesammelten Ereignismeldungen SOLLTEN regelm\xE4\xDFig auf\ + \ Auff\xE4lligkeiten kontrolliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a11.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a11 + ref_id: DER.1.A11.4 + description: "Die Signaturen der Detektionssysteme SOLLTEN immer aktuell und\ + \ auf dem gleichen Stand sein, damit sicherheitsrelevante Ereignisse auch\ + \ nachtr\xE4glich erkannt werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 + ref_id: DER.1.A12 + name: Auswertung von Informationen aus externen Quellen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a12 + ref_id: DER.1.A12.1 + description: "Um neue Erkenntnisse \xFCber sicherheitsrelevante Ereignisse f\xFC\ + r den eigenen Informationsverbund zu gewinnen, SOLLTEN externe Quellen herangezogen\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a12 + ref_id: DER.1.A12.2 + description: "Meldungen \xFCber unterschiedliche Kan\xE4le SOLLTEN von den Mitarbeitenden\ + \ auch als relevant erkannt und an die richtige Stelle weitergeleitet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a12 + ref_id: DER.1.A12.3 + description: "Informationen aus zuverl\xE4ssigen Quellen SOLLTEN grunds\xE4\ + tzlich ausgewertet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a12 + ref_id: DER.1.A12.4 + description: "Alle gelieferten Informationen SOLLTEN danach bewertet werden,\ + \ ob sie relevant f\xFCr den eigenen Informationsverbund sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a12.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a12 + ref_id: DER.1.A12.5 + description: Ist dies der Fall, SOLLTEN die Informationen entsprechend der Sicherheitsvorfallbehandlung + eskaliert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 + ref_id: DER.1.A13 + name: "Regelm\xE4\xDFige Audits der Detektionssysteme" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a13 + ref_id: DER.1.A13.1 + description: "Die vorhandenen Detektionssysteme und getroffenen Ma\xDFnahmen\ + \ SOLLTEN in regelm\xE4\xDFigen Audits daraufhin \xFCberpr\xFCft werden, ob\ + \ sie noch aktuell und wirksam sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a13 + ref_id: DER.1.A13.2 + description: "Es SOLLTEN die Messgr\xF6\xDFen ausgewertet werden, die beispielsweise\ + \ anfallen, wenn sicherheitsrelevante Ereignisse aufgenommen, gemeldet und\ + \ eskaliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a13 + ref_id: DER.1.A13.3 + description: Die Ergebnisse der Audits SOLLTEN nachvollziehbar dokumentiert + und mit dem Soll-Zustand abgeglichen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a13.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a13 + ref_id: DER.1.A13.4 + description: Abweichungen SOLLTE nachgegangen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 + ref_id: DER.1.A14 + name: Auswertung der Protokollierungsdaten durch spezialisiertes Personal + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a14 + ref_id: DER.1.A14.1 + description: "Es SOLLTEN Mitarbeitende speziell damit beauftragt werden, alle\ + \ Protokollierungsdaten zu \xFCberwachen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a14 + ref_id: DER.1.A14.2 + description: "Die \xDCberwachung der Protokollierungsdaten SOLLTE die \xFCberwiegende\ + \ Aufgabe der beauftragten Mitarbeitenden sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a14 + ref_id: DER.1.A14.3 + description: "Die beauftragten Mitarbeitenden SOLLTEN spezialisierte weiterf\xFC\ + hrende Schulungen und Qualifikationen erhalten." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a14.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a14 + ref_id: DER.1.A14.4 + description: "Ein Personenkreis SOLLTE benannt werden, der ausschlie\xDFlich\ + \ f\xFCr das Thema Auswertung von Protokollierungsdaten verantwortlich ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 + ref_id: DER.1.A15 + name: "Zentrale Detektion und Echtzeit\xFCberpr\xFCfung von Ereignismeldungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15 + ref_id: DER.1.A15.1 + description: Zentrale Komponenten SOLLTEN eingesetzt werden, um sicherheitsrelevante + Ereignisse zu erkennen und auszuwerten. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15 + ref_id: DER.1.A15.2 + description: Zentrale, automatisierte Analysen mit Softwaremitteln SOLLTEN eingesetzt + werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15 + ref_id: DER.1.A15.3 + description: Mit diesen zentralen, automatisierten Analysen mit Softwaremitteln + SOLLTEN alle in der Systemumgebung anfallenden Ereignisse aufgezeichnet und + in Bezug zueinander gesetzt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15 + ref_id: DER.1.A15.4 + description: "Die sicherheitsrelevanten Vorg\xE4nge SOLLTEN sichtbar gemacht\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15 + ref_id: DER.1.A15.5 + description: "Alle eingelieferten Daten SOLLTEN l\xFCckenlos in der Protokollverwaltung\ + \ einsehbar und auswertbar sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15 + ref_id: DER.1.A15.6 + description: "Die Daten SOLLTEN m\xF6glichst permanent ausgewertet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15 + ref_id: DER.1.A15.7 + description: "Werden definierte Schwellwerte \xFCberschritten, SOLLTE automatisch\ + \ alarmiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15 + ref_id: DER.1.A15.8 + description: "Das Personal SOLLTE sicherstellen, dass bei einem Alarm unverz\xFC\ + glich eine qualifizierte und dem Bedarf entsprechende Reaktion eingeleitet\ + \ wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15 + ref_id: DER.1.A15.9 + description: In diesem Zusammenhang SOLLTEN auch die betroffenen Mitarbeitenden + sofort informiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15 + ref_id: DER.1.A15.10 + description: "Die Systemverantwortlichen SOLLTEN regelm\xE4\xDFig die Analyseparameter\ + \ auditieren und anpassen, falls dies erforderlich ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a15 + ref_id: DER.1.A15.11 + description: "Zus\xE4tzlich SOLLTEN bereits \xFCberpr\xFCfte Daten regelm\xE4\ + \xDFig hinsichtlich sicherheitsrelevanter Ereignisse automatisch untersucht\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 + ref_id: DER.1.A16 + name: Einsatz von Detektionssystemen nach Schutzbedarfsanforderungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a16 + ref_id: DER.1.A16.1 + description: "Anwendungen mit erh\xF6htem Schutzbedarf SOLLTEN durch zus\xE4\ + tzliche Detektionsma\xDFnahmen gesch\xFCtzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a16 + ref_id: DER.1.A16.2 + description: "Daf\xFCr SOLLTEN z. B. solche Detektionssysteme eingesetzt werden,\ + \ mit denen sich der erh\xF6hte Schutzbedarf technisch auch sicherstellen\ + \ l\xE4sst." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 + ref_id: DER.1.A17 + name: Automatische Reaktion auf sicherheitsrelevante Ereignisse + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a17 + ref_id: DER.1.A17.1 + description: "Bei einem sicherheitsrelevanten Ereignis SOLLTEN die eingesetzten\ + \ Detektionssysteme das Ereignis automatisch melden und mit geeigneten Schutzma\xDF\ + nahmen reagieren." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a17 + ref_id: DER.1.A17.2 + description: "Hierbei SOLLTEN Verfahren eingesetzt werden, die automatisch m\xF6\ + gliche Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen erkennen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a17 + ref_id: DER.1.A17.3 + description: "Es SOLLTE m\xF6glich sein, automatisch in den Datenstrom einzugreifen,\ + \ um einen m\xF6glichen Sicherheitsvorfall zu unterbinden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1 + ref_id: DER.1.A18 + name: "Durchf\xFChrung regelm\xE4\xDFiger Integrit\xE4tskontrollen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a18 + ref_id: DER.1.A18.1 + description: "Alle Detektionssysteme SOLLTEN regelm\xE4\xDFig daraufhin \xFC\ + berpr\xFCft werden, ob sie noch integer sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a18 + ref_id: DER.1.A18.2 + description: Auch SOLLTEN die Berechtigungen der Benutzenden kontrolliert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a18 + ref_id: DER.1.A18.3 + description: "Zus\xE4tzlich SOLLTEN die Sensoren eine Integrit\xE4tskontrolle\ + \ von Dateien durchf\xFChren." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a18.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.1.a18 + ref_id: DER.1.A18.4 + description: "Bei sich \xE4ndernden Werten SOLLTE eine automatische Alarmierung\ + \ ausgel\xF6st werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der + ref_id: DER.2.1 + name: "Behandlung von Sicherheitsvorf\xE4llen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 + ref_id: DER.2.1.A1 + name: Definition eines Sicherheitsvorfalls + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a1 + ref_id: DER.2.1.A1.1 + description: In einer Institution MUSS klar definiert sein, was ein Sicherheitsvorfall + ist. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a1 + ref_id: DER.2.1.A1.2 + description: "Ein Sicherheitsvorfall MUSS so weit wie m\xF6glich von St\xF6\ + rungen im Tagesbetrieb abgegrenzt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a1 + ref_id: DER.2.1.A1.3 + description: "Alle an der Behandlung von Sicherheitsvorf\xE4llen beteiligten\ + \ Mitarbeitenden M\xDCSSEN die Definition eines Sicherheitsvorfalls kennen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a1 + ref_id: DER.2.1.A1.4 + description: "Die Definition und die Eintrittsschwellen eines solchen Vorfalls\ + \ SOLLTEN sich nach dem Schutzbedarf der betroffenen Gesch\xE4ftsprozesse,\ + \ IT-Systeme bzw. Anwendungen richten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 + ref_id: DER.2.1.A2 + name: "Erstellung einer Richtlinie zur Behandlung von Sicherheitsvorf\xE4llen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a2 + ref_id: DER.2.1.A2.1 + description: "Eine Richtlinie zur Behandlung von Sicherheitsvorf\xE4llen MUSS\ + \ erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a2 + ref_id: DER.2.1.A2.2 + description: "Darin M\xDCSSEN Zweck und Ziel der Richtlinie definiert sowie\ + \ alle Aspekte der Behandlung von Sicherheitsvorf\xE4llen geregelt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a2 + ref_id: DER.2.1.A2.3 + description: "So M\xDCSSEN Verhaltensregeln f\xFCr die verschiedenen Arten von\ + \ Sicherheitsvorf\xE4llen beschrieben sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a2 + ref_id: DER.2.1.A2.4 + description: "Zus\xE4tzlich MUSS es f\xFCr alle Mitarbeitenden zielgruppenorientierte\ + \ und praktisch anwendbare Handlungsanweisungen geben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a2 + ref_id: DER.2.1.A2.5 + description: "Weiterhin SOLLTEN die Schnittstellen zu anderen Managementbereichen\ + \ ber\xFCcksichtigt werden, z. B. zum Notfallmanagement." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a2.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a2 + ref_id: DER.2.1.A2.6 + description: Die Richtlinie MUSS allen Mitarbeitenden bekannt sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a2.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a2 + ref_id: DER.2.1.A2.7 + description: Sie MUSS mit dem IT-Betrieb abgestimmt und durch die Institutionsleitung + verabschiedet sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a2.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a2 + ref_id: DER.2.1.A2.8 + description: "Die Richtlinie MUSS regelm\xE4\xDFig gepr\xFCft und aktualisiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 + ref_id: DER.2.1.A3 + name: "Festlegung von Verantwortlichkeiten und Ansprechpersonen bei Sicherheitsvorf\xE4\ + llen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a3 + ref_id: DER.2.1.A3.1 + description: "Es MUSS geregelt werden, wer bei Sicherheitsvorf\xE4llen wof\xFC\ + r verantwortlich ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a3 + ref_id: DER.2.1.A3.2 + description: "F\xFCr alle Mitarbeitenden M\xDCSSEN die Aufgaben und Kompetenzen\ + \ bei Sicherheitsvorf\xE4llen festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a3 + ref_id: DER.2.1.A3.3 + description: "Insbesondere Mitarbeitende, die Sicherheitsvorf\xE4lle bearbeiten\ + \ sollen, M\xDCSSEN \xFCber ihre Aufgaben und Kompetenzen unterrichtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a3 + ref_id: DER.2.1.A3.4 + description: "Dabei MUSS auch geregelt sein, wer die m\xF6gliche Entscheidung\ + \ f\xFCr eine forensische Untersuchung trifft, nach welchen Kriterien diese\ + \ vorgenommen wird und wann sie erfolgen soll." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a3 + ref_id: DER.2.1.A3.5 + description: "Die Ansprechpartner oder Ansprechpartnerinnen f\xFCr alle Arten\ + \ von Sicherheitsvorf\xE4llen M\xDCSSEN den Mitarbeitenden bekannt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a3.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a3 + ref_id: DER.2.1.A3.6 + description: "Kontaktinformationen M\xDCSSEN immer aktuell und leicht zug\xE4\ + nglich sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 + ref_id: DER.2.1.A4 + name: "Benachrichtigung betroffener Stellen bei Sicherheitsvorf\xE4llen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a4 + ref_id: DER.2.1.A4.1 + description: "Von einem Sicherheitsvorfall M\xDCSSEN alle betroffenen internen\ + \ und externen Stellen zeitnah informiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a4 + ref_id: DER.2.1.A4.2 + description: "Dabei MUSS gepr\xFCft werden, ob der oder die Datenschutzbeauftragte,\ + \ der Betriebs- und Personalrat sowie Mitarbeitende aus der Rechtsabteilung\ + \ einbezogen werden m\xFCssen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a4 + ref_id: DER.2.1.A4.3 + description: "Ebenso M\xDCSSEN die Meldepflichten f\xFCr Beh\xF6rden und regulierte\ + \ Branchen ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a4 + ref_id: DER.2.1.A4.4 + description: "Au\xDFerdem MUSS gew\xE4hrleistet sein, dass betroffene Stellen\ + \ \xFCber die erforderlichen Ma\xDFnahmen informiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 + ref_id: DER.2.1.A5 + name: "Behebung von Sicherheitsvorf\xE4llen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a5 + ref_id: DER.2.1.A5.1 + description: "Damit ein Sicherheitsvorfall erfolgreich behoben werden kann,\ + \ M\xDCSSEN die Zust\xE4ndigen zun\xE4chst das Problem eingrenzen und die\ + \ Ursache finden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a5 + ref_id: DER.2.1.A5.2 + description: "Danach M\xDCSSEN die erforderlichen Ma\xDFnahmen ausw\xE4hlt werden,\ + \ um das Problem zu beheben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a5 + ref_id: DER.2.1.A5.3 + description: "Die Leitung des IT-Betriebs MUSS eine Freigabe erteilen, bevor\ + \ die Ma\xDFnahmen umgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a5 + ref_id: DER.2.1.A5.4 + description: "Anschlie\xDFend MUSS die Ursache beseitigt und ein sicherer Zustand\ + \ hergestellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a5.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a5 + ref_id: DER.2.1.A5.5 + description: "Eine aktuelle Liste von internen und externen Sicherheitsfachleuten\ + \ MUSS vorhanden sein, die bei Sicherheitsvorf\xE4llen f\xFCr Fragen aus den\ + \ erforderlichen Themenbereichen hinzugezogen werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a5.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a5 + ref_id: DER.2.1.A5.6 + description: "Es M\xDCSSEN sichere Kommunikationsverfahren mit diesen internen\ + \ und externen Stellen etabliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 + ref_id: DER.2.1.A6 + name: "Wiederherstellung der Betriebsumgebung nach Sicherheitsvorf\xE4llen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6 + ref_id: DER.2.1.A6.1 + description: "Nach einem Sicherheitsvorfall M\xDCSSEN die betroffenen Komponenten\ + \ vom Netz genommen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6 + ref_id: DER.2.1.A6.2 + description: "Zudem M\xDCSSEN alle erforderlichen Daten gesichert werden, die\ + \ Aufschluss \xFCber die Art und Ursache des Problems geben k\xF6nnten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6 + ref_id: DER.2.1.A6.3 + description: "Auf allen betroffenen Komponenten M\xDCSSEN das Betriebssystem\ + \ und alle Applikationen auf Ver\xE4nderungen untersucht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6 + ref_id: DER.2.1.A6.4 + description: "Die Originaldaten M\xDCSSEN von schreibgesch\xFCtzten Datentr\xE4\ + gern wieder eingespielt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6 + ref_id: DER.2.1.A6.5 + description: "Dabei M\xDCSSEN alle sicherheitsrelevanten Konfigurationen und\ + \ Patches mit aufgespielt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6 + ref_id: DER.2.1.A6.6 + description: Wenn Daten aus Datensicherungen wieder eingespielt werden, MUSS + sichergestellt sein, dass diese vom Sicherheitsvorfall nicht betroffen waren. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6 + ref_id: DER.2.1.A6.7 + description: "Nach einem Angriff M\xDCSSEN alle Zugangsdaten auf den betroffenen\ + \ Komponenten ge\xE4ndert werden, bevor sie wieder in Betrieb genommen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6 + ref_id: DER.2.1.A6.8 + description: Die betroffenen Komponenten SOLLTEN einem Penetrationstest unterzogen + werden, bevor sie wieder eingesetzt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6 + ref_id: DER.2.1.A6.9 + description: "Bei der Wiederherstellung der sicheren Betriebsumgebung M\xDC\ + SSEN die Benutzenden in die Anwendungsfunktionstests einbezogen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a6 + ref_id: DER.2.1.A6.10 + description: "Nachdem alles wiederhergestellt wurde, M\xDCSSEN die Komponenten\ + \ inklusive der Netz\xFCberg\xE4nge gezielt \xFCberwacht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 + ref_id: DER.2.1.A7 + name: "Etablierung einer Vorgehensweise zur Behandlung von Sicherheitsvorf\xE4\ + llen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a7 + ref_id: DER.2.1.A7.1 + description: "Es SOLLTE eine geeignete Vorgehensweise zur Behandlung von Sicherheitsvorf\xE4\ + llen definiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a7 + ref_id: DER.2.1.A7.2 + description: "Die Abl\xE4ufe, Prozesse und Vorgaben f\xFCr die verschiedenen\ + \ Sicherheitsvorf\xE4lle SOLLTEN dabei eindeutig geregelt und geeignet dokumentiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a7 + ref_id: DER.2.1.A7.3 + description: "Die Institutionsleitung SOLLTE die festgelegte Vorgehensweise\ + \ in Kraft setzen und allen Beteiligten zug\xE4nglich machen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a7 + ref_id: DER.2.1.A7.4 + description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Vorgehensweise\ + \ noch aktuell und wirksam ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a7 + ref_id: DER.2.1.A7.5 + description: Bei Bedarf SOLLTE die Vorgehensweise angepasst werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 + ref_id: DER.2.1.A8 + name: "Aufbau von Organisationsstrukturen zur Behandlung von Sicherheitsvorf\xE4\ + llen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a8 + ref_id: DER.2.1.A8.1 + description: "F\xFCr den Umgang mit Sicherheitsvorf\xE4llen SOLLTEN geeignete\ + \ Organisationsstrukturen festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a8 + ref_id: DER.2.1.A8.2 + description: "Es SOLLTE ein Sicherheitsvorfall-Team aufgebaut werden, dessen\ + \ Mitglieder je nach Art des Vorfalls einberufen werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a8 + ref_id: DER.2.1.A8.3 + description: "Auch wenn das Sicherheitsvorfall-Team nur f\xFCr einen konkreten\ + \ Fall zusammentritt, SOLLTEN bereits im Vorfeld geeignete Mitglieder benannt\ + \ und in ihre Aufgaben eingewiesen sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a8 + ref_id: DER.2.1.A8.4 + description: "Es SOLLTE regelm\xE4\xDFig gepr\xFCft werden, ob die Zusammensetzung\ + \ des Sicherheitsvorfall-Teams noch angemessen ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a8.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a8 + ref_id: DER.2.1.A8.5 + description: Gegebenenfalls SOLLTE das Sicherheitsvorfall-Team neu zusammengestellt + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 + ref_id: DER.2.1.A9 + name: "Festlegung von Meldewegen f\xFCr Sicherheitsvorf\xE4lle" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a9 + ref_id: DER.2.1.A9.1 + description: "F\xFCr die verschiedenen Arten von Sicherheitsvorf\xE4llen SOLLTEN\ + \ die jeweils passenden Meldewege aufgebaut sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a9 + ref_id: DER.2.1.A9.2 + description: "Es SOLLTE dabei sichergestellt sein, dass Mitarbeitende Sicherheitsvorf\xE4\ + lle \xFCber verl\xE4ssliche und vertrauensw\xFCrdige Kan\xE4le schnell und\ + \ einfach melden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a9 + ref_id: DER.2.1.A9.3 + description: "Wird eine zentrale Anlaufstelle f\xFCr die Meldung von St\xF6\ + rungen oder Sicherheitsvorf\xE4llen eingerichtet, SOLLTE dies an alle Mitarbeitende\ + \ kommuniziert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a9 + ref_id: DER.2.1.A9.4 + description: Eine Kommunikations- und Kontaktstrategie SOLLTE vorliegen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a9.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a9 + ref_id: DER.2.1.A9.5 + description: "Darin SOLLTE geregelt sein, wer grunds\xE4tzlich informiert werden\ + \ muss und wer informiert werden darf, durch wen dies in welcher Reihenfolge\ + \ erfolgt und in welcher Tiefe informiert wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a9.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a9 + ref_id: DER.2.1.A9.6 + description: "Es SOLLTE definiert sein, wer Informationen \xFCber Sicherheitsvorf\xE4\ + lle an Dritte weitergibt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a9.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a9 + ref_id: DER.2.1.A9.7 + description: "Ebenso SOLLTE sichergestellt sein, dass keine unautorisierten\ + \ Personen Informationen \xFCber den Sicherheitsvorfall weitergeben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 + ref_id: DER.2.1.A10 + name: "Eind\xE4mmen der Auswirkung von Sicherheitsvorf\xE4llen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a10 + ref_id: DER.2.1.A10.1 + description: "Parallel zur Ursachenanalyse eines Sicherheitsvorfalls SOLLTE\ + \ entschieden werden, ob es wichtiger ist, den entstandenen Schaden einzud\xE4\ + mmen oder den Vorfall aufzukl\xE4ren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a10 + ref_id: DER.2.1.A10.2 + description: "Um die Auswirkung eines Sicherheitsvorfalls absch\xE4tzen zu k\xF6\ + nnen, SOLLTEN ausreichend Informationen vorliegen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a10 + ref_id: DER.2.1.A10.3 + description: "F\xFCr ausgew\xE4hlte Sicherheitsvorfallszenarien SOLLTEN bereits\ + \ im Vorfeld Worst-Case-Betrachtungen durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 + ref_id: DER.2.1.A11 + name: "Einstufung von Sicherheitsvorf\xE4llen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a11 + ref_id: DER.2.1.A11.1 + description: "Ein einheitliches Verfahren SOLLTE festgelegt werden, um Sicherheitsvorf\xE4\ + lle und St\xF6rungen einzustufen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a11 + ref_id: DER.2.1.A11.2 + description: "Das Einstufungsverfahren f\xFCr Sicherheitsvorf\xE4lle SOLLTE\ + \ zwischen Sicherheitsmanagement und der St\xF6rungs- und Fehlerbehebung (Incident\ + \ Management) abgestimmt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 + ref_id: DER.2.1.A12 + name: "Festlegung der Schnittstellen der Sicherheitsvorfallbehandlung zur St\xF6\ + rungs- und Fehlerbehebung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a12 + ref_id: DER.2.1.A12.1 + description: "Die Schnittstellen zwischen St\xF6rungs- und Fehlerbehebung, Notfallmanagement\ + \ und Sicherheitsmanagement SOLLTEN analysiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a12 + ref_id: DER.2.1.A12.2 + description: Dabei SOLLTEN auch eventuell gemeinsam benutzbare Ressourcen identifiziert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a12 + ref_id: DER.2.1.A12.3 + description: "Die bei der St\xF6rungs- und Fehlerbehebung beteiligten Mitarbeitenden\ + \ SOLLTEN f\xFCr die Behandlung von Sicherheitsvorf\xE4llen sowie f\xFCr das\ + \ Notfallmanagement sensibilisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a12 + ref_id: DER.2.1.A12.4 + description: Das Sicherheitsmanagement SOLLTE lesenden Zugriff auf eingesetzte + Incident-Management-Werkzeuge haben. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 + ref_id: DER.2.1.A13 + name: Einbindung in das Sicherheits- und Notfallmanagement + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a13 + ref_id: DER.2.1.A13.1 + description: "Die Behandlung von Sicherheitsvorf\xE4llen SOLLTE mit dem Notfallmanagement\ + \ abgestimmt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a13 + ref_id: DER.2.1.A13.2 + description: "Falls es in der Institution eine spezielle Rolle f\xFCr St\xF6\ + rungs- und Fehlerbehebung gibt, SOLLTE auch diese mit einbezogen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 + ref_id: DER.2.1.A14 + name: "Eskalationsstrategie f\xFCr Sicherheitsvorf\xE4lle" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14 + ref_id: DER.2.1.A14.1 + description: "\xDCber die Kommunikations- und Kontaktstrategie hinaus SOLLTE\ + \ eine Eskalationsstrategie formuliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14 + ref_id: DER.2.1.A14.2 + description: "Diese SOLLTE zwischen den Verantwortlichen f\xFCr St\xF6rungs-\ + \ und Fehlerbehebung und dem Informationssicherheitsmanagement abgestimmt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14 + ref_id: DER.2.1.A14.3 + description: "Die Eskalationsstrategie SOLLTE eindeutige Handlungsanweisungen\ + \ enthalten, wer auf welchem Weg bei welcher Art von erkennbaren oder vermuteten\ + \ Sicherheitsst\xF6rungen wann einzubeziehen ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14 + ref_id: DER.2.1.A14.4 + description: "Es SOLLTE geregelt sein, zu welchen Ma\xDFnahmen eine Eskalation\ + \ f\xFChrt und wie reagiert werden soll." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14 + ref_id: DER.2.1.A14.5 + description: "F\xFCr die festgelegte Eskalationsstrategie SOLLTEN geeignete\ + \ Werkzeuge wie z. B. Ticket-Systeme ausgew\xE4hlt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14 + ref_id: DER.2.1.A14.6 + description: "Diese SOLLTEN sich auch daf\xFCr eignen, vertrauliche Informationen\ + \ zu verarbeiten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14 + ref_id: DER.2.1.A14.7 + description: "Es SOLLTE sichergestellt sein, dass die Werkzeuge auch w\xE4hrend\ + \ eines Sicherheitsvorfalls bzw. Notfalls verf\xFCgbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14 + ref_id: DER.2.1.A14.8 + description: "Die Eskalationsstrategie SOLLTE regelm\xE4\xDFig \xFCberpr\xFC\ + ft und gegebenenfalls aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14 + ref_id: DER.2.1.A14.9 + description: "Die Checklisten (Matching Szenarios) f\xFCr St\xF6rungs- und Fehlerbehebung\ + \ SOLLTEN regelm\xE4\xDFig um sicherheitsrelevante Themen erg\xE4nzt bzw.\ + \ aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a14 + ref_id: DER.2.1.A14.10 + description: "Die festgelegten Eskalationswege SOLLTEN in \xDCbungen erprobt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 + ref_id: DER.2.1.A15 + name: Schulung der Mitarbeitenden des Service Desks + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a15 + ref_id: DER.2.1.A15.1 + description: "Dem Personal des Service Desk SOLLTEN geeignete Hilfsmittel zur\ + \ Verf\xFCgung stehen, damit sie Sicherheitsvorf\xE4lle erkennen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a15 + ref_id: DER.2.1.A15.2 + description: "Sie SOLLTEN ausreichend geschult sein, um die Hilfsmittel selbst\ + \ anwenden zu k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a15 + ref_id: DER.2.1.A15.3 + description: Die Mitarbeitenden des Service Desk SOLLTEN den Schutzbedarf der + betroffenen IT-Systeme kennen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 + ref_id: DER.2.1.A16 + name: "Dokumentation der Behebung von Sicherheitsvorf\xE4llen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a16 + ref_id: DER.2.1.A16.1 + description: "Die Behebung von Sicherheitsvorf\xE4llen SOLLTE nach einem standardisierten\ + \ Verfahren dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a16 + ref_id: DER.2.1.A16.2 + description: "Es SOLLTEN alle durchgef\xFChrten Aktionen inklusive der Zeitpunkte\ + \ sowie die Protokolldaten der betroffenen Komponenten dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a16 + ref_id: DER.2.1.A16.3 + description: "Dabei SOLLTE die Vertraulichkeit bei der Dokumentation und Archivierung\ + \ der Berichte gew\xE4hrleistet sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a16.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a16 + ref_id: DER.2.1.A16.4 + description: "Die ben\xF6tigten Informationen SOLLTEN in die jeweiligen Dokumentationssysteme\ + \ eingepflegt werden, bevor die St\xF6rung als beendet und als abgeschlossen\ + \ markiert wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a16.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a16 + ref_id: DER.2.1.A16.5 + description: "Im Vorfeld SOLLTEN mit dem oder der ISB die daf\xFCr erforderlichen\ + \ Anforderungen an die Qualit\xE4tssicherung definiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 + ref_id: DER.2.1.A17 + name: "Nachbereitung von Sicherheitsvorf\xE4llen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a17 + ref_id: DER.2.1.A17.1 + description: "Sicherheitsvorf\xE4lle SOLLTEN standardisiert nachbereitet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a17 + ref_id: DER.2.1.A17.2 + description: "Dabei SOLLTE untersucht werden, wie schnell die Sicherheitsvorf\xE4\ + lle erkannt und behoben wurden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a17 + ref_id: DER.2.1.A17.3 + description: "Weiterhin SOLLTE untersucht werden, ob die Meldewege funktionierten,\ + \ ausreichend Informationen f\xFCr die Bewertung verf\xFCgbar und ob die Detektionsma\xDF\ + nahmen wirksam waren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a17.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a17 + ref_id: DER.2.1.A17.4 + description: "Ebenso SOLLTE gepr\xFCft werden, ob die ergriffenen Ma\xDFnahmen\ + \ und Aktivit\xE4ten wirksam und effizient waren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a17.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a17 + ref_id: DER.2.1.A17.5 + description: "Die Erfahrungen aus vergangenen Sicherheitsvorf\xE4llen SOLLTEN\ + \ genutzt werden, um daraus Handlungsanweisungen f\xFCr vergleichbare Sicherheitsvorf\xE4\ + lle zu erstellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a17.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a17 + ref_id: DER.2.1.A17.6 + description: "Diese Handlungsanweisungen SOLLTEN den relevanten Personengruppen\ + \ bekanntgegeben und auf Basis neuer Erkenntnisse regelm\xE4\xDFig aktualisiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a17.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a17 + ref_id: DER.2.1.A17.7 + description: "Die Institutionsleitung SOLLTE j\xE4hrlich \xFCber die Sicherheitsvorf\xE4\ + lle unterrichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a17.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a17 + ref_id: DER.2.1.A17.8 + description: Besteht sofortiger Handlungsbedarf, MUSS die Institutionsleitung + umgehend informiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 + ref_id: DER.2.1.A18 + name: "Weiterentwicklung der Prozesse durch Erkenntnisse aus Sicherheitsvorf\xE4\ + llen und Branchenentwicklungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a18 + ref_id: DER.2.1.A18.1 + description: "Nachdem ein Sicherheitsvorfall analysiert wurde, SOLLTE untersucht\ + \ werden, ob die Prozesse und Abl\xE4ufe im Rahmen der Behandlung von Sicherheitsvorf\xE4\ + llen ge\xE4ndert oder weiterentwickelt werden m\xFCssen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a18 + ref_id: DER.2.1.A18.2 + description: "Dabei SOLLTEN alle Personen, die an dem Vorfall beteiligt waren,\ + \ \xFCber ihre jeweiligen Erfahrungen berichten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a18 + ref_id: DER.2.1.A18.3 + description: "Es SOLLTE gepr\xFCft werden, ob es neue Entwicklungen im Bereich\ + \ Incident Management und in der Forensik gibt und ob diese in die jeweiligen\ + \ Dokumente und Abl\xE4ufe eingebracht werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a18.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a18 + ref_id: DER.2.1.A18.4 + description: "Werden Hilfsmittel und Checklisten eingesetzt, z. B. f\xFCr Service-Desk-Mitarbeitende,\ + \ SOLLTE gepr\xFCft werden, ob diese um relevante Fragen und Informationen\ + \ zu erweitern sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 + ref_id: DER.2.1.A19 + name: "Festlegung von Priorit\xE4ten f\xFCr die Behandlung von Sicherheitsvorf\xE4\ + llen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a19 + ref_id: DER.2.1.A19.1 + description: "Es SOLLTEN Priorit\xE4ten f\xFCr die Behandlung von Sicherheitsvorf\xE4\ + llen vorab festgelegt und regelm\xE4\xDFig aktualisiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a19 + ref_id: DER.2.1.A19.2 + description: "Dabei SOLLTE auch die vorgenommene Einstufung von Sicherheitsvorf\xE4\ + llen ber\xFCcksichtigt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a19.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a19 + ref_id: DER.2.1.A19.3 + description: "Die Priorit\xE4ten SOLLTEN von der Institutionsleitung genehmigt\ + \ und in Kraft gesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a19.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a19 + ref_id: DER.2.1.A19.4 + description: "Sie SOLLTEN allen Verantwortlichen bekannt sein, die mit der Behandlung\ + \ von Sicherheitsvorf\xE4llen zu tun haben." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a19.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a19 + ref_id: DER.2.1.A19.5 + description: "Die festgelegten Priorit\xE4tsklassen SOLLTEN au\xDFerdem im Incident\ + \ Management hinterlegt sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 + ref_id: DER.2.1.A20 + name: "Einrichtung einer dedizierten Meldestelle f\xFCr Sicherheitsvorf\xE4\ + lle" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a20 + ref_id: DER.2.1.A20.1 + description: "Eine dedizierte Stelle zur Meldung von Sicherheitsvorf\xE4llen\ + \ SOLLTE eingerichtet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a20.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a20 + ref_id: DER.2.1.A20.2 + description: "Es SOLLTE gew\xE4hrleistet sein, dass die Meldestelle zu den \xFC\ + blichen Arbeitszeiten erreichbar ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a20.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a20 + ref_id: DER.2.1.A20.3 + description: "Zus\xE4tzlich SOLLTE es m\xF6glich sein, dass Sicherheitsvorf\xE4\ + lle auch au\xDFerhalb der \xFCblichen Arbeitszeiten gemeldet werden k\xF6\ + nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a20.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a20 + ref_id: DER.2.1.A20.4 + description: "Die Mitarbeitenden der Meldestelle SOLLTEN ausreichend geschult\ + \ und f\xFCr die Belange der Informationssicherheit sensibilisiert sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a20.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a20 + ref_id: DER.2.1.A20.5 + description: "Alle Informationen \xFCber Sicherheitsvorf\xE4lle SOLLTEN bei\ + \ der Meldestelle vertraulich behandelt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 + ref_id: DER.2.1.A21 + name: "Einrichtung eines Teams von Fachleuten f\xFCr die Behandlung von Sicherheitsvorf\xE4\ + llen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21 + ref_id: DER.2.1.A21.1 + description: "Es SOLLTE ein Team mit erfahrenen und vertrauensw\xFCrdigen Fachleuten\ + \ zusammengestellt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21 + ref_id: DER.2.1.A21.2 + description: "Neben dem technischen Verst\xE4ndnis SOLLTEN die Teammitglieder\ + \ auch \xFCber Kompetenzen im Bereich Kommunikation verf\xFCgen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21 + ref_id: DER.2.1.A21.3 + description: "Die Vertrauensw\xFCrdigkeit der Mitglieder des Teams SOLLTE \xFC\ + berpr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21 + ref_id: DER.2.1.A21.4 + description: "Die Zusammensetzung des Teams SOLLTE regelm\xE4\xDFig \xFCberpr\xFC\ + ft und, wenn n\xF6tig, ge\xE4ndert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21 + ref_id: DER.2.1.A21.5 + description: Die Mitglieder des Teams SOLLTEN in die Eskalations- und Meldewege + eingebunden sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21 + ref_id: DER.2.1.A21.6 + description: "Das Experten- und Expertinnenteam SOLLTE f\xFCr die Analyse von\ + \ Sicherheitsvorf\xE4llen an den in der Institution eingesetzten Systemen\ + \ ausgebildet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21 + ref_id: DER.2.1.A21.7 + description: "Die Mitglieder des Experten- und Expertinnenteams SOLLTEN sich\ + \ regelm\xE4\xDFig weiterbilden, sowohl zu den eingesetzten Systemen als auch\ + \ zur Detektion und Reaktion auf Sicherheitsvorf\xE4lle." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21 + ref_id: DER.2.1.A21.8 + description: "Dem Experten- und Expertinnenteam SOLLTEN alle vorhandenen Dokumentationen\ + \ sowie finanzielle und technische Ressourcen zur Verf\xFCgung stehen, um\ + \ Sicherheitsvorf\xE4lle schnell und diskret zu behandeln." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21 + ref_id: DER.2.1.A21.9 + description: "Das Experten- und Expertinnenteams SOLLTE in geeigneter Weise\ + \ in den Organisationsstrukturen ber\xFCcksichtigt und in diese integriert\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a21 + ref_id: DER.2.1.A21.10 + description: "Die Zust\xE4ndigkeiten des Teams SOLLTEN vorher mit denen des\ + \ Sicherheitsvorfall-Teams abgestimmt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1 + ref_id: DER.2.1.A22 + name: "\xDCberpr\xFCfung der Effizienz des Managementsystems zur Behandlung\ + \ von Sicherheitsvorf\xE4llen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a22 + ref_id: DER.2.1.A22.1 + description: "Das Managementsystem zur Behandlung von Sicherheitsvorf\xE4llen\ + \ SOLLTE regelm\xE4\xDFig daraufhin gepr\xFCft werden, ob es noch aktuell\ + \ und wirksam ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a22.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a22 + ref_id: DER.2.1.A22.2 + description: "Dazu SOLLTEN sowohl angek\xFCndigte als auch unangek\xFCndigte\ + \ \xDCbungen durchgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a22.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a22 + ref_id: DER.2.1.A22.3 + description: "Die \xDCbungen SOLLTEN vorher mit der Institutionsleitung abgestimmt\ + \ sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a22.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a22 + ref_id: DER.2.1.A22.4 + description: "Es SOLLTEN die Messgr\xF6\xDFen ausgewertet werden, die anfallen,\ + \ wenn Sicherheitsvorf\xE4lle aufgenommen, gemeldet und eskaliert werden,\ + \ z. B. die Zeitr\xE4ume von der Erstmeldung bis zur verbindlichen Best\xE4\ + tigung eines Sicherheitsvorfalls." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a22.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.1.a22 + ref_id: DER.2.1.A22.5 + description: "Au\xDFerdem SOLLTEN Planspiele zur Behandlung von Sicherheitsvorf\xE4\ + llen durchgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der + ref_id: DER.2.2 + name: "Vorsorge f\xFCr die IT-Forensik" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2 + ref_id: DER.2.2.A1 + name: "Pr\xFCfung rechtlicher und regulatorischer Rahmenbedingungen zur Erfassung\ + \ und Auswertbarkeit" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a1 + ref_id: DER.2.2.A1.1 + description: "Werden Daten f\xFCr forensische Untersuchungen erfasst und ausgewertet,\ + \ M\xDCSSEN alle rechtlichen und regulatorischen Rahmenbedingungen identifiziert\ + \ und eingehalten werden (siehe ORP.5 Compliance Management (Anforderungsmanagement))." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a1 + ref_id: DER.2.2.A1.2 + description: "Auch DARF NICHT gegen interne Regelungen und Mitarbeitendenvereinbarungen\ + \ versto\xDFen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a1 + ref_id: DER.2.2.A1.3 + description: "Dazu M\xDCSSEN der Betriebs- oder Personalrat sowie der oder die\ + \ Datenschutzbeauftragte einbezogen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2 + ref_id: DER.2.2.A2 + name: "Erstellung eines Leitfadens f\xFCr Erstma\xDFnahmen bei einem IT-Sicherheitsvorfall" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a2 + ref_id: DER.2.2.A2.1 + description: "Es MUSS ein Leitfaden erstellt werden, der f\xFCr die eingesetzten\ + \ IT-Systeme beschreibt, welche Erstma\xDFnahmen bei einem IT-Sicherheitsvorfall\ + \ durchgef\xFChrt werden m\xFCssen, um m\xF6glichst wenig Spuren zu zerst\xF6\ + ren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a2 + ref_id: DER.2.2.A2.2 + description: "Darin MUSS auch beschrieben sein, durch welche Handlungen potenzielle\ + \ Spuren vernichtet werden k\xF6nnten und wie sich das vermeiden l\xE4sst." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2 + ref_id: DER.2.2.A3 + name: Vorauswahl von Forensik-Dienstleistenden + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a3 + ref_id: DER.2.2.A3.1 + description: "Verf\xFCgt eine Institution nicht \xFCber ein eigenes Forensik-Team,\ + \ M\xDCSSEN bereits in der Vorbereitungsphase m\xF6gliche geeignete Forensik-Dienstleistenden\ + \ identifiziert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a3 + ref_id: DER.2.2.A3.2 + description: Welche Forensik-Dienstleistende infrage kommen, MUSS dokumentiert + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2 + ref_id: DER.2.2.A4 + name: Festlegung von Schnittstellen zum Krisen- und Notfallmanagement + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a4 + ref_id: DER.2.2.A4.1 + description: Die Schnittstellen zwischen IT-forensischen Untersuchungen und + dem Krisen- und Notfallmanagement SOLLTEN definiert und dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a4 + ref_id: DER.2.2.A4.2 + description: "Hierzu SOLLTE geregelt werden, welche Mitarbeitenden f\xFCr welche\ + \ Aufgaben verantwortlich sind und wie mit ihnen kommuniziert werden soll." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a4 + ref_id: DER.2.2.A4.3 + description: "Dar\xFCber hinaus SOLLTE sichergestellt werden, dass die zust\xE4\ + ndigen Kontaktpersonen stets erreichbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2 + ref_id: DER.2.2.A5 + name: "Erstellung eines Leitfadens f\xFCr Beweissicherungsma\xDFnahmen bei IT-Sicherheitsvorf\xE4\ + llen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a5 + ref_id: DER.2.2.A5.1 + description: Es SOLLTE ein Leitfaden erstellt werden, in dem beschrieben wird, + wie Beweise gesichert werden sollen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a5 + ref_id: DER.2.2.A5.2 + description: "Darin SOLLTEN Vorgehensweisen, technische Werkzeuge, rechtliche\ + \ Rahmenbedingungen und Dokumentationsvorgaben aufgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2 + ref_id: DER.2.2.A6 + name: "Schulung des Personals f\xFCr die Umsetzung der forensischen Sicherung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a6 + ref_id: DER.2.2.A6.1 + description: Alle verantwortlichen Mitarbeitenden SOLLTEN wissen, wie sie Spuren + korrekt sichern und die Werkzeuge zur Forensik richtig einsetzen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a6 + ref_id: DER.2.2.A6.2 + description: "Daf\xFCr SOLLTEN geeignete Schulungen durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2 + ref_id: DER.2.2.A7 + name: Auswahl von Werkzeugen zur Forensik + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a7 + ref_id: DER.2.2.A7.1 + description: "Es SOLLTE sichergestellt werden, dass Werkzeuge, mit denen Spuren\ + \ forensisch gesichert und analysiert werden, auch daf\xFCr geeignet sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a7 + ref_id: DER.2.2.A7.2 + description: "Bevor ein Werkzeug zur Forensik eingesetzt wird, SOLLTE zudem\ + \ gepr\xFCft werden, ob es richtig funktioniert." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a7 + ref_id: DER.2.2.A7.3 + description: "Auch SOLLTE \xFCberpr\xFCft und dokumentiert werden, dass es nicht\ + \ manipuliert wurde." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2 + ref_id: DER.2.2.A8 + name: Auswahl und Reihenfolge der zu sichernden Beweismittel + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a8 + ref_id: DER.2.2.A8.1 + description: Eine forensische Untersuchung SOLLTE immer damit beginnen, die + Ziele bzw. den Arbeitsauftrag zu definieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a8 + ref_id: DER.2.2.A8.2 + description: "Die Ziele SOLLTEN m\xF6glichst konkret formuliert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a8 + ref_id: DER.2.2.A8.3 + description: Danach SOLLTEN alle notwendigen Datenquellen identifiziert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a8 + ref_id: DER.2.2.A8.4 + description: Auch SOLLTE festgelegt werden, in welcher Reihenfolge die Daten + gesichert werden und wie genau dabei vorgegangen werden soll. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a8.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a8 + ref_id: DER.2.2.A8.5 + description: "Die Reihenfolge SOLLTE sich danach richten, wie fl\xFCchtig (volatil)\ + \ die zu sichernden Daten sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a8.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a8 + ref_id: DER.2.2.A8.6 + description: "So SOLLTEN schnell fl\xFCchtige Daten zeitnah gesichert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a8.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a8 + ref_id: DER.2.2.A8.7 + description: "Erst danach SOLLTEN nichtfl\xFCchtige Daten wie beispielsweise\ + \ Festspeicherinhalte und schlie\xDFlich Backups folgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2 + ref_id: DER.2.2.A9 + name: Vorauswahl forensisch relevanter Daten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a9 + ref_id: DER.2.2.A9.1 + description: "Es SOLLTE festgelegt werden, welche sekund\xE4ren Daten (z. B.\ + \ Logdaten oder Verkehrsmitschnitte) auf welche Weise und wie lange im Rahmen\ + \ der rechtlichen Rahmenbedingungen f\xFCr m\xF6gliche forensische Beweissicherungsma\xDF\ + nahmen vorgehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2 + ref_id: DER.2.2.A10 + name: IT-forensische Sicherung von Beweismitteln + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a10 + ref_id: DER.2.2.A10.1 + description: "Datentr\xE4ger SOLLTEN m\xF6glichst komplett forensisch dupliziert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a10 + ref_id: DER.2.2.A10.2 + description: "Wenn das nicht m\xF6glich ist, z. B. bei fl\xFCchtigen Daten im\ + \ RAM oder in SAN-Partitionen, SOLLTE eine Methode gew\xE4hlt werden, die\ + \ m\xF6glichst wenige Daten ver\xE4ndert." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a10 + ref_id: DER.2.2.A10.3 + description: "Die Originaldatentr\xE4ger SOLLTEN versiegelt aufbewahrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a10 + ref_id: DER.2.2.A10.4 + description: "Es SOLLTEN schriftlich dokumentierte kryptografische Pr\xFCfsummen\ + \ von den Datentr\xE4gern angelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a10.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a10 + ref_id: DER.2.2.A10.5 + description: Diese SOLLTEN getrennt und in mehreren Kopien aufbewahrt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a10.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a10 + ref_id: DER.2.2.A10.6 + description: "Zudem SOLLTE sichergestellt sein, dass die so dokumentierten Pr\xFC\ + fsummen nicht ver\xE4ndert werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a10.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a10 + ref_id: DER.2.2.A10.7 + description: "Damit die Daten gerichtlich verwertbar sind, SOLLTE ein Zeuge\ + \ best\xE4tigen, wie dabei vorgegangen wurde und die erstellten Pr\xFCfsummen\ + \ beglaubigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a10.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a10 + ref_id: DER.2.2.A10.8 + description: "Es SOLLTE ausschlie\xDFlich geschultes Personal (siehe DER.2.2.A6\ + \ Schulung des Personals f\xFCr die Umsetzung der forensischen Sicherung)\ + \ oder ein Forensik-Dienstleistender (siehe DER.2.2.A3 Vorauswahl von Forensik-Dienstleistenden)\ + \ eingesetzt werden, um Beweise forensisch zu sichern." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2 + ref_id: DER.2.2.A11 + name: Dokumentation der Beweissicherung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a11 + ref_id: DER.2.2.A11.1 + description: "Wenn Beweise forensisch gesichert werden, SOLLTEN alle durchgef\xFC\ + hrten Schritte dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a11 + ref_id: DER.2.2.A11.2 + description: "Die Dokumentation SOLLTE l\xFCckenlos nachweisen, wie mit den\ + \ gesicherten Originalbeweismitteln umgegangen wurde." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a11 + ref_id: DER.2.2.A11.3 + description: "Auch SOLLTE dokumentiert werden, welche Methoden eingesetzt wurden\ + \ und warum sich die Verantwortlichen daf\xFCr entschieden haben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2 + ref_id: DER.2.2.A12 + name: "Sichere Verwahrung von Originaldatentr\xE4gern und Beweismitteln" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a12 + ref_id: DER.2.2.A12.1 + description: "Alle sichergestellten Originaldatentr\xE4ger SOLLTEN physisch\ + \ so gelagert werden, dass nur ermittelnde und namentlich bekannte Mitarbeitende\ + \ darauf zugreifen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a12 + ref_id: DER.2.2.A12.2 + description: "Wenn Originaldatentr\xE4ger und Beweismittel eingelagert werden,\ + \ SOLLTE festgelegt werden, wie lange sie aufzubewahren sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a12 + ref_id: DER.2.2.A12.3 + description: "Nachdem die Frist abgelaufen ist, SOLLTE gepr\xFCft werden, ob\ + \ die Datentr\xE4ger und Beweise noch weiter aufbewahrt werden m\xFCssen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a12 + ref_id: DER.2.2.A12.4 + description: "Nach der Aufbewahrungsfrist SOLLTEN Beweismittel sicher gel\xF6\ + scht oder vernichtet und Originaldatentr\xE4ger zur\xFCckgegeben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2 + ref_id: DER.2.2.A13 + name: "Rahmenvertr\xE4ge mit externen Dienstleistenden" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a13 + ref_id: DER.2.2.A13.1 + description: "Die Institution SOLLTE Abrufvereinbarungen bzw. Rahmenvertr\xE4\ + ge mit Forensik-Dienstleistenden abschlie\xDFen, damit IT-Sicherheitsvorf\xE4\ + lle schneller forensisch untersucht werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2 + ref_id: DER.2.2.A14 + name: "Festlegung von Standardverfahren f\xFCr die Beweissicherung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a14 + ref_id: DER.2.2.A14.1 + description: "F\xFCr Anwendungen, IT-Systeme bzw. IT-Systemgruppen mit hohem\ + \ Schutzbedarf sowie f\xFCr verbreitete Systemkonfigurationen SOLLTEN Standardverfahren\ + \ erstellt werden, die es erlauben, fl\xFCchtige und nichtfl\xFCchtige Daten\ + \ m\xF6glichst vollst\xE4ndig forensisch zu sichern." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a14 + ref_id: DER.2.2.A14.2 + description: "Die jeweiligen systemspezifischen Standardverfahren SOLLTEN durch\ + \ erprobte und m\xF6glichst automatisierte Prozesse umgesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a14 + ref_id: DER.2.2.A14.3 + description: "Sie SOLLTEN zudem durch Checklisten und technische Hilfsmittel\ + \ unterst\xFCtzt werden, z. B. durch Software, Software-Tools auf mobilen\ + \ Datentr\xE4gern und IT-forensische Hardware wie Schreibblocker." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2 + ref_id: DER.2.2.A15 + name: "Durchf\xFChrung von \xDCbungen zur Beweissicherung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.2.a15 + ref_id: DER.2.2.A15.1 + description: "Alle an forensischen Analysen beteiligten Mitarbeitenden SOLLTEN\ + \ regelm\xE4\xDFig in Form von \xDCbungen trainieren, wie Beweise bei einem\ + \ IT-Sicherheitsvorfall zu sichern sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der + ref_id: DER.2.3 + name: "Bereinigung weitreichender Sicherheitsvorf\xE4lle" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3 + ref_id: DER.2.3.A1 + name: Einrichtung eines Leitungsgremiums + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a1 + ref_id: DER.2.3.A1.1 + description: "Um einen APT-Vorfall zu bereinigen, MUSS ein Leitungsgremium eingerichtet\ + \ werden, das alle notwendigen Aktivit\xE4ten plant, koordiniert und \xFC\ + berwacht." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a1 + ref_id: DER.2.3.A1.2 + description: "Dem Gremium M\xDCSSEN alle f\xFCr die Aufgaben erforderlichen\ + \ Weisungsbefugnisse \xFCbertragen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a1 + ref_id: DER.2.3.A1.3 + description: Wenn ein solches Leitungsgremium zu dem Zeitpunkt, als der APT-Vorfall + detektiert und klassifiziert wurde, bereits eingerichtet ist, SOLLTE dasselbe + Gremium auch die Bereinigung planen und leiten. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a1 + ref_id: DER.2.3.A1.4 + description: Wurden schon spezialisierte Forensikdienstleistende hinzugezogen, + um den APT-Vorfall zu analysieren, SOLLTEN diese auch bei der Bereinigung + des Vorfalls miteinbezogen werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a1 + ref_id: DER.2.3.A1.5 + description: "Ist die IT zu stark kompromittiert, um weiter betrieben zu werden,\ + \ oder sind die notwendigen Bereinigungsma\xDFnahmen sehr umfangreich, SOLLTE\ + \ gepr\xFCft werden, ob ein Krisenstab eingerichtet werden soll." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a1 + ref_id: DER.2.3.A1.6 + description: "In diesem Fall MUSS das Leitungsgremium die Bereinigungsma\xDF\ + nahmen \xFCberwachen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a1.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a1 + ref_id: DER.2.3.A1.7 + description: Das Leitungsgremium MUSS dann dem Krisenstab berichten. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3 + ref_id: DER.2.3.A2 + name: "Entscheidung f\xFCr eine Bereinigungsstrategie" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2 + ref_id: DER.2.3.A2.1 + description: "Bevor ein APT-Vorfall tats\xE4chlich bereinigt wird, MUSS das\ + \ Leitungsgremium eine Bereinigungsstrategie festlegen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2 + ref_id: DER.2.3.A2.2 + description: "Dabei MUSS insbesondere entschieden werden, ob die Schadsoftware\ + \ von kompromittierten IT-Systemen entfernt werden kann, ob IT-Systeme neu\ + \ installiert werden m\xFCssen oder ob IT-Systeme inklusive der Hardware komplett\ + \ ausgetauscht werden sollen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2 + ref_id: DER.2.3.A2.3 + description: Weiterhin MUSS festgelegt werden, welche IT-Systeme bereinigt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2 + ref_id: DER.2.3.A2.4 + description: "Grundlage f\xFCr diese Entscheidungen M\xDCSSEN die Ergebnisse\ + \ einer zuvor durchgef\xFChrten forensischen Untersuchung sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2 + ref_id: DER.2.3.A2.5 + description: Es SOLLTEN alle betroffenen IT-Systeme neu installiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2 + ref_id: DER.2.3.A2.6 + description: "Danach M\xDCSSEN die Wiederanlaufpl\xE4ne der Institution benutzt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2 + ref_id: DER.2.3.A2.7 + description: "Bevor jedoch Backups wieder eingespielt werden, MUSS durch forensische\ + \ Untersuchungen sichergestellt sein, dass dadurch keine manipulierten Daten\ + \ oder Programme auf das neu installierte IT-System \xFCbertragen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2 + ref_id: DER.2.3.A2.8 + description: Entscheidet sich eine Institution dagegen, alle IT-Systeme neu + zu installieren, MUSS eine gezielte APT-Bereinigung umgesetzt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a2 + ref_id: DER.2.3.A2.9 + description: "Um das Risiko \xFCbersehener Hintert\xFCren zu minimieren, M\xDC\ + SSEN nach der Bereinigung die IT-Systeme gezielt daraufhin \xFCberwacht werden,\ + \ ob sie noch mit den Angreifenden kommunizieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3 + ref_id: DER.2.3.A3 + name: Isolierung der betroffenen Netzabschnitte + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a3 + ref_id: DER.2.3.A3.1 + description: "Die von einem APT-Vorfall betroffenen Netzabschnitte M\xDCSSEN\ + \ vollst\xE4ndig isoliert werden (Cut-Off)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a3 + ref_id: DER.2.3.A3.2 + description: "Insbesondere M\xDCSSEN die betroffenen Netzabschnitte vom Internet\ + \ getrennt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a3 + ref_id: DER.2.3.A3.3 + description: "Um die Angreifenden effektiv auszusperren und zu verhindern, dass\ + \ sie ihre Spuren verwischen oder noch weitere IT-Systeme sabotieren, M\xDC\ + SSEN die Netzabschnitte auf einen Schlag isoliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a3 + ref_id: DER.2.3.A3.4 + description: "Welche Netzabschnitte isoliert werden m\xFCssen, MUSS vorher durch\ + \ eine forensische Analyse festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a3 + ref_id: DER.2.3.A3.5 + description: "Es M\xDCSSEN dabei s\xE4mtliche betroffenen Abschnitte identifiziert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a3.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a3 + ref_id: DER.2.3.A3.6 + description: "Kann das nicht sichergestellt werden, M\xDCSSEN alle verd\xE4\ + chtigen sowie alle auch nur theoretisch infizierten Netzabschnitte isoliert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a3.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a3 + ref_id: DER.2.3.A3.7 + description: "Um Netzabschnitte effektiv isolieren zu k\xF6nnen, M\xDCSSEN s\xE4\ + mtliche lokalen Internetanschl\xFCsse, z. B. zus\xE4tzliche DSL-Anschl\xFC\ + sse in einzelnen Subnetzen, m\xF6glichst vollst\xE4ndig erfasst und ebenfalls\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3 + ref_id: DER.2.3.A4 + name: "Sperrung und \xC4nderung von Zugangsdaten und kryptografischen Schl\xFC\ + sseln" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a4 + ref_id: DER.2.3.A4.1 + description: "Alle Zugangsdaten M\xDCSSEN ge\xE4ndert werden, nachdem das Netz\ + \ isoliert wurde." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a4 + ref_id: DER.2.3.A4.2 + description: "Weiterhin M\xDCSSEN auch zentral verwaltete Zugangsdaten zur\xFC\ + ckgesetzt werden, z. B. in Active-Directory-Umgebungen oder wenn das Lightweight\ + \ Directory Access Protocol (LDAP) benutzt wurde." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a4 + ref_id: DER.2.3.A4.3 + description: "Ist der zentrale Authentisierungsserver (Domaincontroller oder\ + \ LDAP-Server) kompromittiert, M\xDCSSEN s\xE4mtliche dort vorhandenen Zug\xE4\ + nge gesperrt und ihre Passw\xF6rter ausgetauscht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a4 + ref_id: DER.2.3.A4.4 + description: "Dies M\xDCSSEN erfahrene Administrierende umsetzen, falls erforderlich,\ + \ auch mithilfe interner oder externer Expertise aus dem Bereich Forensik." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a4 + ref_id: DER.2.3.A4.5 + description: "Wurden TLS-Schl\xFCssel oder eine interne Certification Authority\ + \ (CA) durch den APT-Angriff kompromittiert, M\xDCSSEN entsprechende Schl\xFC\ + ssel, Zertifikate und Infrastrukturen neu erzeugt und verteilt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a4.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a4 + ref_id: DER.2.3.A4.6 + description: "Auch M\xDCSSEN die kompromittierten Schl\xFCssel und Zertifikate\ + \ zuverl\xE4ssig gesperrt und zur\xFCckgerufen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3 + ref_id: DER.2.3.A5 + name: "Schlie\xDFen des initialen Einbruchswegs" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a5 + ref_id: DER.2.3.A5.1 + description: Wurde durch eine forensische Untersuchung herausgefunden, dass + die Angreifenden durch eine technische Schwachstelle in das Netz der Institution + eingedrungen sind, MUSS diese Schwachstelle geschlossen werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a5 + ref_id: DER.2.3.A5.2 + description: "Konnten die Angreifenden die IT-Systeme durch menschliche Fehlhandlungen\ + \ kompromittieren, M\xDCSSEN organisatorische, personelle und technische Ma\xDF\ + nahmen ergriffen werden, um \xE4hnliche Vorf\xE4lle k\xFCnftig zu verhindern." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3 + ref_id: DER.2.3.A6 + name: "R\xFCckf\xFChrung in den Produktivbetrieb" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a6 + ref_id: DER.2.3.A6.1 + description: "Nachdem das Netz erfolgreich bereinigt wurde, M\xDCSSEN die IT-Systeme\ + \ geordnet in den Produktivbetrieb zur\xFCckgef\xFChrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a6 + ref_id: DER.2.3.A6.2 + description: "Dabei M\xDCSSEN s\xE4mtliche zuvor eingesetzten IT-Systeme und\ + \ installierten Programme, mit denen der Angriff beobachtet und analysiert\ + \ wurde, entweder entfernt oder aber in den Produktivbetrieb \xFCberf\xFC\ + hrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a6 + ref_id: DER.2.3.A6.3 + description: "Dasselbe MUSS mit Kommunikations- und Kollaborationssystemen erfolgen,\ + \ die f\xFCr die Bereinigung angeschafft wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a6 + ref_id: DER.2.3.A6.4 + description: "Beweismittel und ausgesonderte IT-Systeme M\xDCSSEN entweder sicher\ + \ gel\xF6scht bzw. vernichtet oder aber geeignet archiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3 + ref_id: DER.2.3.A7 + name: "Gezielte Systemh\xE4rtung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a7 + ref_id: DER.2.3.A7.1 + description: "Nach einem APT-Angriff SOLLTEN alle betroffenen IT-Systeme geh\xE4\ + rtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a7 + ref_id: DER.2.3.A7.2 + description: "Grundlage hierf\xFCr SOLLTEN die Ergebnisse der forensischen Untersuchungen\ + \ sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a7 + ref_id: DER.2.3.A7.3 + description: "Zus\xE4tzlich SOLLTE erneut gepr\xFCft werden, ob die betroffene\ + \ Umgebung noch sicher ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a7 + ref_id: DER.2.3.A7.4 + description: "Wenn m\xF6glich, SOLLTEN IT-Systeme bereits w\xE4hrend der Bereinigung\ + \ geh\xE4rtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a7 + ref_id: DER.2.3.A7.5 + description: "Ma\xDFnahmen, die sich nicht kurzfristig durchf\xFChren lassen,\ + \ SOLLTEN in einen Ma\xDFnahmenplan aufgenommen und mittelfristig umgesetzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a7.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a7 + ref_id: DER.2.3.A7.6 + description: "Der oder die ISB SOLLTE den Plan aufzustellen und pr\xFCfen, ob\ + \ er korrekt umgesetzt wurde." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3 + ref_id: DER.2.3.A8 + name: "Etablierung sicherer, unabh\xE4ngiger Kommunikationskan\xE4le" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a8 + ref_id: DER.2.3.A8.1 + description: "Es SOLLTEN sichere Kommunikationskan\xE4le f\xFCr das Leitungsgremium\ + \ und die mit der Bereinigung beauftragten Mitarbeitenden etabliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a8 + ref_id: DER.2.3.A8.2 + description: "Wird auf Kommunikationsdienste Dritter zur\xFCckgegriffen, SOLLTE\ + \ auch hier darauf geachtet werden, dass ein sicherer Kommunikationskanal\ + \ ausgew\xE4hlt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3 + ref_id: DER.2.3.A9 + name: Hardwaretausch betroffener IT-Systeme + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a9 + ref_id: DER.2.3.A9.1 + description: Es SOLLTE erwogen werden, nach einem APT-Vorfall die Hardware komplett + auszutauschen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a9 + ref_id: DER.2.3.A9.2 + description: "Auch wenn nach einer Bereinigung bei einzelnen IT-Systemen noch\ + \ verd\xE4chtiges Verhalten beobachtet wird, SOLLTEN die betroffenen IT-Systeme\ + \ ausgetauscht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3 + ref_id: DER.2.3.A10 + name: Umbauten zur Erschwerung eines erneuten Angriffs durch dieselben Angreifenden + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a10 + ref_id: DER.2.3.A10.1 + description: "Damit dieselben Angreifenden nicht noch einmal einen APT-Angriff\ + \ auf die IT-Systeme der Institution durchf\xFChren k\xF6nnen, SOLLTE der\ + \ interne Aufbau der Netzumgebung ge\xE4ndert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.2.3.a10 + ref_id: DER.2.3.A10.2 + description: "Au\xDFerdem SOLLTEN Mechanismen etabliert werden, mit denen sich\ + \ wiederkehrende Angreifende schnell detektieren lassen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der + ref_id: DER.3.1 + name: Audits und Revisionen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 + ref_id: DER.3.1.A1 + name: Definition von Verantwortlichkeiten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a1 + ref_id: DER.3.1.A1.1 + description: "Die Institutionsleitung MUSS eine Person benennen, die daf\xFC\ + r zust\xE4ndig ist, Audits bzw. Revisionen zu planen und zu initiieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a1 + ref_id: DER.3.1.A1.2 + description: Dabei MUSS die Institutionsleitung darauf achten, dass keine Interessenkonflikte + entstehen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a1 + ref_id: DER.3.1.A1.3 + description: "Die Institution MUSS die Ergebnisse der Audits und Revisionen\ + \ dazu verwenden, um die Sicherheitsma\xDFnahmen zu verbessern." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 + ref_id: DER.3.1.A2 + name: Vorbereitung eines Audits oder einer Revision + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a2 + ref_id: DER.3.1.A2.1 + description: "Vor einem Audit oder einer Revision MUSS die Institution den Pr\xFC\ + fgegenstand und die Pr\xFCfungsziele festlegen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a2 + ref_id: DER.3.1.A2.2 + description: Das betroffene Personal MUSS unterrichtet werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a2 + ref_id: DER.3.1.A2.3 + description: "Abh\xE4ngig vom Untersuchungsgegenstand MUSS die Personalvertretung\ + \ \xFCber das geplante Audit oder die geplante Revision informiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 + ref_id: DER.3.1.A3 + name: "Durchf\xFChrung eines Audits" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a3 + ref_id: DER.3.1.A3.1 + description: "Bei einem Audit MUSS das Auditteam pr\xFCfen, ob die Anforderungen\ + \ aus Richtlinien, Normen, Standards und anderen relevanten Vorgaben erf\xFC\ + llt sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a3 + ref_id: DER.3.1.A3.2 + description: "Die gepr\xFCfte Institution MUSS die Anforderungen kennen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a3 + ref_id: DER.3.1.A3.3 + description: "Das Auditteam MUSS bei jedem Audit eine Dokumentenpr\xFCfung sowie\ + \ eine Vor-Ort-Pr\xFCfung durchf\xFChren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a3 + ref_id: DER.3.1.A3.4 + description: "Beim Vor-Ort-Audit MUSS das Auditteam sicherstellen, dass es niemals\ + \ selbst aktiv in Systeme eingreift und keine Handlungsanweisungen zu \xC4\ + nderungen am Pr\xFCfgegenstand erteilt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a3 + ref_id: DER.3.1.A3.5 + description: "Das Auditteam MUSS s\xE4mtliche Ergebnisse eines Audits schriftlich\ + \ dokumentieren und in einem Auditbericht zusammenfassen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a3.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a3 + ref_id: DER.3.1.A3.6 + description: "Der Auditbericht MUSS der zust\xE4ndigen Stelle in der Institution\ + \ zeitnah \xFCbermittelt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 + ref_id: DER.3.1.A4 + name: "Durchf\xFChrung einer Revision" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a4 + ref_id: DER.3.1.A4.1 + description: "Bei einer Revision MUSS das Revisionsteam pr\xFCfen, ob die Anforderungen\ + \ vollst\xE4ndig, korrekt, angemessen und aktuell umgesetzt sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a4 + ref_id: DER.3.1.A4.2 + description: "Die Institution MUSS festgestellte Abweichungen so schnell wie\ + \ m\xF6glich korrigieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a4 + ref_id: DER.3.1.A4.3 + description: "Die jeweiligen Revisionen M\xDCSSEN mit einer \xC4nderungsverfolgung\ + \ dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 + ref_id: DER.3.1.A5 + name: Integration in den Informationssicherheitsprozess + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a5 + ref_id: DER.3.1.A5.1 + description: Die Institution SOLLTE eine Richtlinie zur internen ISMS-Auditierung + vorgeben. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a5 + ref_id: DER.3.1.A5.2 + description: "Au\xDFerdem sollte sie eine Richtlinie zur Lenkung von Korrekturma\xDF\ + nahmen erstellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a5 + ref_id: DER.3.1.A5.3 + description: "Die Richtlinien SOLLTEN vorgeben, dass regelm\xE4\xDFige Audits\ + \ und Revisionen ein Teil des Sicherheitsprozesses sind und durch diesen initiiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a5 + ref_id: DER.3.1.A5.4 + description: "Der oder die ISB SOLLTE sicherstellen, dass die Ergebnisse der\ + \ Audits und Revisionen in das ISMS zur\xFCckflie\xDFen und dieses verbessern." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a5.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a5 + ref_id: DER.3.1.A5.5 + description: "Der oder die ISB SOLLTE die durchgef\xFChrten Audits und Revisionen\ + \ und deren Ergebnisse in den regelm\xE4\xDFigen Bericht an die Institutionsleitung\ + \ aufnehmen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a5.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a5 + ref_id: DER.3.1.A5.6 + description: "Auch SOLLTE dort festgehalten werden, welche M\xE4ngel beseitigt\ + \ wurden und wie die Qualit\xE4t verbessert wurde." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 + ref_id: DER.3.1.A6 + name: "Definition der Pr\xFCfungsgrundlage und eines einheitlichen Bewertungsschemas" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a6 + ref_id: DER.3.1.A6.1 + description: "Die Institution SOLLTE eine einheitliche Pr\xFCfungsgrundlage\ + \ f\xFCr Audits festlegen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a6 + ref_id: DER.3.1.A6.2 + description: "F\xFCr die Bewertung der Umsetzung von Anforderungen SOLLTE ein\ + \ einheitliches Bewertungsschema festgelegt und dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 + ref_id: DER.3.1.A7 + name: Erstellung eines Auditprogramms + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a7 + ref_id: DER.3.1.A7.1 + description: "Der oder die ISB SOLLTE ein Auditprogramm f\xFCr mehrere Jahre\ + \ aufstellen, das alle durchzuf\xFChrenden Audits und Revisionen erfasst." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a7 + ref_id: DER.3.1.A7.2 + description: "F\xFCr das Auditprogramm SOLLTEN Ziele definiert werden, die sich\ + \ insbesondere aus den Institutionszielen sowie aus den Informationssicherheitszielen\ + \ ableiten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a7 + ref_id: DER.3.1.A7.3 + description: "Der oder die ISB SOLLTE Reserven f\xFCr unvorhergesehene Ereignisse\ + \ in der j\xE4hrlichen Ressourcenplanung vorsehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a7 + ref_id: DER.3.1.A7.4 + description: Das Auditprogramm SOLLTE einem eigenen kontinuierlichen Verbesserungsprozess + unterliegen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 + ref_id: DER.3.1.A8 + name: Erstellung einer Revisionsliste + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a8 + ref_id: DER.3.1.A8.1 + description: Der oder die ISB SOLLTE eine oder mehrere Revisionslisten pflegen, + die den aktuellen Stand der Revisionsobjekte sowie die geplanten Revisionen + dokumentieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 + ref_id: DER.3.1.A9 + name: Auswahl eines geeigneten Audit- oder Revionsteams + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9 + ref_id: DER.3.1.A9.1 + description: "Die Institution SOLLTE f\xFCr jedes Audit bzw. f\xFCr jede Revision\ + \ ein geeignetes Team zusammenstellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9 + ref_id: DER.3.1.A9.2 + description: Es SOLLTE eine Person benannt werden, die das Audit oder die Revision + leitet. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9 + ref_id: DER.3.1.A9.3 + description: "Diese SOLLTE die Gesamtverantwortung f\xFCr die Durchf\xFChrung\ + \ der Audits bzw. der Revisionen tragen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9 + ref_id: DER.3.1.A9.4 + description: "Die Gr\xF6\xDFe des Audit- bzw. Revisionsteams SOLLTE dem Pr\xFC\ + fbereich entsprechen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9 + ref_id: DER.3.1.A9.5 + description: "Die Institution SOLLTE insbesondere die Kompetenzanforderungen\ + \ der Pr\xFCfthemen sowie die Gr\xF6\xDFe und die \xF6rtliche Verteilung des\ + \ Pr\xFCfbereichs ber\xFCcksichtigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9 + ref_id: DER.3.1.A9.6 + description: Die Mitglieder des Audit- bzw. Revisionsteams SOLLTEN angemessen + qualifiziert sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9 + ref_id: DER.3.1.A9.7 + description: "Die Neutralit\xE4t des Auditteams SOLLTE sichergestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9 + ref_id: DER.3.1.A9.8 + description: "Dar\xFCber hinaus SOLLTE auch das Revisionsteam unabh\xE4ngig\ + \ sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a9 + ref_id: DER.3.1.A9.9 + description: "Werden externe Dienstleistende mit einem Audit oder einer Revision\ + \ beauftragt, SOLLTEN diese auf ihre Unabh\xE4ngigkeit hin \xFCberpr\xFCft\ + \ und zur Verschwiegenheit verpflichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 + ref_id: DER.3.1.A10 + name: Erstellung eines Audit- oder Revisionsplans + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a10 + ref_id: DER.3.1.A10.1 + description: "Vor einem Audit oder einer gr\xF6\xDFeren Revision SOLLTE ein\ + \ Audit- bzw. Revisionsplan erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a10 + ref_id: DER.3.1.A10.2 + description: "Bei Audits SOLLTE der Auditplan Teil des abschlie\xDFenden Auditberichts\ + \ sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a10 + ref_id: DER.3.1.A10.3 + description: "Der Auditplan SOLLTE w\xE4hrend des gesamten Audits fortgeschrieben\ + \ und bei Bedarf angepasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a10 + ref_id: DER.3.1.A10.4 + description: Kleinere Revisionen SOLLTEN anhand der Revisionsliste geplant werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a10.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a10 + ref_id: DER.3.1.A10.5 + description: "Die Institution SOLLTE gen\xFCgend Ressourcen f\xFCr das Audit-\ + \ bzw. Revisionsteam vorsehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 + ref_id: DER.3.1.A11 + name: "Kommunikation und Verhalten w\xE4hrend der Pr\xFCfungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a11 + ref_id: DER.3.1.A11.1 + description: "Das Auditteam bzw. Revisionsteam SOLLTE klare Regelungen daf\xFC\ + r aufstellen, wie das Audit- bzw. Revisionsteam und die Mitarbeitenden der\ + \ zu pr\xFCfenden Institution bzw. Abteilung miteinander Informationen austauschen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a11 + ref_id: DER.3.1.A11.2 + description: "Das Auditteam SOLLTE durch geeignete Ma\xDFnahmen sicherstellen,\ + \ dass die bei einem Audit ausgetauschten Informationen auch vertraulich und\ + \ integer bleiben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a11 + ref_id: DER.3.1.A11.3 + description: "Personen, die das Audit begleiten, SOLLTEN NICHT die Pr\xFCfungen\ + \ beeinflussen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a11.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a11 + ref_id: DER.3.1.A11.4 + description: Zudem SOLLTEN sie zur Vertraulichkeit verpflichtet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 + ref_id: DER.3.1.A12 + name: "Durchf\xFChrung eines Auftaktgespr\xE4chs" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a12 + ref_id: DER.3.1.A12.1 + description: "Das Auditteam bzw. das Revisionsteam SOLLTE ein Auftaktgespr\xE4\ + ch mit den betreffenden Ansprechpartnern oder Ansprechpartnerinnen f\xFChren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a12 + ref_id: DER.3.1.A12.2 + description: "Das Audit- bzw. Revisionsverfahren SOLLTE erl\xE4utert und die\ + \ Rahmenbedingungen der Vor-Ort-Pr\xFCfung abgestimmt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a12 + ref_id: DER.3.1.A12.3 + description: "Die jeweiligen Verantwortlichen SOLLTEN dies best\xE4tigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 + ref_id: DER.3.1.A13 + name: "Sichtung und Pr\xFCfung der Dokumente" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a13 + ref_id: DER.3.1.A13.1 + description: "Die Dokumente SOLLTEN durch das Auditteam anhand der im Pr\xFC\ + fplan festgelegten Anforderungen gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a13 + ref_id: DER.3.1.A13.2 + description: "Alle relevanten Dokumente SOLLTEN daraufhin gepr\xFCft werden,\ + \ ob sie aktuell, vollst\xE4ndig und nachvollziehbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a13 + ref_id: DER.3.1.A13.3 + description: "Die Ergebnisse der Dokumentenpr\xFCfung SOLLTEN dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a13.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a13 + ref_id: DER.3.1.A13.4 + description: "Die Ergebnisse SOLLTEN auch in die Vor-Ort-Pr\xFCfung einflie\xDF\ + en, soweit dies sinnvoll ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 + ref_id: DER.3.1.A14 + name: Auswahl von Stichproben + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a14 + ref_id: DER.3.1.A14.1 + description: "Das Auditteam SOLLTE die Stichproben f\xFCr die Vor-Ort-Pr\xFC\ + fung risikoorientiert ausw\xE4hlen und nachvollziehbar begr\xFCnden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a14 + ref_id: DER.3.1.A14.2 + description: "Die ausgew\xE4hlten Stichproben SOLLTEN dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a14 + ref_id: DER.3.1.A14.3 + description: "Wird das Audit auf der Basis von Baustein-Zielobjekten und Anforderungen\ + \ durchgef\xFChrt, SOLLTEN diese anhand eines vorher definierten Verfahrens\ + \ ausgew\xE4hlt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a14.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a14 + ref_id: DER.3.1.A14.4 + description: "Bei der Auswahl von Stichproben SOLLTEN auch die Ergebnisse vorangegangener\ + \ Audits ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 + ref_id: DER.3.1.A15 + name: "Auswahl von geeigneten Pr\xFCfmethoden" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a15 + ref_id: DER.3.1.A15.1 + description: "Das Auditteam SOLLTE f\xFCr die jeweils zu pr\xFCfenden Sachverhalte\ + \ geeignete Methoden einsetzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a15 + ref_id: DER.3.1.A15.2 + description: "Au\xDFerdem SOLLTE darauf geachtet werden, dass alle Pr\xFCfungen\ + \ verh\xE4ltnism\xE4\xDFig sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 + ref_id: DER.3.1.A16 + name: "Ablaufplan der Vor-Ort-Pr\xFCfung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a16 + ref_id: DER.3.1.A16.1 + description: "Das Auditteam SOLLTE den Ablaufplan f\xFCr die Vor-Ort-Pr\xFC\ + fung gemeinsam mit der Institution erarbeiten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a16 + ref_id: DER.3.1.A16.2 + description: Die Ergebnisse SOLLTEN im Auditplan dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 + ref_id: DER.3.1.A17 + name: "Durchf\xFChrung der Vor-Ort-Pr\xFCfung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a17 + ref_id: DER.3.1.A17.1 + description: "Zu Beginn der Vor-Ort-Pr\xFCfung SOLLTE das Auditteam ein Er\xF6\ + ffnungsgespr\xE4ch mit der betreffenden Institution f\xFChren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a17 + ref_id: DER.3.1.A17.2 + description: "Danach SOLLTEN alle im Pr\xFCfplan festgelegten Anforderungen\ + \ mit den vorgesehenen Pr\xFCfmethoden kontrolliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a17 + ref_id: DER.3.1.A17.3 + description: "Weicht eine ausgew\xE4hlte Stichprobe vom dokumentierten Status\ + \ ab, SOLLTE die Stichprobe bedarfsorientiert erweitert werden, bis der Sachverhalt\ + \ gekl\xE4rt ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a17.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a17 + ref_id: DER.3.1.A17.4 + description: "Nach der Pr\xFCfung SOLLTE das Auditteam ein Abschlussgespr\xE4\ + ch f\xFChren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a17.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a17 + ref_id: DER.3.1.A17.5 + description: Darin SOLLTE es kurz die Ergebnisse ohne Bewertung sowie die weitere + Vorgehensweise darstellen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a17.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a17 + ref_id: DER.3.1.A17.6 + description: "Das Gespr\xE4ch SOLLTE protokolliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 + ref_id: DER.3.1.A18 + name: "Durchf\xFChrung von Interviews" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a18 + ref_id: DER.3.1.A18.1 + description: "Das Auditteam SOLLTE strukturierte Interviews f\xFChren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a18 + ref_id: DER.3.1.A18.2 + description: "Die Fragen SOLLTEN knapp, pr\xE4zise und leicht verst\xE4ndlich\ + \ formuliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a18 + ref_id: DER.3.1.A18.3 + description: Zudem SOLLTEN geeignete Fragetechniken eingesetzt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 + ref_id: DER.3.1.A19 + name: "\xDCberpr\xFCfung des Risikobehandlungsplans" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a19 + ref_id: DER.3.1.A19.1 + description: "Das Auditteam SOLLTE pr\xFCfen, ob die verbleibenden Restrisiken\ + \ f\xFCr den Informationsverbund angemessen und tragbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a19 + ref_id: DER.3.1.A19.2 + description: "Es SOLLTE au\xDFerdem pr\xFCfen, ob sie verbindlich durch die\ + \ Institutionsleitung getragen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a19.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a19 + ref_id: DER.3.1.A19.3 + description: "Ma\xDFnahmen, die grundlegend zur Informationssicherheit der gesamten\ + \ Institution beitragen, D\xDCRFEN NICHT in diese Risiko\xFCbernahme einflie\xDF\ + en." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a19.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a19 + ref_id: DER.3.1.A19.4 + description: "Das Auditteam SOLLTE stichprobenartig verifizieren, ob bzw. wie\ + \ weit die im Risikobehandlungsplan festgelegten Ma\xDFnahmen umgesetzt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 + ref_id: DER.3.1.A20 + name: "Durchf\xFChrung einer Abschlussbesprechung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a20 + ref_id: DER.3.1.A20.1 + description: "Das Auditteam SOLLTE mit der auditierten Institution eine Abschlussbesprechung\ + \ durchf\xFChren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a20.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a20 + ref_id: DER.3.1.A20.2 + description: "Darin SOLLTEN die vorl\xE4ufigen Auditergebnisse dargelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a20.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a20 + ref_id: DER.3.1.A20.3 + description: "Die weiteren T\xE4tigkeiten SOLLTEN vorgestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 + ref_id: DER.3.1.A21 + name: "Auswertung der Pr\xFCfungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a21 + ref_id: DER.3.1.A21.1 + description: "Nach der Vor-Ort-Pr\xFCfung SOLLTE das Auditteam die gewonnenen\ + \ Informationen weiter konsolidieren und auswerten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a21.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a21 + ref_id: DER.3.1.A21.2 + description: "Nachdem auch nachgeforderte Dokumentationen und zus\xE4tzliche\ + \ Informationen ausgewertet wurden, SOLLTEN die gepr\xFCften Ma\xDFnahmen\ + \ endg\xFCltig bewertet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a21.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a21 + ref_id: DER.3.1.A21.3 + description: "Um die nachgeforderten Dokumentationen bereitstellen zu k\xF6\ + nnen, SOLLTE das Auditteam der Institution ein ausreichendes Zeitfenster gew\xE4\ + hren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a21.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a21 + ref_id: DER.3.1.A21.4 + description: Dokumente, die bis zum vereinbarten Termin nicht eingegangen sind, + SOLLTEN als nicht existent gewertet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 + ref_id: DER.3.1.A22 + name: Erstellung eines Auditberichts + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a22 + ref_id: DER.3.1.A22.1 + description: "Das Auditteam SOLLTE die gewonnenen Erkenntnisse in einen Auditbericht\ + \ \xFCberf\xFChren und dort nachvollziehbar dokumentieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a22.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a22 + ref_id: DER.3.1.A22.2 + description: "Die gepr\xFCfte Institution SOLLTE sicherstellen, dass alle betroffenen\ + \ Stellen innerhalb einer angemessenen Frist die f\xFCr sie wichtigen und\ + \ notwendigen Passagen des Auditberichts erhalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a23 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 + ref_id: DER.3.1.A23 + name: Dokumentation der Revisionsergebnisse + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a23.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a23 + ref_id: DER.3.1.A23.1 + description: Die Ergebnisse einer Revision SOLLTEN einheitlich durch das Revisionsteam + dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a24 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 + ref_id: DER.3.1.A24 + name: Abschluss des Audits oder der Revision + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a24.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a24 + ref_id: DER.3.1.A24.1 + description: "Nach dem Audit bzw. der Revision SOLLTE das Auditteam alle relevanten\ + \ Dokumente, Datentr\xE4ger und IT-Systeme zur\xFCckgeben oder vernichten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a24.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a24 + ref_id: DER.3.1.A24.2 + description: "Das SOLLTE mit der gepr\xFCften Institution abgestimmt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a24.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a24 + ref_id: DER.3.1.A24.3 + description: "Aufbewahrungspflichten aus gesetzlichen oder anderen verbindlichen\ + \ Anforderungen SOLLTEN hierbei entsprechend ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a24.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a24 + ref_id: DER.3.1.A24.4 + description: "Der oder die ISB SOLLTE alle f\xFCr das Audit- oder Revisionsteam\ + \ genehmigten Zugriffe wieder deaktivieren oder l\xF6schen lassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a24.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a24 + ref_id: DER.3.1.A24.5 + description: "Mit der gepr\xFCften Institution SOLLTE vereinbart werden, wie\ + \ mit den Ergebnissen umzugehen ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a24.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a24 + ref_id: DER.3.1.A24.6 + description: "Dabei SOLLTE auch festgelegt werden, dass die Auditergebnisse\ + \ nicht ohne Genehmigung der gepr\xFCften Institution an andere Institutionen\ + \ weitergeleitet werden d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a25 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 + ref_id: DER.3.1.A25 + name: Nachbereitung eines Audits + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a25.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a25 + ref_id: DER.3.1.A25.1 + description: "Die Institution SOLLTE die im Auditbericht oder bei einer Revision\ + \ festgestellten Abweichungen oder M\xE4ngel in einer angemessenen Zeit abstellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a25.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a25 + ref_id: DER.3.1.A25.2 + description: "Die durchzuf\xFChrenden Korrekturma\xDFnahmen inklusive Zeitpunkt\ + \ und Zust\xE4ndigkeiten SOLLTEN dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a25.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a25 + ref_id: DER.3.1.A25.3 + description: "Auch abgeschlossene Korrekturma\xDFnahmen SOLLTEN dokumentiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a25.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a25 + ref_id: DER.3.1.A25.4 + description: Die Institution SOLLTE dazu ein definiertes Verfahren etablieren + und einsetzen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a25.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a25 + ref_id: DER.3.1.A25.5 + description: "Gab es schwerwiegende Abweichungen oder M\xE4ngel, SOLLTE das\ + \ Audit- bzw. Revisionsteam \xFCberpr\xFCfen, ob die Korrekturma\xDFnahmen\ + \ durchgef\xFChrt wurden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a26 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 + ref_id: DER.3.1.A26 + name: "\xDCberwachen und Anpassen des Auditprogramms" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a26.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a26 + ref_id: DER.3.1.A26.1 + description: "Das Auditprogramm SOLLTE kontinuierlich \xFCberwacht und angepasst\ + \ werden, sodass Termine, Auditziele, Auditinhalte und die Auditqualit\xE4\ + t eingehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a26.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a26 + ref_id: DER.3.1.A26.2 + description: "Mithilfe der bestehenden Anforderungen an das Auditprogramm und\ + \ mit den Ergebnissen der durchgef\xFChrten Audits SOLLTE \xFCberpr\xFCft\ + \ werden, ob das Auditprogramm angemessen ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a26.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a26 + ref_id: DER.3.1.A26.3 + description: Bei Bedarf SOLLTE es angepasst werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a27 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1 + ref_id: DER.3.1.A27 + name: Aufbewahrung und Archivierung von Unterlagen zu Audits und Revisionen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a27.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a27 + ref_id: DER.3.1.A27.1 + description: Die Institution SOLLTE Auditprogramme sowie Unterlagen zu Audits + und Revisionen entsprechend den regulatorischen Anforderungen nachvollziehbar + und revisionssicher ablegen und aufbewahren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a27.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a27 + ref_id: DER.3.1.A27.2 + description: "Dabei SOLLTE sichergestellt werden, dass lediglich berechtigte\ + \ Personen auf Auditprogramme und Unterlagen zugreifen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a27.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.1.a27 + ref_id: DER.3.1.A27.3 + description: Die Institution SOLLTE die Auditprogramme und Unterlagen nach Ablauf + der Aufbewahrungsfrist sicher vernichten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der + ref_id: DER.3.2 + name: Revisionen auf Basis des Leitfadens IS-Revision + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 + ref_id: DER.3.2.A1 + name: "Benennung von Verantwortlichen f\xFCr die IS-Revision" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a1 + ref_id: DER.3.2.A1.1 + description: "Die Institution MUSS eine verantwortliche Person f\xFCr die IS-Revision\ + \ benennen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a1 + ref_id: DER.3.2.A1.2 + description: Diese MUSS die IS-Revisionen planen, initiieren und die Ergebnisse + nachverfolgen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 + ref_id: DER.3.2.A2 + name: Erstellung eines IS-Revisionshandbuches + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a2 + ref_id: DER.3.2.A2.1 + description: "F\xFCr die IS-Revision MUSS ein IS-Revisionshandbuch erstellt\ + \ werden, das die angestrebten Ziele, einzuhaltende gesetzliche Vorgaben,\ + \ Informationen \xFCber die Organisation, die Ressourcen und die Rahmenbedingungen\ + \ enth\xE4lt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a2 + ref_id: DER.3.2.A2.2 + description: "Au\xDFerdem MUSS darin die Archivierung der Dokumentation beschrieben\ + \ sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a2 + ref_id: DER.3.2.A2.3 + description: Das Handbuch MUSS von der Leitungsebene verabschiedet werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 + ref_id: DER.3.2.A3 + name: "Definition der Pr\xFCfungsgrundlage" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a3 + ref_id: DER.3.2.A3.1 + description: "Die BSI-Standards 200-1 bis 200-3 sowie das IT-Grundschutz-Kompendium\ + \ M\xDCSSEN die Pr\xFCfungsgrundlagen f\xFCr die IS-Revision sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a3 + ref_id: DER.3.2.A3.2 + description: Dabei SOLLTE die Standard-Absicherung des IT-Grundschutzes verwendet + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a3 + ref_id: DER.3.2.A3.3 + description: "Diese Pr\xFCfungsgrundlagen M\xDCSSEN allen Beteiligten bekannt\ + \ sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 + ref_id: DER.3.2.A4 + name: "Erstellung einer Planung f\xFCr die IS-Revision" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a4 + ref_id: DER.3.2.A4.1 + description: "Wenn die Institution nicht nach ISO 27001 auf Basis von IT-Grundschutz\ + \ zertifiziert ist, MUSS sichergestellt werden, dass mindestens alle drei\ + \ Jahre eine IS-Kurz- oder Querschnitts-Revision durchgef\xFChrt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a4 + ref_id: DER.3.2.A4.2 + description: "Dar\xFCber hinaus SOLLTEN weitere Revisionen eingeplant werden,\ + \ falls der Informationsverbund wesentlich ver\xE4ndert wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a4 + ref_id: DER.3.2.A4.3 + description: "Es SOLLTE eine mehrj\xE4hrige Grobplanung f\xFCr die Revisionsvorhaben\ + \ erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a4 + ref_id: DER.3.2.A4.4 + description: "Diese SOLLTE dann durch eine j\xE4hrliche Detailplanung konkretisiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 + ref_id: DER.3.2.A5 + name: Auswahl eines geeigneten IS-Revisionsteams + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a5 + ref_id: DER.3.2.A5.1 + description: Es MUSS ein aus mindestens zwei Personen bestehendes IS-Revisionsteam + zusammengestellt oder beauftragt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a5 + ref_id: DER.3.2.A5.2 + description: "Dem IS-Revisionsteam MUSS ein uneingeschr\xE4nktes Informations-\ + \ und Einsichtnahmerecht f\xFCr seine T\xE4tigkeit einger\xE4umt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a5 + ref_id: DER.3.2.A5.3 + description: "Bei eigenen IS-Revisionsteams M\xDCSSEN die einzelnen Mitglieder\ + \ unparteilich sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a5 + ref_id: DER.3.2.A5.4 + description: "Die Mitglieder eines IS-Revisionsteams D\xDCRFEN NICHT an der\ + \ Planung oder Umsetzung des ISMS beteiligt sein oder gewesen sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 + ref_id: DER.3.2.A6 + name: Vorbereitung einer IS-Revision + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a6 + ref_id: DER.3.2.A6.1 + description: Es MUSS ein IS-Revisionsteam mit einer IS-Revision beauftragt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a6 + ref_id: DER.3.2.A6.2 + description: "Das IS-Revisionsteam MUSS festlegen, welche Referenzdokumente\ + \ f\xFCr eine IS-Revision ben\xF6tigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a6 + ref_id: DER.3.2.A6.3 + description: "Die zu pr\xFCfende Institution MUSS das Sicherheitskonzept und\ + \ alle weiteren erforderlichen Dokumente an das IS-Revisionsteam \xFCbergeben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 + ref_id: DER.3.2.A7 + name: "Durchf\xFChrung einer IS-Revision" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a7 + ref_id: DER.3.2.A7.1 + description: "Im Rahmen einer IS-Revision M\xDCSSEN eine Dokumenten- und eine\ + \ Vor-Ort-Pr\xFCfung durch das IS-Revisionsteam durchgef\xFChrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a7 + ref_id: DER.3.2.A7.2 + description: "S\xE4mtliche Ergebnisse dieser beiden Pr\xFCfungen M\xDCSSEN dokumentiert\ + \ und in einem IS-Revisionsbericht zusammengefasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a7 + ref_id: DER.3.2.A7.3 + description: "Bevor erstmalig eine IS-Querschnittsrevision durchgef\xFChrt wird,\ + \ MUSS als IS-Revisionsverfahren eine IS-Kurzrevision ausgew\xE4hlt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a7 + ref_id: DER.3.2.A7.4 + description: "Die IS-Kurzrevision MUSS mit positivem Votum abgeschlossen werden,\ + \ bevor eine IS-Querschnittsrevision durchgef\xFChrt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 + ref_id: DER.3.2.A8 + name: Aufbewahrung von IS-Revisionsberichten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a8 + ref_id: DER.3.2.A8.1 + description: "Die Institution MUSS den IS-Revisionsbericht und die diesem zugrundeliegenden\ + \ Referenzdokumente mindestens f\xFCr zehn Jahre ab Zustellung des Berichts\ + \ sicher aufbewahren, sofern keine anders lautenden Gesetze oder Verordnungen\ + \ gelten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a8 + ref_id: DER.3.2.A8.2 + description: "Die Institution MUSS sicherstellen, dass lediglich berechtigte\ + \ Personen auf die IS-Revisionsberichte und die Referenzdokumente zugreifen\ + \ k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 + ref_id: DER.3.2.A9 + name: Integration in den Informationssicherheitsprozess + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a9 + ref_id: DER.3.2.A9.1 + description: Die Institution SOLLTE sicherstellen, dass IS-Revisionen ein Teil + des Sicherheitsprozesses sind. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a9 + ref_id: DER.3.2.A9.2 + description: "Au\xDFerdem SOLLTEN die Ergebnisse von IS-Revisionen in das ISMS\ + \ zur\xFCckflie\xDFen und zu dessen Verbesserung beitragen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a9 + ref_id: DER.3.2.A9.3 + description: "Weiter SOLLTEN die Ergebnisse der IS-Revisionen sowie die Aktivit\xE4\ + ten, um M\xE4ngel zu beseitigen und um die Qualit\xE4t zu verbessern, in den\ + \ regelm\xE4\xDFigen Bericht des oder der ISB an die Institutionsleitung aufgenommen\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 + ref_id: DER.3.2.A10 + name: Kommunikationsabsprache + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a10 + ref_id: DER.3.2.A10.1 + description: "Es SOLLTE klar geregelt werden, wie Informationen zwischen dem\ + \ IS-Revisionsteam und der zu pr\xFCfenden Institution auszutauschen sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a10 + ref_id: DER.3.2.A10.2 + description: So SOLLTE sichergestellt werden, dass diese Informationen vertraulich + und integer bleiben. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 + ref_id: DER.3.2.A11 + name: "Durchf\xFChrung eines Auftaktgespr\xE4chs f\xFCr eine IS-Querschnittsrevision" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a11 + ref_id: DER.3.2.A11.1 + description: "F\xFCr eine IS-Querschnittsrevision SOLLTE ein Auftaktgespr\xE4\ + ch zwischen dem IS-Revisionsteam und der zu pr\xFCfenden Institution durchgef\xFC\ + hrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a11 + ref_id: DER.3.2.A11.2 + description: 'Darin SOLLTEN folgende Inhalte besprochen werden:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a11 + ref_id: DER.3.2.A11.3 + description: "\u2022 Die Erl\xE4uterung und Darstellung des IS-Revisionsverfahrens," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a11.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a11 + ref_id: DER.3.2.A11.4 + description: "\u2022 die Vorstellung der Institution (Arbeitsschwerpunkte und\ + \ \xDCberblick der eingesetzten IT) sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a11.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a11 + ref_id: DER.3.2.A11.5 + description: "\u2022 die \xDCbergabe der Referenzdokumente an das IS-Revisionsteam." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 + ref_id: DER.3.2.A12 + name: "Erstellung eines Pr\xFCfplans" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a12 + ref_id: DER.3.2.A12.1 + description: "Vor einer IS-Revision SOLLTE das IS-Revisionsteam einen Pr\xFC\ + fplan erstellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a12 + ref_id: DER.3.2.A12.2 + description: "Ist es w\xE4hrend der IS-Revision notwendig, die geplanten Abl\xE4\ + ufe zu erweitern oder anderweitig anzupassen, SOLLTE der Pr\xFCfplan entsprechend\ + \ angepasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a12 + ref_id: DER.3.2.A12.3 + description: "Der Pr\xFCfplan SOLLTE zudem in den abschlie\xDFenden IS-Revisionsbericht\ + \ aufgenommen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a12 + ref_id: DER.3.2.A12.4 + description: "Bei der IS-Kurzrevision SOLLTE die verbindlich festgelegte Pr\xFC\ + fthemenliste des BSI an die Stelle des Pr\xFCfplans treten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 + ref_id: DER.3.2.A13 + name: "Sichtung und Pr\xFCfung der Dokumente" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a13 + ref_id: DER.3.2.A13.1 + description: "Bei der Dokumentenpr\xFCfung SOLLTE das IS-Revisionsteam die im\ + \ Pr\xFCfplan festgelegten Anforderungen pr\xFCfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a13 + ref_id: DER.3.2.A13.2 + description: "Das IS-Revisionsteam SOLLTE \xFCberpr\xFCfen, ob alle relevanten\ + \ Dokumente aktuell und vollst\xE4ndig sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a13 + ref_id: DER.3.2.A13.3 + description: "Bei der Pr\xFCfung auf Aktualit\xE4t SOLLTE die Granularit\xE4\ + t der Dokumente ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a13.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a13 + ref_id: DER.3.2.A13.4 + description: Es SOLLTE darauf geachtet werden, dass alle wesentlichen Aspekte + erfasst und geeignete Rollen zugewiesen wurden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a13.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a13 + ref_id: DER.3.2.A13.5 + description: "Weiter SOLLTE gepr\xFCft werden, ob die vorliegenden Dokumente\ + \ und die darin getroffenen Entscheidungen nachvollziehbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a13.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a13 + ref_id: DER.3.2.A13.6 + description: "Die Ergebnisse der Dokumentenpr\xFCfung SOLLTEN dokumentiert werden\ + \ und, soweit sinnvoll, in die Vor-Ort-Pr\xFCfung einflie\xDFen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 + ref_id: DER.3.2.A14 + name: "Auswahl der Zielobjekte und der zu pr\xFCfenden Anforderungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a14 + ref_id: DER.3.2.A14.1 + description: "In einer IS-Querschnittsrevision oder IS-Partialrevision SOLLTE\ + \ das IS-Revisionsteam anhand der Ergebnisse der Dokumentenpr\xFCfung die\ + \ Baustein-Zielobjekte f\xFCr die Vor-Ort-Pr\xFCfung ausw\xE4hlen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a14 + ref_id: DER.3.2.A14.2 + description: "Der Baustein zum Informationssicherheitsmanagement (siehe ISMS.1\ + \ Sicherheitsmanagement) des IT-Grundschutz-Kompendiums einschlie\xDFlich\ + \ aller zugeh\xF6rigen Anforderungen SOLLTE jedoch immer vollst\xE4ndig gepr\xFC\ + ft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a14 + ref_id: DER.3.2.A14.3 + description: "Weitere drei\xDFig Prozent der modellierten Baustein-Zielobjekte\ + \ SOLLTEN risikoorientiert zur Pr\xFCfung ausgew\xE4hlt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a14.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a14 + ref_id: DER.3.2.A14.4 + description: Die Auswahl SOLLTE nachvollziehbar dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a14.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a14 + ref_id: DER.3.2.A14.5 + description: "Von den so ausgew\xE4hlten Baustein-Zielobjekten SOLLTEN drei\xDF\ + ig Prozent der jeweiligen Anforderungen bei der IS-Revision gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a14.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a14 + ref_id: DER.3.2.A14.6 + description: "Dar\xFCber hinaus SOLLTEN bei der Auswahl der zu pr\xFCfenden\ + \ Baustein-Zielobjekte die bem\xE4ngelten Anforderungen aus vorhergehenden\ + \ IS-Revisionen ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a14.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a14 + ref_id: DER.3.2.A14.7 + description: "Alle Anforderungen mit schwerwiegenden Sicherheitsm\xE4ngeln aus\ + \ vorhergehenden IS-Revisionen SOLLTEN mit gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 + ref_id: DER.3.2.A15 + name: "Auswahl von geeigneten Pr\xFCfmethoden" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a15 + ref_id: DER.3.2.A15.1 + description: "Das IS-Revisionsteam SOLLTE sicherstellen, dass geeignete Pr\xFC\ + fmethoden eingesetzt werden, um die zu pr\xFCfenden Sachverhalte zu ermitteln." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a15 + ref_id: DER.3.2.A15.2 + description: "Alle Pr\xFCfungen SOLLTEN verh\xE4ltnism\xE4\xDFig sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 + ref_id: DER.3.2.A16 + name: "Erstellung eines Ablaufplans f\xFCr die Vor-Ort-Pr\xFCfung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a16 + ref_id: DER.3.2.A16.1 + description: "Gemeinsam mit der zu pr\xFCfenden Institution SOLLTE das IS-Revisionsteam\ + \ einen Ablaufplan f\xFCr die Vor-Ort-Pr\xFCfung erarbeiten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a16 + ref_id: DER.3.2.A16.2 + description: "Die Ergebnisse SOLLTEN zusammen mit dem IS-Pr\xFCfplan dokumentiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 + ref_id: DER.3.2.A17 + name: "Durchf\xFChrung der Vor-Ort-Pr\xFCfung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17 + ref_id: DER.3.2.A17.1 + description: "Bei der Vor-Ort-Pr\xFCfung SOLLTE das IS-Revisionsteam untersuchen\ + \ und feststellen, ob die ausgew\xE4hlten Ma\xDFnahmen die Anforderungen des\ + \ IT-Grundschutzes angemessen und praxistauglich erf\xFCllen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17 + ref_id: DER.3.2.A17.2 + description: "Die Pr\xFCfung SOLLTE mit einem Er\xF6ffnungsgespr\xE4ch beginnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17 + ref_id: DER.3.2.A17.3 + description: "Danach SOLLTEN alle f\xFCr die Pr\xFCfung ausgew\xE4hlten Anforderungen\ + \ des Pr\xFCfplans bzw. alle Themenfelder der Pr\xFCfthemenliste \xFCberpr\xFC\ + ft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17 + ref_id: DER.3.2.A17.4 + description: "Daf\xFCr SOLLTEN die vorgesehenen Pr\xFCfmethoden angewandt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17 + ref_id: DER.3.2.A17.5 + description: "Werden bei einer ausgew\xE4hlten Stichprobe Abweichungen zum dokumentierten\ + \ Status festgestellt, SOLLTE die Stichprobe bedarfsorientiert erweitert werden,\ + \ bis der Sachverhalt gekl\xE4rt ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17 + ref_id: DER.3.2.A17.6 + description: "W\xE4hrend der Vor-Ort-Pr\xFCfung SOLLTEN das IS-Revisionsteam\ + \ niemals aktiv in IT-Systeme eingreifen und auch keine Handlungsanweisungen\ + \ zu \xC4nderungen am Revisionsgegenstand erteilen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17 + ref_id: DER.3.2.A17.7 + description: "Alle wesentlichen Sachverhalte und Angaben zu Quellen-, Auskunfts-\ + \ und Vorlage-Ersuchen sowie durchgef\xFChrten Besprechungen SOLLTEN schriftlich\ + \ festgehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17 + ref_id: DER.3.2.A17.8 + description: "In einem Abschlussgespr\xE4ch SOLLTE das IS-Revisionsteam der\ + \ gepr\xFCften Institution wesentliche Feststellungen kurz darstellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17 + ref_id: DER.3.2.A17.9 + description: "Dabei SOLLTE das IS-Revisionsteam die Feststellungen nicht konkret\ + \ bewerten, sondern Hinweise auf etwaige M\xE4ngel und die weitere Verfahrensweise\ + \ geben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a17 + ref_id: DER.3.2.A17.10 + description: "Auch dieses Abschlussgespr\xE4ch SOLLTE protokolliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 + ref_id: DER.3.2.A18 + name: "Durchf\xFChrung von Interviews" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a18 + ref_id: DER.3.2.A18.1 + description: Interviews durch das IS-Revisionsteam SOLLTEN strukturiert erfolgen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a18 + ref_id: DER.3.2.A18.2 + description: "Fragen SOLLTEN knapp, pr\xE4zise und leicht verst\xE4ndlich formuliert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a18 + ref_id: DER.3.2.A18.3 + description: Zudem SOLLTEN geeignete Fragetechniken eingesetzt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 + ref_id: DER.3.2.A19 + name: "\xDCberpr\xFCfung der gew\xE4hlten Risikobehandlungsoptionen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a19 + ref_id: DER.3.2.A19.1 + description: "Das IS-Revisionsteam SOLLTE pr\xFCfen, ob die verbleibenden Restrisiken\ + \ f\xFCr den Informationsverbund angemessen und tragbar sind und ob sie verbindlich\ + \ durch die Institutionsleitung getragen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a19 + ref_id: DER.3.2.A19.2 + description: "Das IS-Revisionsteam SOLLTE stichprobenartig verifizieren, ob\ + \ bzw. inwieweit die gew\xE4hlten Risikobehandlungsoptionen umgesetzt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 + ref_id: DER.3.2.A20 + name: "Nachbereitung der Vor-Ort-Pr\xFCfung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a20 + ref_id: DER.3.2.A20.1 + description: "Nach der Vor-Ort-Pr\xFCfung SOLLTEN die erhobenen Informationen\ + \ weiter durch das IS-Revisionsteam konsolidiert und ausgewertet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a20.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a20 + ref_id: DER.3.2.A20.2 + description: "Nachdem die eventuell nachgeforderten Dokumente, Dokumentationen\ + \ und zus\xE4tzlichen Informationen ausgewertet wurden, SOLLTEN die gepr\xFC\ + ften Anforderungen endg\xFCltig bewertet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 + ref_id: DER.3.2.A21 + name: Erstellung eines IS-Revisionsberichts + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a21 + ref_id: DER.3.2.A21.1 + description: "Das IS-Revisionsteam SOLLTE die gewonnenen Ergebnisse in einen\ + \ IS-Revisionsbericht \xFCberf\xFChren und dort nachvollziehbar dokumentieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a21.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a21 + ref_id: DER.3.2.A21.2 + description: "Eine Entwurfsversion des Berichts SOLLTE der gepr\xFCften Institution\ + \ vorab \xFCbermittelt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a21.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a21 + ref_id: DER.3.2.A21.3 + description: Es SOLLTE verifiziert werden, ob die durch das IS-Revisionsteam + festgestellten Sachverhalte richtig aufgenommen wurden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a21.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a21 + ref_id: DER.3.2.A21.4 + description: "Die gepr\xFCfte Institution SOLLTE sicherstellen, dass alle betroffenen\ + \ Stellen in der Institution innerhalb einer angemessenen Frist die f\xFC\ + r sie wichtigen und notwendigen Passagen des IS-Revisionsberichts erhalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a21.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a21 + ref_id: DER.3.2.A21.5 + description: "Insbesondere SOLLTEN die Inhalte an die Institutionsleitung, an\ + \ die Verantwortlichen f\xFCr die IS-Revision sowie den oder die ISB kommuniziert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a21.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a21 + ref_id: DER.3.2.A21.6 + description: "IS-Revisionsberichte SOLLTEN aufgrund der enthaltenen sch\xFC\ + tzenswerten Informationen mit einer geeigneten Vertraulichkeitseinstufung\ + \ versehen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a21.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a21 + ref_id: DER.3.2.A21.7 + description: "Es SOLLTE \xFCberlegt werden, die Ergebnisse der IS-Revision der\ + \ Institutionsleitung vom IS-Revisionsteam in Form einer Pr\xE4sentation vorzustellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2 + ref_id: DER.3.2.A22 + name: Nachbereitung einer IS-Revision + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a22 + ref_id: DER.3.2.A22.1 + description: Die im IS-Revisionsbericht festgestellten Abweichungen SOLLTEN + in einer angemessenen Zeit durch die Institution korrigiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a22.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a22 + ref_id: DER.3.2.A22.2 + description: "Die durchzuf\xFChrenden Korrekturma\xDFnahmen SOLLTEN mit Zust\xE4\ + ndigkeiten, Umsetzungstermin und dem jeweiligen Status dokumentiert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a22.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a22 + ref_id: DER.3.2.A22.3 + description: Die Umsetzung SOLLTE kontinuierlich nachverfolgt und der Umsetzungsstatus + fortgeschrieben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a22.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a22 + ref_id: DER.3.2.A22.4 + description: "Grunds\xE4tzlich SOLLTE gepr\xFCft werden, ob erg\xE4nzende IS-Revisionen\ + \ notwendig sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a22.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.3.2.a22 + ref_id: DER.3.2.A22.5 + description: Die Institution SOLLTE die Grob- und Detailplanung zur IS-Revision + anpassen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der + ref_id: DER.4 + name: Notfallmanagement + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4 + ref_id: DER.4.A1 + name: Erstellung eines Notfallhandbuchs + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1 + ref_id: DER.4.A1.1 + description: Es SOLLTE ein Notfallhandbuch erstellt werden, in dem die wichtigsten + Informationen zu + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1 + ref_id: DER.4.A1.2 + description: "\u2022 Rollen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1 + ref_id: DER.4.A1.3 + description: "\u2022 Sofortma\xDFnahmen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1 + ref_id: DER.4.A1.4 + description: "\u2022 Alarmierung und Eskalation sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1 + ref_id: DER.4.A1.5 + description: "\u2022 Kommunikations-, grunds\xE4tzlichen Gesch\xE4ftsfortf\xFC\ + hrungs-, Wiederanlauf- und Wiederherstellungspl\xE4nen enthalten sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1 + ref_id: DER.4.A1.6 + description: "Zust\xE4ndigkeiten und Befugnisse SOLLTEN zugewiesen, kommuniziert\ + \ und im Notfallhandbuch festgehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1 + ref_id: DER.4.A1.7 + description: "Es SOLLTE sichergestellt sein, dass im Notfall entsprechend geschultes\ + \ Personal zur Verf\xFCgung steht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1 + ref_id: DER.4.A1.8 + description: "Es SOLLTE regelm\xE4\xDFig durch Tests und \xDCbungen \xFCberpr\xFC\ + ft werden, ob die im Notfallhandbuch beschriebenen Ma\xDFnahmen auch wie vorgesehen\ + \ funktionieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1 + ref_id: DER.4.A1.9 + description: "Es SOLLTE regelm\xE4\xDFig gepr\xFCft werden, ob das Notfallhandbuch\ + \ noch aktuell ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1 + ref_id: DER.4.A1.10 + description: Gegebenenfalls SOLLTE es aktualisiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1 + ref_id: DER.4.A1.11 + description: "Es SOLLTE auch im Notfall zug\xE4nglich sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1 + ref_id: DER.4.A1.12 + description: "Das Notfallhandbuch SOLLTE um Verhaltensregeln f\xFCr spezielle\ + \ F\xE4lle erg\xE4nzt werden, z. B. Brand." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1.13 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a1 + ref_id: DER.4.A1.13 + description: Die Regeln SOLLTEN allen Mitarbeitenden bekanntgegeben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4 + ref_id: DER.4.A2 + name: Integration von Notfallmanagement und Informationssicherheitsmanagement + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a2 + ref_id: DER.4.A2.1 + description: "Die Prozesse im Sicherheitsmanagement SOLLTEN mit dem Notfallmanagement\ + \ abgestimmt werden (siehe DER.2.1 Behandlung von Sicherheitsvorf\xE4llen)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4 + ref_id: DER.4.A3 + name: Festlegung des Geltungsbereichs und der Notfallmanagementstrategie + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a3 + ref_id: DER.4.A3.1 + description: "Der Geltungsbereich f\xFCr das Notfallmanagementsystem SOLLTE\ + \ eindeutig festgelegt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a3 + ref_id: DER.4.A3.2 + description: Die Institutionsleitung SOLLTE eine Notfallmanagementstrategie + festlegen, welche die angestrebten Ziele und das Risikoakzeptanzniveau darlegen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4 + ref_id: DER.4.A4 + name: "Leitlinie zum Notfallmanagement und \xDCbernahme der Gesamtverantwortung\ + \ durch die Institutionsleitung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a4 + ref_id: DER.4.A4.1 + description: Die Institutionsleitung SOLLTE eine Leitlinie zum Notfallmanagement + verabschieden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a4 + ref_id: DER.4.A4.2 + description: Diese SOLLTE die wesentlichen Eckpunkte des Notfallmanagements + enthalten. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a4 + ref_id: DER.4.A4.3 + description: "Die Leitlinie zum Notfallmanagement SOLLTE regelm\xE4\xDFig \xFC\ + berpr\xFCft und gegebenenfalls \xFCberarbeitet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a4 + ref_id: DER.4.A4.4 + description: Sie SOLLTE allen Mitarbeitenden bekanntgegeben werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4 + ref_id: DER.4.A5 + name: "Aufbau einer geeigneten Organisationsstruktur f\xFCr das Notfallmanagement" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a5 + ref_id: DER.4.A5.1 + description: "Die Rollen f\xFCr das Notfallmanagement SOLLTEN f\xFCr die Gegebenheiten\ + \ der Institution angemessen festgelegt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a5 + ref_id: DER.4.A5.2 + description: Dies SOLLTE mit den Aufgaben, Pflichten und Kompetenzen der Rollen + schriftlich dokumentiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a5 + ref_id: DER.4.A5.3 + description: "Es SOLLTEN f\xFCr alle Rollen im Notfallmanagement qualifizierte\ + \ Mitarbeitende benannt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a5 + ref_id: DER.4.A5.4 + description: "Die Organisationsstruktur im Notfallmanagement SOLLTE regelm\xE4\ + \xDFig darauf \xFCberpr\xFCft werden, ob sie praxistauglich, effektiv und\ + \ effizient ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4 + ref_id: DER.4.A6 + name: "Bereitstellung angemessener Ressourcen f\xFCr das Notfallmanagement" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a6 + ref_id: DER.4.A6.1 + description: "Die finanziellen, technischen und personellen Ressourcen f\xFC\ + r die angestrebten Ziele des Notfallmanagements SOLLTEN angemessen sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a6 + ref_id: DER.4.A6.2 + description: "Der oder die Notfallbeauftragte bzw. das Notfallmanagement-Team\ + \ SOLLTE \xFCber gen\xFCgend Zeit f\xFCr die Aufgaben im Notfallmanagement\ + \ verf\xFCgen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4 + ref_id: DER.4.A7 + name: Erstellung eines Notfallkonzepts + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a7 + ref_id: DER.4.A7.1 + description: "Alle kritischen Gesch\xE4ftsprozesse und Ressourcen SOLLTEN identifiziert\ + \ werden, beispielsweise mit einer Business-Impact-Analyse (BIA)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a7 + ref_id: DER.4.A7.2 + description: "Es SOLLTEN die wichtigsten relevanten Risiken f\xFCr die kritischen\ + \ Gesch\xE4ftsprozesse und Fachaufgaben sowie deren Ressourcen identifiziert\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a7 + ref_id: DER.4.A7.3 + description: "F\xFCr jedes identifizierte Risiko SOLLTE entschieden werden,\ + \ welche Risikostrategien zur Risikobehandlung eingesetzt werden sollen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a7 + ref_id: DER.4.A7.4 + description: "Es SOLLTEN Kontinuit\xE4tsstrategien entwickelt werden, die einen\ + \ Wiederanlauf und eine Wiederherstellung der kritischen Gesch\xE4ftsprozesse\ + \ in der geforderten Zeit erm\xF6glichen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a7 + ref_id: DER.4.A7.5 + description: Es SOLLTE ein Notfallkonzept erstellt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a7.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a7 + ref_id: DER.4.A7.6 + description: "Es SOLLTEN solche Notfallpl\xE4ne und Ma\xDFnahmen entwickelt\ + \ und implementiert werden, die eine effektive Notfallbew\xE4ltigung und eine\ + \ schnelle Wiederaufnahme der kritischen Gesch\xE4ftsprozesse erm\xF6glichen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a7.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a7 + ref_id: DER.4.A7.7 + description: "Im Notfallkonzept SOLLTE die Informationssicherheit ber\xFCcksichtigt\ + \ und entsprechende Sicherheitskonzepte f\xFCr die Notfalll\xF6sungen entwickelt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4 + ref_id: DER.4.A8 + name: Integration der Mitarbeitenden in den Notfallmanagement-Prozess + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a8 + ref_id: DER.4.A8.1 + description: "Alle Mitarbeitenden SOLLTEN regelm\xE4\xDFig f\xFCr das Thema\ + \ Notfallmanagement sensibilisiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a8 + ref_id: DER.4.A8.2 + description: Zum Notfallmanagement SOLLTE es ein Schulungs- und Sensibilisierungskonzept + geben. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a8 + ref_id: DER.4.A8.3 + description: "Die Mitarbeitenden im Notfallmanagement-Team SOLLTEN regelm\xE4\ + \xDFig geschult werden, um die ben\xF6tigten Kompetenzen aufzubauen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4 + ref_id: DER.4.A9 + name: "Integration von Notfallmanagement in organisationsweite Abl\xE4ufe und\ + \ Prozesse" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a9 + ref_id: DER.4.A9.1 + description: "Es SOLLTE sichergestellt werden, dass Aspekte des Notfallmanagements\ + \ in allen Gesch\xE4ftsprozessen und Fachaufgaben der Institution ber\xFC\ + cksichtigt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a9 + ref_id: DER.4.A9.2 + description: Die Prozesse, Vorgaben und Verantwortlichkeiten im Notfallmanagement + SOLLTEN mit dem Risikomanagement und Krisenmanagement abgestimmt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4 + ref_id: DER.4.A10 + name: "Tests und Notfall\xFCbungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a10 + ref_id: DER.4.A10.1 + description: "Alle wesentlichen Sofortma\xDFnahmen und Notfallpl\xE4ne SOLLTEN\ + \ in angemessener Weise regelm\xE4\xDFig und anlassbezogen getestet und ge\xFC\ + bt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a10 + ref_id: DER.4.A10.2 + description: "Der zeitliche Rahmen und die fachliche Abdeckung aller \xDCbungen\ + \ SOLLTEN \xFCbergreifend in einem \xDCbungsplan dokumentiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a10 + ref_id: DER.4.A10.3 + description: "Im Notfallmanagement SOLLTEN ausreichend Ressourcen f\xFCr die\ + \ Planung, Konzeption, Durchf\xFChrung und Auswertung der Tests und \xDCbungen\ + \ bereitgestellt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4 + ref_id: DER.4.A12 + name: Dokumentation im Notfallmanagement-Prozess + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a12 + ref_id: DER.4.A12.1 + description: Der Ablauf des Notfallmanagement-Prozesses, die Arbeitsergebnisse + der einzelnen Phasen und wichtige Entscheidungen SOLLTEN dokumentiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a12 + ref_id: DER.4.A12.2 + description: "Ein festgelegtes Verfahren SOLLTE sicherstellen, dass diese Dokumente\ + \ regelm\xE4\xDFig aktualisiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a12 + ref_id: DER.4.A12.3 + description: "Dar\xFCber hinaus SOLLTE der Zugriff auf die Dokumentation auf\ + \ autorisierte Personen beschr\xE4nkt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4 + ref_id: DER.4.A13 + name: "\xDCberpr\xFCfung und Steuerung des Notfallmanagement-Systems" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a13 + ref_id: DER.4.A13.1 + description: "Die Institutionsleitung SOLLTE sich regelm\xE4\xDFig anhand von\ + \ Managementberichten \xFCber den Stand des Notfallmanagements informieren." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a13 + ref_id: DER.4.A13.2 + description: "Sie SOLLTE so das Notfallmanagement-System regelm\xE4\xDFig \xFC\ + berpr\xFCfen, bewerten und gegebenenfalls korrigieren." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4 + ref_id: DER.4.A14 + name: "Regelm\xE4\xDFige \xDCberpr\xFCfung und Verbesserung der Notfallma\xDF\ + nahmen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14 + ref_id: DER.4.A14.1 + description: "Alle Notfallma\xDFnahmen SOLLTEN regelm\xE4\xDFig oder bei gr\xF6\ + \xDFeren \xC4nderungen daraufhin \xFCberpr\xFCft werden, ob sie noch eingehalten\ + \ und korrekt umgesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14 + ref_id: DER.4.A14.2 + description: "Es SOLLTE gepr\xFCft werden, ob sie sich noch dazu eignen, die\ + \ definierten Ziele zu erreichen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14 + ref_id: DER.4.A14.3 + description: "Dabei SOLLTE untersucht werden, ob technische Ma\xDFnahmen korrekt\ + \ implementiert und konfiguriert wurden und ob organisatorische Ma\xDFnahmen\ + \ effektiv und effizient umgesetzt sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14 + ref_id: DER.4.A14.4 + description: "Bei Abweichungen SOLLTEN die Ursachen f\xFCr die M\xE4ngel ermittelt\ + \ und Verbesserungsma\xDFnahmen veranlasst werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14 + ref_id: DER.4.A14.5 + description: "Diese Ergebnis\xFCbersicht SOLLTE von der Institutionsleitung\ + \ freigegeben werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14 + ref_id: DER.4.A14.6 + description: "Es SOLLTE zudem ein Prozess etabliert werden, der steuert und\ + \ \xFCberwacht, ob und wie die Verbesserungsma\xDFnahmen umgesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14 + ref_id: DER.4.A14.7 + description: "Verz\xF6gerungen SOLLTEN fr\xFChzeitig an die Institutionsleitung\ + \ gemeldet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14 + ref_id: DER.4.A14.8 + description: "Es SOLLTE von der Institutionsleitung festgelegt sein, wie die\ + \ \xDCberpr\xFCfungen koordiniert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14 + ref_id: DER.4.A14.9 + description: "Die \xDCberpr\xFCfungen SOLLTEN so geplant werden, dass kein relevanter\ + \ Teil ausgelassen wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14 + ref_id: DER.4.A14.10 + description: "Insbesondere SOLLTEN die im Bereich der Revision, der IT, des\ + \ Sicherheitsmanagements, des Informationssicherheitsmanagements und des Notfallmanagements\ + \ durchgef\xFChrten \xDCberpr\xFCfungen miteinander koordiniert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a14 + ref_id: DER.4.A14.11 + description: "Dazu SOLLTE geregelt werden, welche Ma\xDFnahmen wann und von\ + \ wem \xFCberpr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4 + ref_id: DER.4.A15 + name: "Bewertung der Leistungsf\xE4higkeit des Notfallmanagementsystems" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a15 + ref_id: DER.4.A15.1 + description: "Es SOLLTE regelm\xE4\xDFig bewertet werden, wie leistungsf\xE4\ + hig und effektiv das Notfallmanagement-System ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a15 + ref_id: DER.4.A15.2 + description: Als Grundlage SOLLTEN Mess- und Bewertungskriterien wie z. B. Leistungskennzahlen + definiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a15 + ref_id: DER.4.A15.3 + description: "Diese Messgr\xF6\xDFen SOLLTEN regelm\xE4\xDFig ermittelt und\ + \ mit geeigneten vorangegangenen Werten, mindestens aber mit den Vorjahreswerten,\ + \ verglichen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a15.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a15 + ref_id: DER.4.A15.4 + description: "Weichen die Werte negativ ab, SOLLTEN die Ursachen ermittelt und\ + \ Verbesserungsma\xDFnahmen definiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a15.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a15 + ref_id: DER.4.A15.5 + description: Die Ergebnisse der Bewertung SOLLTEN an die Leitung berichtet werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a15.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a15 + ref_id: DER.4.A15.6 + description: "Die Leitung SOLLTE entscheiden, mit welchen Ma\xDFnahmen das Notfallmanagement\ + \ weiterentwickelt werden soll." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a15.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a15 + ref_id: DER.4.A15.7 + description: Alle Entscheidungen der Institutionsleitung SOLLTEN dokumentiert + und die bisherigen Aufzeichnungen aktualisiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4 + ref_id: DER.4.A16 + name: "Notfallvorsorge- und Notfallreaktionsplanung f\xFCr ausgelagerte Komponenten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a16 + ref_id: DER.4.A16.1 + description: "Bei der Notfallvorsorge- und Notfallreaktionsplanung f\xFCr ausgelagerte\ + \ Komponenten SOLLTE regelm\xE4\xDFig das Notfallmanagement der liefernden\ + \ oder dienstleistenden Institution in den unterzeichneten Vertr\xE4gen gepr\xFC\ + ft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a16 + ref_id: DER.4.A16.2 + description: "Auch SOLLTEN die Abl\xE4ufe in Notfalltests und -\xFCbungen mit\ + \ der liefernden oder bereitstellenden Institution abgestimmt und, wenn angemessen,\ + \ gemeinsam durchgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a16 + ref_id: DER.4.A16.3 + description: "Die Ergebnisse und Auswertungen SOLLTEN regelm\xE4\xDFig zwischen\ + \ der Institutionsleitung und den liefernden Institutionen oder Dienstleistenden\ + \ ausgetauscht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a16.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:der.4.a16 + ref_id: DER.4.A16.4 + description: "In den Auswertungen SOLLTEN auch eventuelle Verbesserungsma\xDF\ + nahmen enthalten sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind + assessable: false + depth: 1 + ref_id: IND + name: Industrielle IT + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind + ref_id: IND.1 + name: Prozessleit- und Automatisierungstechnik + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 + ref_id: IND.1.A1 + name: Einbindung in die Sicherheitsorganisation + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a1 + ref_id: IND.1.A1.1 + description: "Ein Managementsystem f\xFCr Informationssicherheit (ISMS) f\xFC\ + r den Betrieb der OT-Infrastruktur MUSS entweder als selbst\xE4ndiges ISMS\ + \ oder als Teil eines Gesamt-ISMS existieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a1 + ref_id: IND.1.A1.2 + description: "Eine gesamtverantwortliche Person f\xFCr die Informationssicherheit\ + \ im OT-Bereich MUSS benannt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a1 + ref_id: IND.1.A1.3 + description: Er oder sie MUSS innerhalb der Institution bekannt gegeben werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 + ref_id: IND.1.A3 + name: Schutz vor Schadprogrammen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a3 + ref_id: IND.1.A3.1 + description: "Beim Einsatz von Virenschutz-Software auf OT-Komponenten MUSS\ + \ ber\xFCcksichtigt werden, ob und in welcher Konfiguration der Betrieb von\ + \ Virenschutz-Software vom herstellenden Unternehmen unterst\xFCtzt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a3 + ref_id: IND.1.A3.2 + description: "Ist dies nicht der Fall, MUSS der Bedarf an alternativen Schutzverfahren\ + \ gepr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a3 + ref_id: IND.1.A3.3 + description: "Die Virensignaturen D\xDCRFEN NICHT von OT-Systemen direkt aus\ + \ dem Internet bezogen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 + ref_id: IND.1.A4 + name: Dokumentation der OT-Infrastruktur + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a4 + ref_id: IND.1.A4.1 + description: Alle sicherheitsrelevanten Parameter der OT-Infrastruktur SOLLTEN + dokumentiert sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a4 + ref_id: IND.1.A4.2 + description: "In einem Bestandsverzeichnis SOLLTEN alle Software- und Systemkomponenten\ + \ gef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a4 + ref_id: IND.1.A4.3 + description: "Hieraus SOLLTEN die eingesetzten Produkt- und Protokollversionen\ + \ sowie die Zust\xE4ndigkeiten hervorgehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a4 + ref_id: IND.1.A4.4 + description: Zu den eingesetzten Komponenten SOLLTEN eventuelle Restriktionen + der herstellenden Unternehmen oder regulatorische Auflagen bestimmt sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a4 + ref_id: IND.1.A4.5 + description: "Diese Dokumentation und ein Systeminventar SOLLTEN beispielsweise\ + \ in einem Leitsystem gef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a4.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a4 + ref_id: IND.1.A4.6 + description: "Zus\xE4tzlich SOLLTE ein aktueller Netzplan Zonen, Zonen\xFCberg\xE4\ + nge (Conduits), eingesetzte Kommunikationsprotokolle und -verfahren sowie\ + \ Au\xDFenschnittstellen dokumentieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a4.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a4 + ref_id: IND.1.A4.7 + description: "Bei den Schnittstellen SOLLTEN aktive Netzkomponenten und manuelle\ + \ Datentransferverfahren, z. B. durch Wechseldatentr\xE4ger, ber\xFCcksichtigt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a4.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a4 + ref_id: IND.1.A4.8 + description: "Zonen und Conduits sch\xFCtzen die OT-Infrastrukur, indem die\ + \ Automatisierungsl\xF6sung in Zellen und Kommunikationskan\xE4len strukturiert\ + \ werden SOLLTE." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 + ref_id: IND.1.A5 + name: Entwicklung eines geeigneten Zonenkonzepts + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a5 + ref_id: IND.1.A5.1 + description: "Die OT-Infrastruktur SOLLTE auch horizontal in unabh\xE4ngige\ + \ Funktionsbereiche, wie etwa Anlagen, segmentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a5 + ref_id: IND.1.A5.2 + description: "Die einzelnen Zonen SOLLTEN, so weit wie m\xF6glich, im Betrieb\ + \ voneinander unabh\xE4ngig sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a5 + ref_id: IND.1.A5.3 + description: "Insbesondere die Zonen, in denen der technische Prozess gesteuert\ + \ wird, SOLLTEN bei einem Ausfall der anderen Zonen f\xFCr einen gewissen\ + \ Zeitraum weiter funktionst\xFCchtig sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a5 + ref_id: IND.1.A5.4 + description: Auch SOLLTE die Abkopplung nach einem Angriff weiter funktionieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a5.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a5 + ref_id: IND.1.A5.5 + description: Dieser Zeitraum SOLLTE geeignet definiert und dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a5.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a5 + ref_id: IND.1.A5.6 + description: Das Netz SOLLTE manipulations- und fehlerresistent konzipiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 + ref_id: IND.1.A6 + name: "\xC4nderungsmanagement im OT-Betrieb" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a6 + ref_id: IND.1.A6.1 + description: "F\xFCr \xC4nderungen an der OT SOLLTE ein eigener \xC4nderungsprozess\ + \ definiert, dokumentiert und gelebt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 + ref_id: IND.1.A7 + name: "Etablieren einer \xFCbergreifenden Berechtigungsverwaltung zwischen der\ + \ OT und in der Office-IT" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a7 + ref_id: IND.1.A7.1 + description: "Die Institution SOLLTE einen Prozess zur Verwaltung von Zug\xE4\ + ngen und zugeordneten Berechtigungen f\xFCr den Zugriff auf die OT etablieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a7 + ref_id: IND.1.A7.2 + description: "Die Berechtigungsverwaltung SOLLTE den Prozess, die Durchf\xFC\ + hrung und die Dokumentation f\xFCr die Beantragung, Einrichtung und den Entzug\ + \ von Berechtigungen umfassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a7 + ref_id: IND.1.A7.3 + description: "Die Berechtigungsverwaltung SOLLTE gew\xE4hrleisten, dass Berechtigungen\ + \ nach dem Minimalprinzip vergeben und regelm\xE4\xDFig \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a7 + ref_id: IND.1.A7.4 + description: "In der Berechtigungsverwaltung SOLLTEN die Zugriffe auf IT-Systeme\ + \ f\xFCr Mitarbeitende, Administrierende und Dritte geregelt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a7 + ref_id: IND.1.A7.5 + description: "Jeder oder jede Beteiligte SOLLTE regelm\xE4\xDFig zu den einzuhaltenden\ + \ Regelungen sensibilisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a7.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a7 + ref_id: IND.1.A7.6 + description: "Die Einhaltung SOLLTE \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a7.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a7 + ref_id: IND.1.A7.7 + description: Fehlverhalten SOLLTE sanktioniert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 + ref_id: IND.1.A8 + name: Sichere Administration + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a8 + ref_id: IND.1.A8.1 + description: "F\xFCr die Erstkonfiguration, Verwaltung und Fernwartung in der\ + \ OT SOLLTEN entweder sichere Protokolle oder abgetrennte Administrationsnetze\ + \ mit entsprechendem Schutzbedarf genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a8 + ref_id: IND.1.A8.2 + description: "Der Zugang zu diesen Schnittstellen SOLLTE auf die Berechtigten\ + \ eingeschr\xE4nkt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a8 + ref_id: IND.1.A8.3 + description: "Es SOLLTE nur der Zugriff auf die Systeme und Funktionen gew\xE4\ + hrt sein, die f\xFCr die jeweilige Administrationsaufgabe ben\xF6tigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a8 + ref_id: IND.1.A8.4 + description: "Die Systeme und Kommunikationskan\xE4le, mit denen die Administration\ + \ oder Fernwartung durchgef\xFChrt wird, SOLLTEN das gleiche Schutzniveau\ + \ aufweisen wie die verwaltete OT-Komponente." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 + ref_id: IND.1.A9 + name: "Restriktiver Einsatz von Wechseldatentr\xE4gern und mobilen Endger\xE4\ + ten in ICS-Umgebungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a9 + ref_id: IND.1.A9.1 + description: "F\xFCr die Nutzung von Wechseldatentr\xE4gern und mobilen Endger\xE4\ + ten SOLLTEN Regelungen aufgestellt und bekannt gegeben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a9 + ref_id: IND.1.A9.2 + description: "Der Einsatz von Wechseldatentr\xE4gern und mobilen Endger\xE4\ + ten in ICS-Umgebungen SOLLTE beschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a9 + ref_id: IND.1.A9.3 + description: "F\xFCr Medien und Ger\xE4te von Dienstleistenden SOLLTEN ein Genehmigungsprozess\ + \ und eine Anforderungsliste existieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a9 + ref_id: IND.1.A9.4 + description: "Die Vorgaben SOLLTEN allen Dienstleistenden bekannt sein und von\ + \ diesen schriftlich best\xE4tigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a9.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a9 + ref_id: IND.1.A9.5 + description: "Auf den OT-Komponenten SOLLTEN alle nicht ben\xF6tigten Schnittstellen\ + \ deaktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a9.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a9 + ref_id: IND.1.A9.6 + description: "An den aktiven Schnittstellen SOLLTE die Nutzung auf bestimmte\ + \ Ger\xE4te oder Medien eingeschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 + ref_id: IND.1.A10 + name: Monitoring, Protokollierung und Detektion + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a10 + ref_id: IND.1.A10.1 + description: Betriebs- und sicherheitsrelevante Ereignisse SOLLTEN zeitnah identifiziert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a10 + ref_id: IND.1.A10.2 + description: Hierzu SOLLTE ein geeignetes Log- und Event-Management entwickelt + und umgesetzt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a10 + ref_id: IND.1.A10.3 + description: "Das Log- und Event-Management SOLLTE angemessene Ma\xDFnahmen\ + \ umfassen, um sicherheitsrelevante Ereignisse zu erkennen und zu erheben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a10 + ref_id: IND.1.A10.4 + description: Es SOLLTE zudem einen Reaktionsplan (Security Incident Response) + enthalten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a10.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a10 + ref_id: IND.1.A10.5 + description: "Der Reaktionsplan SOLLTE Verfahren zur Behandlung von Sicherheitsvorf\xE4\ + llen festlegen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a10.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a10 + ref_id: IND.1.A10.6 + description: "Darin abgedeckt sein SOLLTEN die Klassifizierung von Ereignissen,\ + \ Meldewege und Festlegung der einzubeziehenden Organisationseinheiten, Reaktionspl\xE4\ + ne zur Schadensbegrenzung, Analyse und Wiederherstellung von Systemen und\ + \ Diensten sowie die Dokumentation und Nachbereitung von Vorf\xE4llen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 + ref_id: IND.1.A11 + name: Sichere Beschaffung und Systementwicklung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11 + ref_id: IND.1.A11.1 + description: Sollen OT-Systeme beschafft, geplant oder entwickelt werden, SOLLTEN + Regelungen zur Informationssicherheit getroffen und dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11 + ref_id: IND.1.A11.2 + description: Die Unterlagen SOLLTEN Teil der Ausschreibung sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11 + ref_id: IND.1.A11.3 + description: "Bei Beschaffungen, Planungen oder Entwicklungen SOLLTE die Informationssicherheit\ + \ in dem gesamten Lebenszyklus ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11 + ref_id: IND.1.A11.4 + description: "Voraussetzungen und Umsetzungshinweise f\xFCr einen sicheren Betrieb\ + \ von ICS-Komponenten von den herstellenden Unternehmen SOLLTEN fr\xFChzeitig\ + \ eingeplant und umgesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11 + ref_id: IND.1.A11.5 + description: "F\xFCr ICS-Komponenten SOLLTEN einheitliche und dem Schutzbedarf\ + \ angemessene Anforderungen an die Informationssicherheit definiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11 + ref_id: IND.1.A11.6 + description: "Diese SOLLTEN ber\xFCcksichtigt werden, wenn neue ICS-Komponenten\ + \ beschafft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11 + ref_id: IND.1.A11.7 + description: Die Einhaltung und Umsetzung SOLLTE dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11 + ref_id: IND.1.A11.8 + description: "Die Institution SOLLTE dokumentieren, wie sich das System in die\ + \ Konzepte f\xFCr die Zoneneinteilung, das Berechtigungs- und Schwachstellen-Management\ + \ sowie f\xFCr den Virenschutz einf\xFCgt und diese gegebenenfalls anpassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a11 + ref_id: IND.1.A11.9 + description: Es SOLLTE geregelt sein, wie der Betrieb aufrechterhalten werden + kann, falls einer der Kooperationspartner keine Dienstleistungen mehr anbietet. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 + ref_id: IND.1.A12 + name: Etablieren eines Schwachstellen-Managements + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a12 + ref_id: IND.1.A12.1 + description: "F\xFCr den sicheren Betrieb einer OT-Umgebung SOLLTE die Institution\ + \ ein Schwachstellen-Management etablieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a12 + ref_id: IND.1.A12.2 + description: "Das Schwachstellen-Management SOLLTE L\xFCcken in Software, Komponenten,\ + \ Protokollen und Au\xDFenschnittstellen der Umgebung identifizieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a12 + ref_id: IND.1.A12.3 + description: "Au\xDFerdem SOLLTEN sich daraus erforderliche Handlungen ableiten,\ + \ bewerten und umsetzen lassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a12 + ref_id: IND.1.A12.4 + description: "Grundlage daf\xFCr SOLLTEN Schwachstellenmeldungen von herstellenden\ + \ Unternehmen oder \xF6ffentlich verf\xFCgbare CERT-Meldungen sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a12.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a12 + ref_id: IND.1.A12.5 + description: "Erg\xE4nzend hierzu SOLLTEN organisatorische und technische Audits\ + \ zur Schwachstellenanalyse durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 + ref_id: IND.1.A13 + name: "Notfallplanung f\xFCr OT" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a13 + ref_id: IND.1.A13.1 + description: "Notfallpl\xE4ne f\xFCr den Ausfall und f\xFCr die Kompromittierung\ + \ jeder Zone SOLLTEN definiert, dokumentiert, nach jeder gr\xF6\xDFeren \xC4\ + nderung getestet und regelm\xE4\xDFig ge\xFCbt sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a13 + ref_id: IND.1.A13.2 + description: "Zudem SOLLTE ein wirksames Ersatzverfahren f\xFCr den Ausfall\ + \ der (Fern-) Administrationsm\xF6glichkeit definiert, dokumentiert und getestet\ + \ sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 + ref_id: IND.1.A14 + name: Starke Authentisierung an OT-Komponenten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a14 + ref_id: IND.1.A14.1 + description: "Zur sicheren Authentisierung von privilegierten Benutzenden in\ + \ Steuerungssystemen SOLLTE ein zentraler Verzeichnisdienst eingerichtet werden\ + \ (siehe Baustein ORP.4 Identit\xE4ts- und Berechtigungsmanagement)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a14 + ref_id: IND.1.A14.2 + description: "Die Authentisierung SOLLTE durch den Einsatz mehrerer Faktoren\ + \ wie Wissen, Besitz oder Biometrie zus\xE4tzlich abgesichert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a14 + ref_id: IND.1.A14.3 + description: "Bei der Planung SOLLTE darauf geachtet werden, dass daraus entstehende\ + \ Abh\xE4ngigkeiten in der Authentisierung bekannt sind und bei der Umsetzung\ + \ der L\xF6sung ber\xFCcksichtigt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a14.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a14 + ref_id: IND.1.A14.4 + description: "Es SOLLTE sichergestellt werden, dass die Authentisierung von\ + \ betrieblich erforderlichen technischen Konten auch in Notf\xE4llen durchgef\xFC\ + hrt werden kann." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 + ref_id: IND.1.A15 + name: "\xDCberwachung von weitreichenden Berechtigungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a15 + ref_id: IND.1.A15.1 + description: "Die Institution SOLLTE ein Bestandsverzeichnis f\xFChren, das\ + \ alle vergebenen Zutritts-, Zugangs und Zugriffsrechte auf kritische Systeme\ + \ enth\xE4lt." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a15 + ref_id: IND.1.A15.2 + description: "Das Verzeichnis SOLLTE beinhalten, welche Rechte ein bestimmter\ + \ Benutzender oder eine bestimme Benutzende effektiv hat und wer an einem\ + \ bestimmten System \xFCber welche Rechte verf\xFCgt." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a15 + ref_id: IND.1.A15.3 + description: "Alle kritischen administrativen T\xE4tigkeiten SOLLTEN protokolliert\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a15.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a15 + ref_id: IND.1.A15.4 + description: "Der IT-Betrieb SOLLTE NICHT die Protokolle l\xF6schen oder manipulieren\ + \ k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 + ref_id: IND.1.A16 + name: "St\xE4rkere Abschottung der Zonen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a16 + ref_id: IND.1.A16.1 + description: "Bei hoch schutzbed\xFCrftigen oder schlecht absicherbaren ICS-Umgebungen\ + \ SOLLTEN vorbeugend Schnittstellensysteme mit Sicherheitspr\xFCffunktionen\ + \ eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a16 + ref_id: IND.1.A16.2 + description: "Durch Realisierung einer oder mehrerer Anbindungszonen (DMZ) in\ + \ P-A-P-Struktur SOLLTEN durchg\xE4ngige Au\xDFenverbindungen terminiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a16 + ref_id: IND.1.A16.3 + description: "Erforderliche Sicherheitspr\xFCfungen SOLLTEN so erfolgen, dass\ + \ die ICS-Anlage nicht angepasst werden muss." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 + ref_id: IND.1.A17 + name: "Regelm\xE4\xDFige Sicherheits\xFCberpr\xFCfung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a17 + ref_id: IND.1.A17.1 + description: "Die Sicherheitskonfiguration von OT-Komponenten SOLLTE regelm\xE4\ + \xDFig und bedarfsorientiert bei pl\xF6tzlich auftretenden neuen, bisher unbekannten\ + \ Gef\xE4hrdungen \xFCberpr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a17 + ref_id: IND.1.A17.2 + description: "Die Sicherheits\xFCberpr\xFCfung SOLLTE zumindest die exponierten\ + \ Systeme mit Au\xDFenschnittstellen oder Benutzendeninteraktion umfassen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a17 + ref_id: IND.1.A17.3 + description: "Auch das realisierte Sicherheitskonzept SOLLTE regelm\xE4\xDF\ + ig \xFCberpr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a17.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a17 + ref_id: IND.1.A17.4 + description: "Die Sicherheits\xFCberpr\xFCfung SOLLTE als Konfigurationspr\xFC\ + fung oder auch durch automatisierte Konformit\xE4tspr\xFCfungen erfolgen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 + ref_id: IND.1.A18 + name: Protokollierung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a18 + ref_id: IND.1.A18.1 + description: "Jede \xC4nderung an ICS-Komponenten MUSS protokolliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a18 + ref_id: IND.1.A18.2 + description: "Au\xDFerdem M\xDCSSEN alle Zugriffe auf ICS-Komponenten protokolliert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 + ref_id: IND.1.A19 + name: Erstellung von Datensicherungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a19 + ref_id: IND.1.A19.1 + description: "Programme und Daten M\xDCSSEN regelm\xE4\xDFig gesichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a19 + ref_id: IND.1.A19.2 + description: "Auch nach jeder System\xE4nderung an OT-Komponenten MUSS eine\ + \ Sicherung erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 + ref_id: IND.1.A20 + name: Systemdokumentation + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a20 + ref_id: IND.1.A20.1 + description: Es SOLLTE eine erweiterte Systemdokumentation erstellt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a20.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a20 + ref_id: IND.1.A20.2 + description: "Darin SOLLTEN Besonderheiten im Betrieb und die M\xF6glichkeiten\ + \ zur Systemverwaltung festgehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a20.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a20 + ref_id: IND.1.A20.3 + description: "Au\xDFerdem SOLLTE dokumentiert werden, wenn ICS-Komponenten ver\xE4\ + ndert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 + ref_id: IND.1.A21 + name: Dokumentation der Kommunikationsbeziehungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a21 + ref_id: IND.1.A21.1 + description: Es SOLLTE dokumentiert werden, mit welchen Systemen eine ICS-Komponente + welche Daten austauscht. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a21.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a21 + ref_id: IND.1.A21.2 + description: "Au\xDFerdem SOLLTEN die Kommunikationsverbindungen neu integrierter\ + \ ICS-Komponenten dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 + ref_id: IND.1.A22 + name: "Zentrale Systemprotokollierung und -\xFCberwachung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a22 + ref_id: IND.1.A22.1 + description: Die Protokollierungsdaten von ICS-Komponenten SOLLTEN zentral gespeichert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a22.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a22 + ref_id: IND.1.A22.2 + description: Bei sicherheitskritischen Ereignissen SOLLTE automatisch alarmiert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a23 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 + ref_id: IND.1.A23 + name: Aussonderung von ICS-Komponenten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a23.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a23 + ref_id: IND.1.A23.1 + description: "Wenn alte oder defekte ICS-Komponenten ausgesondert werden, SOLLTEN\ + \ alle sch\xFCtzenswerten Daten sicher gel\xF6scht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a23.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a23 + ref_id: IND.1.A23.2 + description: Es SOLLTE insbesondere sichergestellt sein, dass alle Zugangsdaten + nachhaltig entfernt wurden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a24 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1 + ref_id: IND.1.A24 + name: "Kommunikation im St\xF6rfall" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a24.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.1.a24 + ref_id: IND.1.A24.1 + description: "Alternative und unabh\xE4ngige Kommunikationsm\xF6glichkeiten\ + \ SOLLTEN aufgebaut und betrieben werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind + ref_id: IND.2.1 + name: Allgemeine ICS-Komponente + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1 + ref_id: IND.2.1.A1 + name: "Einschr\xE4nkung des Zugriffs auf Konfigurations- und Wartungsschnittstellen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a1 + ref_id: IND.2.1.A1.1 + description: "Standardm\xE4\xDFig eingerichtete bzw. vom herstellenden Unternehmen\ + \ gesetzte Passw\xF6rter M\xDCSSEN gewechselt werden (siehe ORP.4 Identit\xE4\ + ts- und Berechtigungsmanagement)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a1 + ref_id: IND.2.1.A1.2 + description: Der Wechsel MUSS dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a1 + ref_id: IND.2.1.A1.3 + description: "Die Passw\xF6rter M\xDCSSEN sicher hinterlegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a1 + ref_id: IND.2.1.A1.4 + description: "Es MUSS sichergestellt werden, dass nur berechtigte Mitarbeitende\ + \ auf Konfigurations- und Wartungsschnittstellen von ICS-Komponenten zugreifen\ + \ k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a1 + ref_id: IND.2.1.A1.5 + description: "Die Konfiguration von ICS-Komponenten DARF NUR nach einer Freigabe\ + \ durch die verantwortliche Person oder nach einer Authentisierung ge\xE4\ + ndert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1 + ref_id: IND.2.1.A2 + name: "Nutzung sicherer \xDCbertragungs-Protokolle f\xFCr die Konfiguration\ + \ und Wartung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a2 + ref_id: IND.2.1.A2.1 + description: "F\xFCr die Konfiguration und Wartung von ICS-Komponenten M\xDC\ + SSEN sichere Protokolle eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a2 + ref_id: IND.2.1.A2.2 + description: "Die Informationen M\xDCSSEN gesch\xFCtzt \xFCbertragen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1 + ref_id: IND.2.1.A4 + name: Deaktivierung oder Deinstallation nicht genutzter Dienste, Funktionen + und Schnittstellen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a4 + ref_id: IND.2.1.A4.1 + description: "Alle nicht genutzten Dienste, Funktionen und Schnittstellen der\ + \ ICS-Komponenten M\xDCSSEN deaktiviert oder deinstalliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1 + ref_id: IND.2.1.A6 + name: Netzsegmentierung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a6 + ref_id: IND.2.1.A6.1 + description: "ICS-Komponenten M\xDCSSEN von der Office-IT getrennt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a6 + ref_id: IND.2.1.A6.2 + description: "H\xE4ngen ICS-Komponenten von anderen Diensten im Netz ab, SOLLTE\ + \ das ausreichend dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a6 + ref_id: IND.2.1.A6.3 + description: "ICS-Komponenten SOLLTEN so wenig wie m\xF6glich mit anderen ICS-Komponenten\ + \ kommunizieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1 + ref_id: IND.2.1.A7 + name: Erstellung von Datensicherungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a7 + ref_id: IND.2.1.A7.1 + description: "Vor jeder System\xE4nderung an einer ICS-Komponente M\xDCSSEN\ + \ Backups erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1 + ref_id: IND.2.1.A8 + name: Schutz vor Schadsoftware + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a8 + ref_id: IND.2.1.A8.1 + description: "ICS-Komponenten SOLLTEN durch geeignete Mechanismen vor Schadprogrammen\ + \ gesch\xFCtzt werden (siehe OPS.1.1.4 Schutz vor Schadprogrammen)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a8 + ref_id: IND.2.1.A8.2 + description: "Wird daf\xFCr ein Virenschutzprogramm benutzt, SOLLTEN das Programm\ + \ und die Virensignaturen nach der Freigabe durch das herstellende Unternehmen\ + \ immer auf dem aktuellen Stand sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a8 + ref_id: IND.2.1.A8.3 + description: "Wenn die Ressourcen auf der ICS-Komponente nicht ausreichend sind\ + \ oder die Echtzeitanforderung durch den Einsatz von Virenschutzprogrammen\ + \ gef\xE4hrdet werden k\xF6nnte, SOLLTEN alternative Ma\xDFnahmen ergriffen\ + \ werden, etwa die Abschottung der ICS-Komponente oder des Produktionsnetzes." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1 + ref_id: IND.2.1.A11 + name: Wartung der ICS-Komponenten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a11 + ref_id: IND.2.1.A11.1 + description: Bei der Wartung einer ICS-Komponente SOLLTEN immer die aktuellen + und freigegebenen Sicherheitsupdates eingespielt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a11 + ref_id: IND.2.1.A11.2 + description: "Updates f\xFCr das Betriebssystem SOLLTEN erst nach Freigabe durch\ + \ das herstellende Unternehmen einer ICS-Komponente installiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a11 + ref_id: IND.2.1.A11.3 + description: Alternativ SOLLTE die Aktualisierung in einer Testumgebung erprobt + werden, bevor diese in einer produktiven ICS-Komponente eingesetzt wird. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a11.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a11 + ref_id: IND.2.1.A11.4 + description: "F\xFCr kritische Sicherheitsupdates SOLLTE kurzfristig eine Wartung\ + \ durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1 + ref_id: IND.2.1.A13 + name: Geeignete Inbetriebnahme von ICS-Komponenten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a13 + ref_id: IND.2.1.A13.1 + description: Bevor ICS-Komponenten in Betrieb genommen werden, SOLLTEN sie dem + aktuellen, intern freigegebenen Firmware-, Software- und Patch-Stand entsprechen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a13 + ref_id: IND.2.1.A13.2 + description: "Neue ICS-Komponenten SOLLTEN in die bestehenden Betriebs-, \xDC\ + berwachungs- und Informationssicherheitsmanagement-Prozesse eingebunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1 + ref_id: IND.2.1.A16 + name: Schutz externer Schnittstellen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a16 + ref_id: IND.2.1.A16.1 + description: "Von au\xDFen erreichbare Schnittstellen SOLLTEN vor Missbrauch\ + \ gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1 + ref_id: IND.2.1.A17 + name: "Nutzung sicherer Protokolle f\xFCr die \xDCbertragung von Mess- und Steuerdaten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a17 + ref_id: IND.2.1.A17.1 + description: "Mess- oder Steuerdaten SOLLTEN bei der \xDCbertragung vor unberechtigten\ + \ Zugriffen oder Ver\xE4nderungen gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a17 + ref_id: IND.2.1.A17.2 + description: "Bei Anwendungen mit Echtzeitanforderungen SOLLTE gepr\xFCft werden,\ + \ ob dies umsetzbar ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a17 + ref_id: IND.2.1.A17.3 + description: "Werden Mess- oder Steuerdaten \xFCber \xF6ffentliche Netze \xFC\ + bertragen, SOLLTEN sie angemessen gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1 + ref_id: IND.2.1.A18 + name: "Kommunikation im St\xF6rfall" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a18 + ref_id: IND.2.1.A18.1 + description: "Es SOLLTE alternative und unabh\xE4ngige Kommunikationsm\xF6glichkeiten\ + \ geben, die bei einem St\xF6rfall benutzt werden k\xF6nnen, um handlungsf\xE4\ + hig zu bleiben." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1 + ref_id: IND.2.1.A19 + name: Security-Tests + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a19 + ref_id: IND.2.1.A19.1 + description: "Mithilfe von regelm\xE4\xDFigen Security-Tests SOLLTE gepr\xFC\ + ft werden, ob die technischen Sicherheitsma\xDFnahmen noch effektiv umgesetzt\ + \ sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a19 + ref_id: IND.2.1.A19.2 + description: Die Security-Tests SOLLTEN nicht im laufenden Anlagenbetrieb erfolgen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a19.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a19 + ref_id: IND.2.1.A19.3 + description: Die Tests SOLLTEN auf die Wartungszeiten geplant werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a19.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a19 + ref_id: IND.2.1.A19.4 + description: Die Ergebnisse SOLLTEN dokumentiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a19.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a19 + ref_id: IND.2.1.A19.5 + description: Erkannte Risiken SOLLTEN bewertet und behandelt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1 + ref_id: IND.2.1.A20 + name: "Vertrauensw\xFCrdiger Code" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a20 + ref_id: IND.2.1.A20.1 + description: "Firmware-Updates oder neue Steuerungsprogramme SOLLTEN NUR eingespielt\ + \ werden, wenn vorher ihre Integrit\xE4t \xFCberpr\xFCft wurde." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a20.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.1.a20 + ref_id: IND.2.1.A20.2 + description: "Sie SOLLTEN nur aus vertrauensw\xFCrdigen Quellen stammen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind + ref_id: IND.2.2 + name: Speicherprogrammierbare Steuerung (SPS) + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.2.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.2 + ref_id: IND.2.2.A1 + name: "Erweiterte Systemdokumentation f\xFCr Speicherprogrammierbare Steuerungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.2.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.2.a1 + ref_id: IND.2.2.A1.1 + description: "Steuerungsprogramme und Konfigurationen SOLLTEN immer gesichert\ + \ werden, bevor an ihnen etwas ver\xE4ndert wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.2.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.2.a1 + ref_id: IND.2.2.A1.2 + description: "\xC4nderungen an der Konfiguration oder der Tausch von Komponenten\ + \ SOLLTEN vollst\xE4ndig dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.2.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.2 + ref_id: IND.2.2.A3 + name: Zeitsynchronisation + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.2.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.2.a3 + ref_id: IND.2.2.A3.1 + description: "Die Systemzeit SOLLTE automatisch \xFCber eine zentrale automatisierte\ + \ Zeitsynchronisation eingestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind + ref_id: IND.2.3 + name: Sensoren und Aktoren + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3 + ref_id: IND.2.3.A1 + name: Installation von Sensoren + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a1 + ref_id: IND.2.3.A1.1 + description: "Sensoren M\xDCSSEN in geeigneter Weise installiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a1 + ref_id: IND.2.3.A1.2 + description: "Sensoren M\xDCSSEN ausreichend robust sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a1 + ref_id: IND.2.3.A1.3 + description: "Sie M\xDCSSEN zuverl\xE4ssig unter den vorhandenen Umgebungsbedingungen\ + \ wie gro\xDFer W\xE4rme, K\xE4lte, Staub, Vibration oder Korrosion messen\ + \ k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3 + ref_id: IND.2.3.A2 + name: Kalibrierung von Sensoren + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a2 + ref_id: IND.2.3.A2.1 + description: "Wenn notwendig, SOLLTEN Sensoren regelm\xE4\xDFig kalibriert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a2 + ref_id: IND.2.3.A2.2 + description: Die Kalibrierungen SOLLTEN geeignet dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a2 + ref_id: IND.2.3.A2.3 + description: "Der Zugang zur Kalibrierung eines Sensors MUSS gesch\xFCtzt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3 + ref_id: IND.2.3.A3 + name: Drahtlose Kommunikation + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a3 + ref_id: IND.2.3.A3.1 + description: Drahtlose Verwaltungsschnittstellen wie Bluetooth, WLAN oder NFC + SOLLTEN NICHT benutzt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.3.a3 + ref_id: IND.2.3.A3.2 + description: Alle nicht benutzten Kommunikationsschnittstellen SOLLTEN deaktiviert + werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind + ref_id: IND.2.4 + name: Maschine + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4 + ref_id: IND.2.4.A1 + name: Fernwartung durch Maschinen- und Anlagenbauende + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a1 + ref_id: IND.2.4.A1.1 + description: "F\xFCr die Fernwartung einer Maschine MUSS es eine zentrale Richtlinie\ + \ geben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a1 + ref_id: IND.2.4.A1.2 + description: "Darin MUSS geregelt werden, wie die jeweiligen Fernwartungsl\xF6\ + sungen einzusetzen sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a1 + ref_id: IND.2.4.A1.3 + description: "Die Richtlinie MUSS auch festlegen, wie Kommunikationsverbindungen\ + \ gesch\xFCtzt werden sollen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a1 + ref_id: IND.2.4.A1.4 + description: "Hier\xFCber hinaus MUSS sie auch beschreiben, welche Aktivit\xE4\ + ten w\xE4hrend der Fernwartung \xFCberwacht werden sollen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a1 + ref_id: IND.2.4.A1.5 + description: "Au\xDFerdem SOLLTE NICHT m\xF6glich sein, dass \xFCber die Fernwartung\ + \ einer Maschine auf andere IT-Systeme oder Maschinen der Institution zugegriffen\ + \ werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a1 + ref_id: IND.2.4.A1.6 + description: "Mit Dienstleistenden MUSS vereinbart werden, wie sie die in der\ + \ Maschine gespeicherten Informationen verwerten d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4 + ref_id: IND.2.4.A2 + name: "Betrieb nach Ende der Gew\xE4hrleistung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a2 + ref_id: IND.2.4.A2.1 + description: "Es MUSS ein Prozess etabliert werden, der gew\xE4hrleistet, dass\ + \ die Maschine auch \xFCber den Gew\xE4hrleistungszeitraum hinaus sicher weiterbetrieben\ + \ werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.4.a2 + ref_id: IND.2.4.A2.2 + description: "Hierzu M\xDCSSEN mit den Liefernden weitere Unterst\xFCtzungsleistungen\ + \ vertraglich vereinbart werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind + ref_id: IND.2.7 + name: Safety Instrumented Systems + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7 + ref_id: IND.2.7.A1 + name: Erfassung und Dokumentation + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a1 + ref_id: IND.2.7.A1.1 + description: "Alle zum SIS geh\xF6renden Hardware- und Softwarekomponenten,\ + \ relevante Informationen, Verbindungen sowie Rollen und Zust\xE4ndigkeiten\ + \ M\xDCSSEN gesondert erfasst und dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7 + ref_id: IND.2.7.A2 + name: Zweckgebundene Nutzung der Hard- und Softwarekomponenten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a2 + ref_id: IND.2.7.A2.1 + description: "Die Hard- und Softwarekomponenten, die zum SIS geh\xF6ren oder\ + \ im Zusammenhang mit diesem genutzt werden, D\xDCRFEN NICHT zweckentfremdet\ + \ werde." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7 + ref_id: IND.2.7.A3 + name: "\xC4nderung des Anwendungsprogramms auf dem Logiksystem" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a3 + ref_id: IND.2.7.A3.1 + description: "Bereits vorhandene Schutzmechanismen am Logiksystem M\xDCSSEN\ + \ aktiviert sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a3 + ref_id: IND.2.7.A3.2 + description: "Wenn dies nicht m\xF6glich ist, M\xDCSSEN alternative Ma\xDFnahmen\ + \ ergriffen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a3 + ref_id: IND.2.7.A3.3 + description: "Anwendungsprogramme auf den Logiksystemen D\xDCRFEN NUR von autorisierten\ + \ Personen ge\xE4ndert oder zur \xDCbertragung freigegeben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7 + ref_id: IND.2.7.A4 + name: Verankerung von Informationssicherheit im Functional Safety Management + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a4 + ref_id: IND.2.7.A4.1 + description: "Alle Prozesse und Zust\xE4ndigkeiten bez\xFCglich der Informationssicherheit\ + \ von SIS SOLLTEN klar definiert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a4 + ref_id: IND.2.7.A4.2 + description: Im Functional Safety Management SOLLTEN diese beschrieben und namentlich + genannt sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7 + ref_id: IND.2.7.A5 + name: Notfallmanagement von SIS + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a5 + ref_id: IND.2.7.A5.1 + description: "Die Behandlung von Sicherheitsvorf\xE4llen SOLLTE in einem Vorfallreaktionsplan\ + \ festgehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a5 + ref_id: IND.2.7.A5.2 + description: "Dieser SOLLTE die Rollen und Zust\xE4ndigkeiten festhalten und\ + \ die zu ergreifenden Ma\xDFnahmen enthalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7 + ref_id: IND.2.7.A6 + name: Sichere Planung und Spezifikation des SIS + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a6 + ref_id: IND.2.7.A6.1 + description: "Versehentliche oder unautorisierte \xC4nderungen an der Spezifikation,\ + \ Implementierung und an den Engineering-Daten SOLLTEN verhindert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7 + ref_id: IND.2.7.A7 + name: "Trennung und Unabh\xE4ngigkeit des SIS von der Umgebung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a7 + ref_id: IND.2.7.A7.1 + description: "Das SIS SOLLTE r\xFCckwirkungsfrei von seiner Umgebung betrieben\ + \ werden, um seine Sicherheitsfunktionen gew\xE4hrleisten zu k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a7 + ref_id: IND.2.7.A7.2 + description: "Prozesse, die potenziell Auswirkungen auf das SIS haben, SOLLTEN\ + \ dem \xC4nderungsmanagementprozess des Functional Safety Management unterstellt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7 + ref_id: IND.2.7.A8 + name: "Sichere \xDCbertragung von Engineering Daten auf SIS" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a8 + ref_id: IND.2.7.A8.1 + description: "Die Integrit\xE4t der Engineering-Daten SOLLTE w\xE4hrend der\ + \ \xDCbertragung auf SIS sichergestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7 + ref_id: IND.2.7.A9 + name: Absicherung der Daten- und Signalverbindungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a9 + ref_id: IND.2.7.A9.1 + description: "Sofern keine R\xFCckwirkungsfreiheit von Daten- und Signalverbindungen\ + \ (Unidirektionalit\xE4t) nachgewiesen werden kann, SOLLTEN diese Verbindungen\ + \ geeignet abgesichert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7 + ref_id: IND.2.7.A10 + name: "Anzeige und Alarmierung von simulierten oder gebr\xFCckten Variablen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a10 + ref_id: IND.2.7.A10.1 + description: "Variablen der SIS, die durch Ersatzwerte besetzt (simuliert) oder\ + \ von au\xDFen gebr\xFCckt werden, SOLLTEN in geeigneter Weise \xFCberwacht\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a10 + ref_id: IND.2.7.A10.2 + description: Die Werte SOLLTEN den Benutzenden fortlaufend angezeigt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a10 + ref_id: IND.2.7.A10.3 + description: Grenzwerte SOLLTEN definiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a10 + ref_id: IND.2.7.A10.4 + description: "Wenn diese Grenzwerte erreicht werden, SOLLTEN die zust\xE4ndigen\ + \ Personen in geeigneter Weise alarmiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7 + ref_id: IND.2.7.A11 + name: Umgang mit integrierten Systemen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a11 + ref_id: IND.2.7.A11.1 + description: "F\xFCr integrierte Systeme SOLLTE eine passende Strategie entwickelt\ + \ werden, die den Umgang mit Komponenten regelt, welche die funktionale Sicherheit\ + \ (Safety) betreffen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7 + ref_id: IND.2.7.A12 + name: "Sicherstellen der Integrit\xE4t und Authentizit\xE4t von Anwendungsprogrammen\ + \ und Konfigurationsdaten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a12 + ref_id: IND.2.7.A12.1 + description: "Es SOLLTE darauf geachtet werden, dass die herstellenden Unternehmen\ + \ geeignete Mechanismen entwickeln und integrieren, die die Integrit\xE4t\ + \ und Authentizit\xE4t von Konfigurationsdaten und Anwendungsprogrammen auf\ + \ dem Logiksystem oder auf den damit verbundenen Sensoren und Aktoren gew\xE4\ + hrleisten." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a12 + ref_id: IND.2.7.A12.2 + description: "Jegliche Software, die als Download angeboten wird, SOLLTE vor\ + \ Manipulation gesch\xFCtzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.2.7.a12 + ref_id: IND.2.7.A12.3 + description: "Verletzungen der Integrit\xE4t SOLLTEN automatisch erkannt und\ + \ gemeldet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind + ref_id: IND.3.2 + name: Fernwartung im industriellen Umfeld + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2 + ref_id: IND.3.2.A1 + name: Planung des Einsatzes der Fernwartung in der OT + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1 + ref_id: IND.3.2.A1.1 + description: "Im industriellen Umfeld MUSS f\xFCr s\xE4mtliche Einrichtungen\ + \ zur Fernwartung ein einheitliches, zentrales Fernwartungskonzept f\xFCr\ + \ die gesamte OT der Institution erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1 + ref_id: IND.3.2.A1.2 + description: "In dem OT-Fernwartungskonzept M\xDCSSEN folgende Aspekte ber\xFC\ + cksichtigt werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1 + ref_id: IND.3.2.A1.3 + description: "\u2022 spezifische gesetzliche Vorgaben, z. B. Schutz von Personen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1 + ref_id: IND.3.2.A1.4 + description: "\u2022 spezifische Vorgaben durch anlagenherstellende Unternehmen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1 + ref_id: IND.3.2.A1.5 + description: "\u2022 spezifische Anforderungen durch dezentrale Infrastrukturen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1 + ref_id: IND.3.2.A1.6 + description: "\u2022 spezifische Anforderungen an die Anbindungen f\xFCr die\ + \ Fernwartung," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1 + ref_id: IND.3.2.A1.7 + description: "\u2022 spezifische Anforderungen an die Verf\xFCgbarkeit der Fernwartung," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1 + ref_id: IND.3.2.A1.8 + description: "\u2022 spezifische Anforderungen durch Umgebungsbedingungen sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1 + ref_id: IND.3.2.A1.9 + description: "\u2022 spezifische Anforderungen durch Bestandsanlagen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1 + ref_id: IND.3.2.A1.10 + description: "Alle diese Aspekte M\xDCSSEN mit s\xE4mtlichen beteiligten internen\ + \ und externen Stellen abgestimmt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1 + ref_id: IND.3.2.A1.11 + description: "S\xE4mtliche Fernwartungszug\xE4nge, \xFCber die Zugriffe auf\ + \ ein ICS der Institution m\xF6glich sind, M\xDCSSEN in einer zentralen Dokumentation\ + \ erfasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1 + ref_id: IND.3.2.A1.12 + description: "F\xFCr neu anzuschaffende fernwartbare Maschinen M\xDCSSEN die\ + \ Anforderungen an die Informationssicherheit mit den Liefernden abgestimmt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1.13 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1 + ref_id: IND.3.2.A1.13 + description: "Das Ziel SOLLTE eine Standardisierung der verwendeten Fernwartungsl\xF6\ + sungen sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1.14 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a1 + ref_id: IND.3.2.A1.14 + description: "Sobald standardisierte L\xF6sungen f\xFCr die Fernwartung geplant\ + \ werden, M\xDCSSEN sich die OT und die B\xFCro- und Geb\xE4ude-IT gemeinsam\ + \ abstimmen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2 + ref_id: IND.3.2.A2 + name: "Konsistente Dokumentation der Fernwartung durch OT sowie B\xFCro- und\ + \ Geb\xE4ude-IT" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a2 + ref_id: IND.3.2.A2.1 + description: "Im industriellen Umfeld M\xDCSSEN die OT und die B\xFCro- und\ + \ Geb\xE4ude-IT s\xE4mtliche OT-Fernwartungszug\xE4nge gemeinsam erfassen\ + \ und dokumentieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a2 + ref_id: IND.3.2.A2.2 + description: "Insbesondere bei Fernwartungskomponenten, die in Package Units\ + \ integriert sind, M\xDCSSEN auch alle deaktivierten Zug\xE4nge dokumentiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2 + ref_id: IND.3.2.A3 + name: "Regelm\xE4\xDFige Pr\xFCfungen sowie Ausnahmegenehmigungen bestehender\ + \ OT-Fernwartungszug\xE4nge" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a3 + ref_id: IND.3.2.A3.1 + description: "S\xE4mtliche Anlagen M\xDCSSEN regelm\xE4\xDFig gepr\xFCft werden,\ + \ ob alle ihre Fernwartungszug\xE4nge dem Soll-Zustand, d. h. dem aktuellen\ + \ Fernwartungskonzept f\xFCr die OT, entsprechen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a3 + ref_id: IND.3.2.A3.2 + description: "F\xFCr notwendige Abweichungen vom Konzept MUSS innerhalb der\ + \ OT ein Genehmigungsprozess etabliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2 + ref_id: IND.3.2.A4 + name: Verbindliche Regelung der OT-Fernwartung durch Dritte + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a4 + ref_id: IND.3.2.A4.1 + description: "Mit s\xE4mtlichen externen Benutzenden, d. h. herstellenden Unternehmen,\ + \ Integratoren und Wartungsdienstleistenden, M\xDCSSEN angemessen restriktive\ + \ Regelungen f\xFCr die OT-Fernwartung vertraglich vereinbart werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a4 + ref_id: IND.3.2.A4.2 + description: "Diese vertraglichen Regelungen M\xDCSSEN zu jedem Zeitpunkt gew\xE4\ + hrleisten, dass externe Benutzende jegliche OT-Fernwartungszug\xE4nge ausschlie\xDF\ + lich kontrolliert und abgestimmt nutzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a4 + ref_id: IND.3.2.A4.3 + description: "Intern MUSS festgelegt werden, \xFCber welche Fernwartungszug\xE4\ + nge welche T\xE4tigkeiten durch welche externen Benutzenden zul\xE4ssig sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a4 + ref_id: IND.3.2.A4.4 + description: "Dar\xFCber hinaus MUSS festgelegt werden, welche internen Mitarbeitende\ + \ Fernwartungszugriffe und -t\xE4tigkeiten von Externen autorisieren, beobachten\ + \ und gegebenenfalls unterst\xFCtzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a4 + ref_id: IND.3.2.A4.5 + description: "Im industriellen Umfeld MUSS sichergestellt werden, dass Personen\ + \ an oder in Anlagen und Maschinen weder direkt noch indirekt durch eine aktive\ + \ Fernwartung gef\xE4hrdet werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a4.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a4 + ref_id: IND.3.2.A4.6 + description: "Insbesondere bei Safety-Maschinen MUSS der oder die interne OT-Mitarbeitende\ + \ sowohl organisatorisch als auch technisch die Hoheit \xFCber den Beginn\ + \ und das Ende der Fernwartung haben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a4.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a4 + ref_id: IND.3.2.A4.7 + description: Vertraglich MUSS ausgeschlossen werden, dass der Remote-Zugriff + ohne explizite Zustimmung der internen OT-Mitarbeitenden aufgebaut und aufrechterhalten + werden kann. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2 + ref_id: IND.3.2.A5 + name: "Interne Abstimmung f\xFCr die OT-Fernwartung mit der B\xFCro- und Geb\xE4\ + ude-IT" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a5 + ref_id: IND.3.2.A5.1 + description: "Die OT, die B\xFCro- und Geb\xE4ude-IT sowie alle weiteren beteiligten\ + \ Organisationseinheiten M\xDCSSEN angemessen restriktive Regelungen f\xFC\ + r s\xE4mtliche Komponenten und Schnittstellen festlegen, die direkt oder indirekt\ + \ OT-Fernwartung in der Institution erm\xF6glichen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a5 + ref_id: IND.3.2.A5.2 + description: "Diese internen Regelungen M\xDCSSEN zu jedem Zeitpunkt eine kontrollierte\ + \ und abgestimmte Nutzung der jeweiligen OT-Fernwartungszug\xE4nge gew\xE4\ + hrleisten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a5 + ref_id: IND.3.2.A5.3 + description: "Folgende Aspekte M\xDCSSEN geregelt werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a5 + ref_id: IND.3.2.A5.4 + description: "\u2022 Prozesse" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a5.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a5 + ref_id: IND.3.2.A5.5 + description: "\u2022 Zust\xE4ndigkeiten" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a5.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a5 + ref_id: IND.3.2.A5.6 + description: "\u2022 Berechtigungen" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2 + ref_id: IND.3.2.A6 + name: Absicherung jedes Fernwartungszugriffs auf die OT + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a6 + ref_id: IND.3.2.A6.1 + description: "Im industriellen Umfeld MUSS die OT jeden Zugriff auf ein IT-System,\ + \ das einen Fernwartungsdienst f\xFCr die OT bereitstellt, selbst steuern\ + \ k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a6 + ref_id: IND.3.2.A6.2 + description: "Hierf\xFCr MUSS der Zugriff durch mindestens eine Sicherheitskomponente\ + \ in der Zust\xE4ndigkeit der OT abgesichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a6 + ref_id: IND.3.2.A6.3 + description: "Der Zugang zur Fernwartung SOLLTE f\xFCr alle Zugriffe vereinheitlicht\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a6 + ref_id: IND.3.2.A6.4 + description: Jeder Zugriff SOLLTE mithilfe zentraler Authentisierungskomponenten + kontrolliert und explizit zugelassen werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a6 + ref_id: IND.3.2.A6.5 + description: "Falls Komponenten von OT-Fernwartungszug\xE4ngen dezentral liegen\ + \ oder in Package Units integriert sind, dann M\xDCSSEN diese Zug\xE4nge durch\ + \ eine zus\xE4tzliche Sicherheitskomponente abgesichert werden, die ihrerseits\ + \ zentral liegt und nicht in eine Package Unit integriert ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2 + ref_id: IND.3.2.A7 + name: Technische Entkopplung von Zugriffen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a7 + ref_id: IND.3.2.A7.1 + description: Jeder Fernzugriff auf jegliche Komponenten in einer OT-Zone SOLLTE + entkoppelt erfolgen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a7 + ref_id: IND.3.2.A7.2 + description: "In jedem Fernwartungszugang in die OT SOLLTE ein IT-System positioniert\ + \ sein, das die Verbindung vor dem \xDCbergang in die OT-Zielzone terminiert\ + \ und zum Fernwartungsdienst eine neue, \xFCberwachte und reglementierte Kommunikation\ + \ aufbaut." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a7 + ref_id: IND.3.2.A7.3 + description: "Alle f\xFCr die Fernwartung ben\xF6tigten Werkzeuge und Programme\ + \ SOLLTEN auf dem IT-System des Fernwartungszugangs installiert und lauff\xE4\ + hig sein sowie einen Mehrbenutzendenbetrieb unterst\xFCtzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a7 + ref_id: IND.3.2.A7.4 + description: Das IT-System SOLLTE ein Sprungserver oder ein vergleichbares Application + Layer Gateway (ALG) sein, das in einem dedizierten Sicherheitssegment, z. + B. in einer demilitarisierten Zone (DMZ) positioniert ist. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a7 + ref_id: IND.3.2.A7.5 + description: "F\xFCr das IT-System zur Entkopplung der Zugriffe SOLLTE die OT\ + \ zust\xE4ndig sein, d. h. es liegt idealerweise in einer OT-DMZ." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2 + ref_id: IND.3.2.A8 + name: Explizite Freigabe jeder OT-Fernwartungssitzung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a8 + ref_id: IND.3.2.A8.1 + description: "Jede Fernwartungssitzung SOLLTE vorab durch einen oder einer OT-Mitarbeitenden\ + \ der betreibenden Institution, der oder die f\xFCr das Zielsystem der Sitzung\ + \ zust\xE4ndig ist, genehmigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a8 + ref_id: IND.3.2.A8.2 + description: Erst danach SOLLTE der oder die OT-Mitarbeitende den Fernwartungszugang + freischalten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a8 + ref_id: IND.3.2.A8.3 + description: "Die explizite Freigabe SOLLTE sowohl im Bedarfsfall als auch w\xE4\ + hrend abgestimmter Wartungsfenster eingehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a8 + ref_id: IND.3.2.A8.4 + description: "Die Freigabe SOLLTE grunds\xE4tzlich nur f\xFCr einen begrenzten\ + \ Zeitraum g\xFCltig sein, d. h. die zust\xE4ndigen OT-Mitarbeitenden behalten\ + \ die Hoheit \xFCber den Zeitpunkt der Fernwartung (siehe Anforderung IND.3.2.A3\ + \ Regelm\xE4\xDFige Pr\xFCfungen sowie Ausnahmegenehmigungen bestehender OT-Fernwartungszug\xE4\ + nge)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a8.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a8 + ref_id: IND.3.2.A8.5 + description: "Dar\xFCber hinaus SOLLTEN externe Fernwartungszugriffe ausschlie\xDF\ + lich von innen nach au\xDFen, d. h. aus dem OT-Netz heraus, aufgebaut werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2 + ref_id: IND.3.2.A9 + name: Sicherer Austausch von Dateien begleitend zur OT-Fernwartung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a9 + ref_id: IND.3.2.A9.1 + description: "F\xFCr einen Dateiaustausch im Rahmen der OT-Fernwartung, z. B.\ + \ von Konfigurationsdateien, Updates oder Handb\xFCchern, SOLLTE ein sicheres\ + \ Vorgehen etabliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a9 + ref_id: IND.3.2.A9.2 + description: "Dies MUSS mindestens eine \xDCberpr\xFCfung auf Schadsoftware\ + \ beinhalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a9 + ref_id: IND.3.2.A9.3 + description: Der Verbindungsaufbau zwischen einem Datenaustauschsystem und der + Dateiquelle SOLLTE nicht automatisiert erfolgen, sondern vor jedem Dateiaustausch + von der OT der Institution initiiert und authentisiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a9 + ref_id: IND.3.2.A9.4 + description: "Ein Dateiaustausch SOLLTE grunds\xE4tzlich protokolliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2 + ref_id: IND.3.2.A10 + name: Beobachtung und Kontrolle von OT-Fernwartungssitzungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a10 + ref_id: IND.3.2.A10.1 + description: "Im industriellen Umfeld MUSS sichergestellt werden, dass weder\ + \ direkt noch indirekt Personen an oder in Anlagen und Maschinen sowie die\ + \ Anlagen oder Maschinen selbst durch eine aktive Fernwartung gef\xE4hrdet\ + \ werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a10 + ref_id: IND.3.2.A10.2 + description: "Dar\xFCber hinaus MUSS sichergestellt werden, dass eine aktive\ + \ Fernwartung den Produktionsprozess nicht beeintr\xE4chtigt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a10 + ref_id: IND.3.2.A10.3 + description: "Falls Personen- oder Sachsch\xE4den m\xF6glich sind, MUSS sichergestellt\ + \ sein, dass die OT-Mitarbeitenden die Fernwartungst\xE4tigkeiten vor Ort\ + \ mitverfolgen k\xF6nnen (Vier-Augen-Prinzip)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a10 + ref_id: IND.3.2.A10.4 + description: "Die OT-Mitarbeitenden SOLLTEN bei Bedarf eingreifen k\xF6nnen\ + \ sowie eine Fernwartungssitzung unterbrechen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2 + ref_id: IND.3.2.A11 + name: "Zentrale Verwaltung aller Konten f\xFCr die OT-Fernwartung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a11 + ref_id: IND.3.2.A11.1 + description: "F\xFCr den Fernwartungszugriff in der OT SOLLTEN ausschlie\xDF\ + lich Konten verwendet werden, die in einem zentralen Verzeichnisdienst der\ + \ OT oder der Institution verwaltet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2 + ref_id: IND.3.2.A12 + name: "Dedizierte Fernwartungsl\xF6sung in der OT" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a12 + ref_id: IND.3.2.A12.1 + description: "F\xFCr die Fernwartung im industriellen Umfeld SOLLTE eine dedizierte\ + \ OT-Fernwartungsl\xF6sung eingesetzt werden, die unabh\xE4ngig von der B\xFC\ + ro- und Geb\xE4ude-IT ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a12 + ref_id: IND.3.2.A12.2 + description: "Alle weiteren Funktionen auf den IT-Systemen zur OT-Fernwartung,\ + \ insbesondere auch Funktionen zur Administration von IT-Systemen und Netzen\ + \ au\xDFerhalb der OT, SOLLTEN deaktiviert bzw. unterbunden werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a12 + ref_id: IND.3.2.A12.3 + description: "Falls eine maximale Unabh\xE4ngigkeit realisiert werden soll,\ + \ SOLLTE auch ein dedizierter Internet-Zugang f\xFCr die OT-Fernwartung genutzt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2 + ref_id: IND.3.2.A13 + name: Protokollierung der Inhalte von Fernwartungszugriffen in der OT + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a13 + ref_id: IND.3.2.A13.1 + description: "F\xFCr die Fernwartung von OT-Anwendungen oder -Systemen SOLLTE\ + \ die Protokollierung so ausgeweitet werden, dass s\xE4mtliche T\xE4tigkeiten\ + \ l\xFCckenlos und umgehend nachvollziehbar sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a13 + ref_id: IND.3.2.A13.2 + description: "Hierzu SOLLTEN erg\xE4nzend zur Protokollierung von Ereignissen\ + \ und Sitzungsdaten auch die Inhalte von Fernwartungszugriffen protokolliert\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2 + ref_id: IND.3.2.A14 + name: Technische Kontrolle von Fernwartungssitzungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a14 + ref_id: IND.3.2.A14.1 + description: "OT-Fernwartungssitzungen SOLLTEN erg\xE4nzend zu IND.3.2.A10 Beobachtung\ + \ und Kontrolle von OT-Fernwartungssitzungen kontinuierlich durch eine technische\ + \ L\xF6sung reglementiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a14 + ref_id: IND.3.2.A14.2 + description: "Dabei SOLLTEN die Aktivit\xE4ten auf Befehlsebene, d. h. manuelle\ + \ und automatisierte Befehle, technisch \xFCberwacht und gegebenenfalls automatisch\ + \ unterbunden werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a14 + ref_id: IND.3.2.A14.3 + description: "Zus\xE4tzlich SOLLTEN Sitzungen komponenten\xFCbergreifend \xFC\ + berwacht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a14.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ind.3.2.a14 + ref_id: IND.3.2.A14.4 + description: "Falls technisch \xFCberwacht wird, dann SOLLTE nicht nur bei konkreten\ + \ Regelverst\xF6\xDFen, sondern auch bei Anomalien im Benutzungsverhalten\ + \ ein Alarm ausgel\xF6st werden, z. B. sobald ein pl\xF6tzlich erh\xF6htes\ + \ Kommunikationsvolumen erkannt wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf + assessable: false + depth: 1 + ref_id: INF + name: Infrastruktur + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf + ref_id: INF.1 + name: "Allgemeines Geb\xE4ude" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 + ref_id: INF.1.A1 + name: "Planung der Geb\xE4udeabsicherung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a1 + ref_id: INF.1.A1.1 + description: "Je nach der (geplanten) Nutzung eines Geb\xE4udes und dem Schutzbedarf\ + \ der dort betriebenen Gesch\xE4ftsprozesse MUSS festgelegt werden, wie das\ + \ Geb\xE4ude abzusichern ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a1 + ref_id: INF.1.A1.2 + description: "Bei einem Geb\xE4ude M\xDCSSEN insbesondere Sicherheitsaspekte\ + \ zum Schutz von Personen im Geb\xE4ude, dem Schutz der Wirtschaftsg\xFCter\ + \ und der IT beachtet werden, von Brandschutz \xFCber Elektrik bis hin zur\ + \ Zutrittskontrolle." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a1 + ref_id: INF.1.A1.3 + description: "Die Sicherheitsanforderungen aus den verschiedenen Bereichen M\xDC\ + SSEN aufeinander abgestimmt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 + ref_id: INF.1.A2 + name: Angepasste Aufteilung der Stromkreise + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a2 + ref_id: INF.1.A2.1 + description: "Es MUSS regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Absicherung\ + \ und Auslegung der Stromkreise noch den tats\xE4chlichen Bed\xFCrfnissen\ + \ gen\xFCgen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 + ref_id: INF.1.A3 + name: Einhaltung von Brandschutzvorschriften + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a3 + ref_id: INF.1.A3.1 + description: "Die bestehenden Brandschutzvorschriften sowie die Auflagen der\ + \ Bauaufsicht M\xDCSSEN eingehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a3 + ref_id: INF.1.A3.2 + description: "Die Fluchtwege M\xDCSSEN vorschriftsm\xE4\xDFig ausgeschildert\ + \ und freigehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a3 + ref_id: INF.1.A3.3 + description: "Es MUSS regelm\xE4\xDFig kontrolliert werden, dass die Fluchtwege\ + \ benutzbar und frei von Hindernissen sind, damit das Geb\xE4ude in einer\ + \ Gefahrensituation schnell ger\xE4umt werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a3 + ref_id: INF.1.A3.4 + description: "Bei der Brandschutzplanung SOLLTE die \xF6rtliche Feuerwehr hinzugezogen\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a3 + ref_id: INF.1.A3.5 + description: "Unn\xF6tige Brandlasten M\xDCSSEN vermieden werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a3.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a3 + ref_id: INF.1.A3.6 + description: Es MUSS eine Brandschutzbeauftragte oder einen Brandschutzbeauftragten + oder eine mit dem Aufgabengebiet betraute Person geben. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a3.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a3 + ref_id: INF.1.A3.7 + description: Diese Person MUSS geeignet geschult sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 + ref_id: INF.1.A4 + name: "Branderkennung in Geb\xE4uden" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a4 + ref_id: INF.1.A4.1 + description: "Geb\xE4ude M\xDCSSEN entsprechend der Auflagen in der Baugenehmigung\ + \ und dem Brandschutzkonzept folgend mit einer ausreichenden Anzahl von Rauchmeldern\ + \ ausgestattet sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a4 + ref_id: INF.1.A4.2 + description: "Ist eine lokale Alarmierung am Ort des Melders nicht ausreichend,\ + \ M\xDCSSEN alle Melder auf eine Brandmeldezentrale (BMZ) aufgeschaltet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a4 + ref_id: INF.1.A4.3 + description: "Bei Rauchdetektion MUSS eine Alarmierung im Geb\xE4ude ausgel\xF6\ + st werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a4 + ref_id: INF.1.A4.4 + description: "Es MUSS sichergestellt sein, dass alle im Geb\xE4ude anwesenden\ + \ Personen diese wahrnehmen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a4 + ref_id: INF.1.A4.5 + description: "Die Funktionsf\xE4higkeit aller Rauchmelder sowie aller sonstigen\ + \ Komponenten einer Brandmeldeanlage (BMA) MUSS regelm\xE4\xDFig \xFCberpr\xFC\ + ft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 + ref_id: INF.1.A5 + name: "Handfeuerl\xF6scher" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a5 + ref_id: INF.1.A5.1 + description: "Zur Sofortbek\xE4mpfung von Br\xE4nden M\xDCSSEN Handfeuerl\xF6\ + scher in der jeweils geeigneten Brandklasse (DIN EN 3 Tragbare Feuerl\xF6\ + scher) in ausreichender Zahl und Gr\xF6\xDFe im Geb\xE4ude zur Verf\xFCgung\ + \ stehen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a5 + ref_id: INF.1.A5.2 + description: "Die Handfeuerl\xF6scher M\xDCSSEN regelm\xE4\xDFig gepr\xFCft\ + \ und gewartet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a5 + ref_id: INF.1.A5.3 + description: "Die Mitarbeitenden SOLLTEN in die Benutzung der Handfeuerl\xF6\ + scher eingewiesen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a5 + ref_id: INF.1.A5.4 + description: "Die Einweisungen SOLLTEN in zweckm\xE4\xDFigen Zeitabst\xE4nden\ + \ wiederholt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 + ref_id: INF.1.A6 + name: "Geschlossene Fenster und T\xFCren" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a6 + ref_id: INF.1.A6.1 + description: "Fenster und von au\xDFen zug\xE4ngliche T\xFCren, etwa von Balkonen\ + \ oder Terrassen, M\xDCSSEN zu Zeiten, in denen ein Raum nicht besetzt ist,\ + \ geschlossen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a6 + ref_id: INF.1.A6.2 + description: "R\xE4ume M\xDCSSEN verschlossen werden, falls dort vertrauliche\ + \ Informationen zur\xFCckgelassen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a6 + ref_id: INF.1.A6.3 + description: "Daf\xFCr MUSS es eine entsprechende Anweisung geben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a6 + ref_id: INF.1.A6.4 + description: Alle Mitarbeitenden SOLLTEN dazu verpflichtet werden, der Anweisung + nachzukommen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a6 + ref_id: INF.1.A6.5 + description: "Es MUSS regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Fenster\ + \ und Innen- sowie Au\xDFent\xFCren nach Verlassen des Geb\xE4udes verschlossen\ + \ sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a6.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a6 + ref_id: INF.1.A6.6 + description: "Brand- und Rauchschutzt\xFCren D\xDCRFEN NUR dann dauerhaft offen\ + \ gehalten werden, wenn dies durch zugelassene Feststellanlagen erfolgt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 + ref_id: INF.1.A7 + name: Zutrittsregelung und -kontrolle + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a7 + ref_id: INF.1.A7.1 + description: "Der Zutritt zu schutzbed\xFCrftigen Geb\xE4udeteilen und R\xE4\ + umen MUSS geregelt und kontrolliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a7 + ref_id: INF.1.A7.2 + description: "Es SOLLTE ein Konzept f\xFCr die Zutrittskontrolle existieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a7 + ref_id: INF.1.A7.3 + description: "Die Zahl der zutrittsberechtigten Personen SOLLTE f\xFCr jeden\ + \ Bereich auf ein Mindestma\xDF reduziert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a7 + ref_id: INF.1.A7.4 + description: "Weitere Personen D\xDCRFEN erst Zutritt erhalten, nachdem gepr\xFC\ + ft wurde, ob dies notwendig ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a7 + ref_id: INF.1.A7.5 + description: Alle erteilten Zutrittsberechtigungen SOLLTEN dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a7.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a7 + ref_id: INF.1.A7.6 + description: "Die Zutrittskontrollma\xDFnahmen M\xDCSSEN regelm\xE4\xDFig auf\ + \ ihre Wirksamkeit \xFCberpr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a7.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a7 + ref_id: INF.1.A7.7 + description: "Zutrittskontrollen SOLLTEN auch w\xE4hrend Umz\xFCgen soweit wie\ + \ m\xF6glich vorhanden sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 + ref_id: INF.1.A8 + name: Rauchverbot + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a8 + ref_id: INF.1.A8.1 + description: "F\xFCr R\xE4ume mit IT oder Datentr\xE4gern, in denen Br\xE4nde\ + \ oder Verschmutzungen zu hohen Sch\xE4den f\xFChren k\xF6nnen, wie Serverr\xE4\ + ume, Datentr\xE4ger- oder Belegarchive, MUSS ein Rauchverbot erlassen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a8 + ref_id: INF.1.A8.2 + description: "Es MUSS regelm\xE4\xDFig kontrolliert werden, dass bei der Einrichtung\ + \ oder Duldung von Raucherzonen der Zutrittsschutz nicht umgangen wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 + ref_id: INF.1.A9 + name: "Sicherheitskonzept f\xFCr die Geb\xE4udenutzung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a9 + ref_id: INF.1.A9.1 + description: "Es SOLLTE ein Sicherheitskonzept f\xFCr die Geb\xE4udenutzung\ + \ geben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a9 + ref_id: INF.1.A9.2 + description: "Das Sicherheitskonzept f\xFCr das Geb\xE4ude SOLLTE mit dem Gesamtsicherheitskonzept\ + \ der Institution abgestimmt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a9 + ref_id: INF.1.A9.3 + description: "Es SOLLTE dokumentiert und regelm\xE4\xDFig aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a9 + ref_id: INF.1.A9.4 + description: "Sch\xFCtzenswerte R\xE4ume oder Geb\xE4udeteile SOLLTEN nicht\ + \ in exponierten oder besonders gef\xE4hrdeten Bereichen untergebracht sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a9.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a9 + ref_id: INF.1.A9.5 + description: Es MUSS ein IT-bezogenes Brandschutzkonzept erstellt und umgesetzt + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 + ref_id: INF.1.A10 + name: "Einhaltung einschl\xE4giger Normen und Vorschriften" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a10 + ref_id: INF.1.A10.1 + description: "Bei der Planung, der Errichtung und dem Umbau von Geb\xE4uden\ + \ sowie beim Einbau von technischen Einrichtungen M\xDCSSEN alle relevanten\ + \ Normen und Vorschriften ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 + ref_id: INF.1.A12 + name: "Schl\xFCsselverwaltung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a12 + ref_id: INF.1.A12.1 + description: "F\xFCr alle Schl\xFCssel des Geb\xE4udes SOLLTE ein Schlie\xDF\ + plan vorliegen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a12 + ref_id: INF.1.A12.2 + description: "Die Herstellung, Aufbewahrung, Verwaltung und Ausgabe von Schl\xFC\ + sseln SOLLTE zentral geregelt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a12 + ref_id: INF.1.A12.3 + description: "Reserveschl\xFCssel SOLLTEN vorgehalten und gesichert, aber f\xFC\ + r Notf\xE4lle griffbereit aufbewahrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a12 + ref_id: INF.1.A12.4 + description: "Nicht ausgegebene Schl\xFCssel SOLLTEN sicher aufbewahrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a12.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a12 + ref_id: INF.1.A12.5 + description: "Jede Schl\xFCsselausgabe SOLLTE dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 + ref_id: INF.1.A13 + name: "Regelungen f\xFCr Zutritt zu Verteilern" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a13 + ref_id: INF.1.A13.1 + description: "Der Zutritt zu den Verteilern aller Versorgungseinrichtungen in\ + \ einem Geb\xE4ude SOLLTE im Bedarfsfall schnell m\xF6glich sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a13 + ref_id: INF.1.A13.2 + description: "Der Zutritt zu Verteilern SOLLTE auf einen engen Kreis von Berechtigten\ + \ beschr\xE4nkt sein" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 + ref_id: INF.1.A14 + name: Blitzschutzeinrichtungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a14 + ref_id: INF.1.A14.1 + description: Es SOLLTE eine Blitzschutzanlage nach geltender Norm installiert + sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a14 + ref_id: INF.1.A14.2 + description: "Es SOLLTE ein umfassendes Blitz- und \xDCberspannungsschutzkonzept\ + \ vorhanden sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a14 + ref_id: INF.1.A14.3 + description: "Die Fangeinrichtungen bei Geb\xE4uden mit umfangreicher IT-Ausstattung\ + \ SOLLTEN mindestens der Schutzklasse II gem\xE4\xDF DIN EN 62305 Blitzschutz\ + \ entsprechen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a14.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a14 + ref_id: INF.1.A14.4 + description: "Die Blitzschutzanlage SOLLTE regelm\xE4\xDFig gepr\xFCft und gewartet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 + ref_id: INF.1.A15 + name: "Lagepl\xE4ne der Versorgungsleitungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a15 + ref_id: INF.1.A15.1 + description: "Es SOLLTEN aktuelle Lagepl\xE4ne aller Versorgungsleitungen existieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a15 + ref_id: INF.1.A15.2 + description: "Es SOLLTE geregelt sein, wer die Lagepl\xE4ne aller Versorgungsleitungen\ + \ f\xFChrt und aktualisiert." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a15 + ref_id: INF.1.A15.3 + description: "Die Pl\xE4ne SOLLTEN so aufbewahrt werden, dass ausschlie\xDF\ + lich berechtigte Personen darauf zugreifen k\xF6nnen, sie aber im Bedarfsfall\ + \ schnell verf\xFCgbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 + ref_id: INF.1.A16 + name: "Vermeidung von Lagehinweisen auf sch\xFCtzenswerte Geb\xE4udeteile" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a16 + ref_id: INF.1.A16.1 + description: "Lagehinweise auf schutzw\xFCrdige Bereiche SOLLTEN vermieden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a16 + ref_id: INF.1.A16.2 + description: "Schutzw\xFCrdige Geb\xE4udebereiche SOLLTEN von au\xDFen nicht\ + \ leicht einsehbar sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 + ref_id: INF.1.A17 + name: Baulicher Rauchschutz + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a17 + ref_id: INF.1.A17.1 + description: "Der bauliche Rauchschutz SOLLTE nach Installations- und Umbauarbeiten\ + \ \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a17 + ref_id: INF.1.A17.2 + description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Rauchschutz-Komponenten\ + \ noch funktionieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 + ref_id: INF.1.A18 + name: Brandschutzbegehungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a18 + ref_id: INF.1.A18.1 + description: "Brandschutzbegehungen SOLLTEN regelm\xE4\xDFig, d. h. mindestens\ + \ ein- bis zweimal im Jahr, stattfinden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a18 + ref_id: INF.1.A18.2 + description: "Bei Brandschutzbegehungen festgestellte M\xE4ngel SOLLTEN unverz\xFC\ + glich behoben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 + ref_id: INF.1.A19 + name: Information des oder der Brandschutzbeauftragten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a19 + ref_id: INF.1.A19.1 + description: "Der oder die Brandschutzbeauftragte SOLLTE \xFCber Arbeiten an\ + \ Leitungstrassen, Fluren, Flucht- und Rettungswegen informiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a19 + ref_id: INF.1.A19.2 + description: "Diese Person SOLLTE die ordnungsgem\xE4\xDFe Ausf\xFChrung von\ + \ Brandschutzma\xDFnahmen kontrollieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 + ref_id: INF.1.A20 + name: "Alarmierungsplan und Brandschutz\xFCbungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a20 + ref_id: INF.1.A20.1 + description: "Es SOLLTE ein Alarmierungsplan f\xFCr die im Brandfall zu ergreifenden\ + \ Ma\xDFnahmen erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a20.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a20 + ref_id: INF.1.A20.2 + description: "Der Alarmierungsplan SOLLTE in regelm\xE4\xDFigen Abst\xE4nden\ + \ \xFCberpr\xFCft und aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a20.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a20 + ref_id: INF.1.A20.3 + description: "Brandschutz\xFCbungen SOLLTEN regelm\xE4\xDFig durchgef\xFChrt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 + ref_id: INF.1.A22 + name: "Sichere T\xFCren und Fenster" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a22 + ref_id: INF.1.A22.1 + description: "T\xFCren und Fenster SOLLTEN anhand der Schutzziele des zu sichernden\ + \ Bereichs und des Schutzbedarfs der Institution in der passenden Klassifizierung\ + \ nach den einschl\xE4gigen Normen ausgew\xE4hlt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a22.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a22 + ref_id: INF.1.A22.2 + description: "Alle raumumschlie\xDFenden Sicherungsma\xDFnahmen durch Fenster,\ + \ T\xFCren und W\xE4nde SOLLTEN in Bezug auf Einbruch, Brand und Rauch gleichwertig\ + \ und angemessen sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a22.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a22 + ref_id: INF.1.A22.3 + description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, dass die Sicherheitst\xFC\ + ren und -fenster funktionst\xFCchtig sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a23 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 + ref_id: INF.1.A23 + name: Bildung von Sicherheitszonen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a23.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a23 + ref_id: INF.1.A23.1 + description: "R\xE4ume \xE4hnlichen Schutzbedarfs SOLLTEN in Zonen zusammengefasst\ + \ werden, um vergleichbare Risiken einheitlich behandeln und Kosten f\xFC\ + r erforderliche Sicherheitsma\xDFnahmen reduzieren zu k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a24 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 + ref_id: INF.1.A24 + name: "Selbstt\xE4tige Entw\xE4sserung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a24.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a24 + ref_id: INF.1.A24.1 + description: "Alle von Wasser gef\xE4hrdeten Bereiche SOLLTEN mit einer selbstt\xE4\ + tigen Entw\xE4sserung ausgestattet sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a24.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a24 + ref_id: INF.1.A24.2 + description: "Es SOLLTE regelm\xE4\xDFig gepr\xFCft werden, ob die aktiven und\ + \ passiven Entw\xE4sserungseinrichtungen noch funktionieren." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a25 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 + ref_id: INF.1.A25 + name: Geeignete Standortauswahl + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a25.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a25 + ref_id: INF.1.A25.1 + description: "Bei Planung und Auswahl des Geb\xE4udestandortes SOLLTE gepr\xFC\ + ft werden, welche Umfeldbedingungen Einfluss auf die Informationssicherheit\ + \ haben k\xF6nnten." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a25.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a25 + ref_id: INF.1.A25.2 + description: "Es SOLLTE eine \xDCbersicht \xFCber standortbedingte Gef\xE4hrdungen\ + \ geben." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a25.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a25 + ref_id: INF.1.A25.3 + description: "Diesen Gef\xE4hrdungen SOLLTE mit zus\xE4tzlichen kompensierenden\ + \ Ma\xDFnahmen entgegengewirkt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a26 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 + ref_id: INF.1.A26 + name: Pforten- oder Sicherheitsdienst + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a26.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a26 + ref_id: INF.1.A26.1 + description: Die Aufgaben des Pforten- oder Sicherheitsdienstes SOLLTEN klar + dokumentiert sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a26.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a26 + ref_id: INF.1.A26.2 + description: "Der Pfortendienst SOLLTE alle Personenbewegungen an der Pforte\ + \ und an allen anderen Eing\xE4ngen beobachten und, je nach Sicherheitskonzept,\ + \ kontrollieren." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a26.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a26 + ref_id: INF.1.A26.3 + description: "Alle Mitarbeitenden und Besuchenden SOLLTEN sich bei dem Pfortendienst\ + \ ausweisen k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a26.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a26 + ref_id: INF.1.A26.4 + description: Besuchende SOLLTEN zu den Besuchten begleitet oder an der Pforte + abgeholt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a26.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a26 + ref_id: INF.1.A26.5 + description: "Der Pfortendienst SOLLTE rechtzeitig dar\xFCber informiert werden,\ + \ wenn sich Zutrittsberechtigungen \xE4ndern." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a27 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 + ref_id: INF.1.A27 + name: Einbruchschutz + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a27.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a27 + ref_id: INF.1.A27.1 + description: "Es SOLLTEN ausreichende und den \xF6rtlichen Gegebenheiten angepasste\ + \ Ma\xDFnahmen zum Einbruchschutz umgesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a27.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a27 + ref_id: INF.1.A27.2 + description: "Bei der Planung, der Umsetzung und im Betrieb SOLLTE beim Einbruchschutz\ + \ darauf geachtet werden, dass er gleichwertig und durchg\xE4ngig ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a27.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a27 + ref_id: INF.1.A27.3 + description: "Er SOLLTE regelm\xE4\xDFig durch eine fachkundige Person begutachtet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a27.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a27 + ref_id: INF.1.A27.4 + description: Die Regelungen zum Einbruchschutz SOLLTEN den Mitarbeitenden bekannt + sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a30 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 + ref_id: INF.1.A30 + name: "Auswahl eines geeigneten Geb\xE4udes" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a30.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a30 + ref_id: INF.1.A30.1 + description: "Bei der Auswahl eines geeigneten Geb\xE4udes SOLLTE gepr\xFCft\ + \ werden, ob alle f\xFCr die sp\xE4tere Nutzung relevanten Sicherheitsanforderungen\ + \ umgesetzt werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a30.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a30 + ref_id: INF.1.A30.2 + description: "F\xFCr jedes Geb\xE4ude SOLLTEN im Vorfeld die vorhandenen Gef\xE4\ + hrdungen und die erforderlichen Sch\xE4den vorbeugenden oder reduzierenden\ + \ Ma\xDFnahmen dokumentiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a31 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 + ref_id: INF.1.A31 + name: "Auszug aus Geb\xE4uden" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a31.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a31 + ref_id: INF.1.A31.1 + description: "Im Vorfeld des Auszugs SOLLTE ein Bestandsverzeichnis aller f\xFC\ + r die Informationssicherheit f\xFCr den Umzug relevanten Objekte wie Hardware,\ + \ Software, Datentr\xE4ger, Ordner oder Schriftst\xFCcke erstellt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a31.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a31 + ref_id: INF.1.A31.2 + description: "Nach dem Auszug SOLLTEN alle R\xE4ume nach zur\xFCckgelassenen\ + \ Dingen durchsucht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a32 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 + ref_id: INF.1.A32 + name: Brandschott-Kataster + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a32.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a32 + ref_id: INF.1.A32.1 + description: "Es SOLLTE ein Brandschott-Kataster gef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a32.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a32 + ref_id: INF.1.A32.2 + description: In diesem SOLLTEN alle Arten von Schotten individuell aufgenommen + werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a32.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a32 + ref_id: INF.1.A32.3 + description: "Nach Arbeiten an Brandschotten SOLLTEN die \xC4nderungen im Kataster\ + \ sp\xE4testens nach vier Wochen eingetragen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a34 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 + ref_id: INF.1.A34 + name: Gefahrenmeldeanlage + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a34.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a34 + ref_id: INF.1.A34.1 + description: "Es SOLLTE eine den R\xE4umlichkeiten und den Risiken angemessene\ + \ Gefahrenmeldeanlage geben." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a34.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a34 + ref_id: INF.1.A34.2 + description: "Die Gefahrenmeldeanlage SOLLTE regelm\xE4\xDFig gepr\xFCft und\ + \ gewartet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a34.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a34 + ref_id: INF.1.A34.3 + description: Es MUSS sichergestellt werden, dass diejenigen, die Gefahrenmeldungen + empfangen in der Lage sind, technisch und personell angemessen auf den Alarm + zu reagieren. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 + ref_id: INF.1.A35 + name: Perimeterschutz + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35 + ref_id: INF.1.A35.1 + description: "Abh\xE4ngig vom Schutzbedarf des Geb\xE4udes und abh\xE4ngig vom\ + \ Gel\xE4nde SOLLTE dieses \xFCber einen Perimeterschutz verf\xFCgen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35 + ref_id: INF.1.A35.2 + description: 'Hierbei SOLLTEN mindestens folgende Komponenten auf ihren Nutzen + und ihre Umsetzbarkeit hin betrachtet werden:' + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35 + ref_id: INF.1.A35.3 + description: "\u2022 \xE4u\xDFere Umschlie\xDFung oder Umfriedung," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35 + ref_id: INF.1.A35.4 + description: "\u2022 Sicherungsma\xDFnahmen gegen unbeabsichtigtes \xDCberschreiten\ + \ einer Grundst\xFCcksgrenze," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35 + ref_id: INF.1.A35.5 + description: "\u2022 Sicherungsma\xDFnahmen gegen beabsichtigtes gewaltloses\ + \ \xDCberwinden der Grundst\xFCcksgrenze," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35 + ref_id: INF.1.A35.6 + description: "\u2022 Ma\xDFnahmen zur Erschwerung des beabsichtigten gewaltsamen\ + \ \xDCberwindens der Grundst\xFCcksgrenze," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35 + ref_id: INF.1.A35.7 + description: "\u2022 Freigel\xE4nde-Sicherungsma\xDFnahmen," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35 + ref_id: INF.1.A35.8 + description: "\u2022 Personen- und Fahrzeugdetektion," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35 + ref_id: INF.1.A35.9 + description: "\u2022 Ma\xDFnahmen zur Beweissicherung (beispielsweise Videoaufzeichnung)\ + \ sowie" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a35 + ref_id: INF.1.A35.10 + description: "\u2022 automatische Alarmierung." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a36 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1 + ref_id: INF.1.A36 + name: "Regelm\xE4\xDFige Aktualisierungen der Dokumentation" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a36.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a36 + ref_id: INF.1.A36.1 + description: "Die Dokumentation eines Geb\xE4udes, z. B. Baupl\xE4ne, Trassenpl\xE4\ + ne, Strangschemata, Fluchtwegpl\xE4ne und Feuerwehrlaufkarten, SOLLTE immer\ + \ auf dem aktuellen Stand gehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a36.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a36 + ref_id: INF.1.A36.2 + description: "Es SOLLTE mindestens einmal innerhalb von drei Jahren \xFCberpr\xFC\ + ft werden, ob alle relevanten Pl\xE4ne noch aktuell und korrekt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a36.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.1.a36 + ref_id: INF.1.A36.3 + description: "\xDCber \xC4nderungen SOLLTEN die Mitarbeitenden informiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf + ref_id: INF.2 + name: Rechenzentrum sowie Serverraum + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 + ref_id: INF.2.A1 + name: Festlegung von Anforderungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a1 + ref_id: INF.2.A1.1 + description: "F\xFCr ein Rechenzentrum M\xDCSSEN angemessene technische und\ + \ organisatorische Vorgaben definiert und umgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a1 + ref_id: INF.2.A1.2 + description: "Wenn ein Rechenzentrum geplant wird oder geeignete R\xE4umlichkeiten\ + \ ausgew\xE4hlt werden, M\xDCSSEN auch geeignete Sicherheitsma\xDFnahmen unter\ + \ Ber\xFCcksichtigung des Schutzbedarfs der IT-Komponenten (insbesondere der\ + \ Verf\xFCgbarkeit) mit geplant werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a1 + ref_id: INF.2.A1.3 + description: Ein Rechenzentrum MUSS insgesamt als geschlossener Sicherheitsbereich + konzipiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a1 + ref_id: INF.2.A1.4 + description: Es MUSS zudem unterschiedliche Sicherheitszonen aufweisen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a1 + ref_id: INF.2.A1.5 + description: "Daf\xFCr M\xDCSSEN z. B. Verwaltungs-, Logistik-, IT-Betriebs-\ + \ und Support-Bereiche klar voneinander getrennt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a1 + ref_id: INF.2.A1.6 + description: "Im Falle eines Serverraums SOLLTE gepr\xFCft werden, ob unterschiedliche\ + \ Sicherheitszonen eingerichtet werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 + ref_id: INF.2.A2 + name: Bildung von Brandabschnitten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a2 + ref_id: INF.2.A2.1 + description: "Es M\xDCSSEN geeignete Brand- und Rauchabschnitte f\xFCr die R\xE4\ + umlichkeiten eines Rechenzentrums festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a2 + ref_id: INF.2.A2.2 + description: "Die Brand- und Rauchabschnitte M\xDCSSEN \xFCber den baurechtlich\ + \ vorgeschriebenen Rahmen hinaus auch Schutz f\xFCr die darin befindlichen\ + \ technischen Einrichtungen und deren Verf\xFCgbarkeit bieten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a2 + ref_id: INF.2.A2.3 + description: Es MUSS verhindert werden, dass sich Brand und Rauch ausbreiten. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a2 + ref_id: INF.2.A2.4 + description: "Im Falle eines Serverraums SOLLTE gepr\xFCft werden, ob geeignete\ + \ Brand- und Rauchabschnitte f\xFCr die R\xE4umlichkeiten umsetzbar sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 + ref_id: INF.2.A3 + name: Einsatz einer unterbrechungsfreien Stromversorgung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3 + ref_id: INF.2.A3.1 + description: "F\xFCr alle betriebsrelevanten Komponenten des Rechenzentrums\ + \ MUSS eine unterbrechungsfreie Stromversorgung (USV) installiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3 + ref_id: INF.2.A3.2 + description: "Da der Leistungsbedarf von Klimaanlagen oft zu hoch f\xFCr eine\ + \ USV ist, MUSS mindestens die Steuerung der Anlagen an die unterbrechungsfreie\ + \ Stromversorgung angeschlossen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3 + ref_id: INF.2.A3.3 + description: "Im Falle eines Serverraums SOLLTE je nach Verf\xFCgbarkeitsanforderungen\ + \ der IT-Systeme gepr\xFCft werden, ob der Betrieb einer USV notwendig ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3 + ref_id: INF.2.A3.4 + description: Die USV MUSS ausreichend dimensioniert sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3 + ref_id: INF.2.A3.5 + description: "Bei relevanten \xC4nderungen an den Verbrauchern MUSS \xFCberpr\xFC\ + ft werden, ob die vorhandenen USV-Systeme noch ausreichend dimensioniert sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3 + ref_id: INF.2.A3.6 + description: Bei USV-Systemen mit Batterie als Energiespeicher MUSS die Batterie + im erforderlichen Temperaturbereich gehalten werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3 + ref_id: INF.2.A3.7 + description: "Sie SOLLTE dazu vorzugsweise r\xE4umlich getrennt von der Leistungselektronik\ + \ der USV platziert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3 + ref_id: INF.2.A3.8 + description: "Die USV MUSS regelm\xE4\xDFig gewartet und auf Funktionsf\xE4\ + higkeit getestet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a3 + ref_id: INF.2.A3.9 + description: "Daf\xFCr M\xDCSSEN die vom herstellenden Unternehmen vorgesehenen\ + \ Wartungsintervalle eingehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 + ref_id: INF.2.A4 + name: Notabschaltung der Stromversorgung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a4 + ref_id: INF.2.A4.1 + description: "Es MUSS geeignete M\xF6glichkeiten geben, elektrische Verbraucher\ + \ im Rechenzentrum spannungsfrei zu schalten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a4 + ref_id: INF.2.A4.2 + description: "Dabei MUSS darauf geachtet werden, ob und wie eine vorhandene\ + \ USV r\xE4umlich und funktional in die Stromversorgung eingebunden ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a4 + ref_id: INF.2.A4.3 + description: "Werden klassische Not-Aus-Schalter eingesetzt, MUSS darauf geachtet\ + \ werden, dass dar\xFCber nicht das komplette Rechenzentrum abgeschaltet wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a4 + ref_id: INF.2.A4.4 + description: Die Notabschaltung MUSS sinnvoll parzelliert und zielgerichtet + erfolgen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a4 + ref_id: INF.2.A4.5 + description: "Alle Not-Aus-Schalter M\xDCSSEN so gesch\xFCtzt sein, dass sie\ + \ nicht unbeabsichtigt oder unbefugt bet\xE4tigt werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 + ref_id: INF.2.A5 + name: Einhaltung der Lufttemperatur und -feuchtigkeit + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a5 + ref_id: INF.2.A5.1 + description: Es MUSS sichergestellt werden, dass die Lufttemperatur und Luftfeuchtigkeit + im IT-Betriebsbereich innerhalb der vorgeschriebenen Grenzwerte liegen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a5 + ref_id: INF.2.A5.2 + description: "Die tats\xE4chliche W\xE4rmelast in den gek\xFChlten Bereichen\ + \ MUSS in regelm\xE4\xDFigen Abst\xE4nden und nach gr\xF6\xDFeren Umbauten\ + \ \xFCberpr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a5 + ref_id: INF.2.A5.3 + description: "Eine vorhandene Klimatisierung MUSS regelm\xE4\xDFig gewartet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a5 + ref_id: INF.2.A5.4 + description: "Die Parameter Temperatur und Feuchtigkeit M\xDCSSEN mindestens\ + \ so aufgezeichnet werden, dass sich r\xFCckwirkend erkennen l\xE4sst, ob\ + \ Grenzwerte \xFCberschritten wurden, und dass sie bei der Lokalisierung der\ + \ Ursache der Abweichung sowie bei der Beseitigung der Ursache unterst\xFC\ + tzend genutzt werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 + ref_id: INF.2.A6 + name: Zutrittskontrolle + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a6 + ref_id: INF.2.A6.1 + description: Der Zutritt zum Rechenzentrum MUSS kontrolliert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a6 + ref_id: INF.2.A6.2 + description: "Zutrittsrechte M\xDCSSEN gem\xE4\xDF der Vorgaben des Bausteins\ + \ ORP.4 Identit\xE4ts- und Berechtigungsmanagement vergeben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a6 + ref_id: INF.2.A6.3 + description: "F\xFCr im Rechenzentrum t\xE4tige Personen MUSS sichergestellt\ + \ werden, dass diese keinen Zutritt zu IT-Systemen au\xDFerhalb ihres T\xE4\ + tigkeitsbereiches erhalten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a6 + ref_id: INF.2.A6.4 + description: "Alle Zutrittsm\xF6glichkeiten zum Rechenzentrum M\xDCSSEN mit\ + \ Zutrittskontrolleinrichtungen ausgestattet sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a6 + ref_id: INF.2.A6.5 + description: Jeder Zutritt zum Rechenzentrum MUSS von der Zutrittskontrolle + individuell erfasst werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a6.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a6 + ref_id: INF.2.A6.6 + description: "Im Falle eines Serverraums SOLLTE gepr\xFCft werden, ob eine \xDC\ + berwachung aller Zutrittsm\xF6glichkeiten sinnvoll ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a6.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a6 + ref_id: INF.2.A6.7 + description: "Es MUSS regelm\xE4\xDFig kontrolliert werden, ob die Regelungen\ + \ zum Einsatz einer Zutrittskontrolle eingehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a6.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a6 + ref_id: INF.2.A6.8 + description: "Die Anforderungen der Institution an ein Zutrittskontrollsystem\ + \ M\xDCSSEN in einem Konzept ausreichend detailliert dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 + ref_id: INF.2.A7 + name: "Verschlie\xDFen und Sichern" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a7 + ref_id: INF.2.A7.1 + description: "Alle T\xFCren des Rechenzentrums M\xDCSSEN stets verschlossen\ + \ gehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a7 + ref_id: INF.2.A7.2 + description: "Fenster M\xDCSSEN m\xF6glichst schon bei der Planung vermieden\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a7 + ref_id: INF.2.A7.3 + description: "Falls sie doch vorhanden sind, M\xDCSSEN sie ebenso wie die T\xFC\ + ren stets verschlossen gehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a7 + ref_id: INF.2.A7.4 + description: "T\xFCren und Fenster M\xDCSSEN einen dem Sicherheitsniveau angemessenen\ + \ Schutz gegen Angriffe und Umgebungseinfl\xFCsse bieten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a7 + ref_id: INF.2.A7.5 + description: "Sie M\xDCSSEN mit einem Sichtschutz versehen sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a7.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a7 + ref_id: INF.2.A7.6 + description: "Dabei MUSS beachtet werden, dass die bauliche Ausf\xFChrung aller\ + \ raumbildenden Elemente in Bezug auf die erforderliche Schutzwirkung gleichwertig\ + \ sein muss." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 + ref_id: INF.2.A8 + name: Einsatz einer Brandmeldeanlage + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a8 + ref_id: INF.2.A8.1 + description: In einem Rechenzentrum MUSS eine Brandmeldeanlage installiert sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a8 + ref_id: INF.2.A8.2 + description: "Diese MUSS alle Fl\xE4chen \xFCberwachen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a8 + ref_id: INF.2.A8.3 + description: "Alle Meldungen der Brandmeldeanlage M\xDCSSEN geeignet weitergeleitet\ + \ werden (siehe dazu auch INF.2.A13 Planung und Installation von Gefahrenmeldeanlagen)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a8 + ref_id: INF.2.A8.4 + description: "Die Brandmeldeanlage MUSS regelm\xE4\xDFig gewartet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a8.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a8 + ref_id: INF.2.A8.5 + description: "Es MUSS sichergestellt werden, dass in R\xE4umen des Rechenzentrums\ + \ keine besonderen Brandlasten vorhanden sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 + ref_id: INF.2.A9 + name: "Einsatz einer L\xF6sch- oder Brandvermeidungsanlage" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a9 + ref_id: INF.2.A9.1 + description: "In einem Rechenzentrum MUSS entweder eine L\xF6sch- oder Brandvermeidungsanlage\ + \ nach aktuellem Stand der Technik installiert sein oder durch technische\ + \ (insbesondere durch eine fl\xE4chendeckende Brandfr\xFCherkennung, siehe\ + \ INF.2.A17 Brandfr\xFCherkennung) und organisatorische Ma\xDFnahmen (geschultes\ + \ Personal und Reaktionspl\xE4ne f\xFCr Meldungen der Brandfr\xFCherkennung)\ + \ sichergestellt sein, dass unmittelbar (innerhalb von maximal 3 Minuten)\ + \ auf Meldungen der Brandfr\xFCherkennung mit schadensminimierenden Ma\xDF\ + nahmen reagiert wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a9 + ref_id: INF.2.A9.2 + description: "In Serverr\xE4umen ohne L\xF6sch- oder Brandvermeidungsanlage\ + \ M\xDCSSEN Handfeuerl\xF6scher mit geeigneten L\xF6schmitteln in ausreichender\ + \ Zahl und Gr\xF6\xDFe vorhanden sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a9 + ref_id: INF.2.A9.3 + description: "Es MUSS beachtet werden, dass dar\xFCber hinausgehende baurechtliche\ + \ Anforderungen hinsichtlich der Ausstattung mit Handfeuerl\xF6schern davon\ + \ unber\xFChrt bleiben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a9 + ref_id: INF.2.A9.4 + description: "Die Feuerl\xF6scher M\xDCSSEN so angebracht werden, dass sie im\ + \ Brandfall leicht zu erreichen sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a9.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a9 + ref_id: INF.2.A9.5 + description: "Jeder Feuerl\xF6scher MUSS regelm\xE4\xDFig gepr\xFCft und gewartet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a9.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a9 + ref_id: INF.2.A9.6 + description: "Alle Mitarbeitenden, die ein Rechenzentrum oder einen Serverraum\ + \ betreten d\xFCrfen, M\xDCSSEN in die Benutzung der Handfeuerl\xF6scher eingewiesen\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 + ref_id: INF.2.A10 + name: Inspektion und Wartung der Infrastruktur + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a10 + ref_id: INF.2.A10.1 + description: "F\xFCr alle Komponenten der baulich-technischen Infrastruktur\ + \ M\xDCSSEN mindestens die vom herstellenden Unternehmen empfohlenen oder\ + \ durch Normen festgelegten Intervalle und Vorschriften f\xFCr Inspektion\ + \ und Wartung eingehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a10 + ref_id: INF.2.A10.2 + description: "Inspektionen und Wartungsarbeiten M\xDCSSEN protokolliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a10 + ref_id: INF.2.A10.3 + description: "Brandschotten M\xDCSSEN daraufhin gepr\xFCft werden, ob sie unversehrt\ + \ sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a10 + ref_id: INF.2.A10.4 + description: "Die Ergebnisse M\xDCSSEN dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 + ref_id: INF.2.A11 + name: "Automatische \xDCberwachung der Infrastruktur" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a11 + ref_id: INF.2.A11.1 + description: "Alle Einrichtungen der Infrastruktur, wie z. B. Leckage\xFCberwachung,\ + \ Klima-, Strom- und USV-Anlagen, M\xDCSSEN automatisch \xFCberwacht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a11 + ref_id: INF.2.A11.2 + description: "Erkannte St\xF6rungen M\xDCSSEN schnellstm\xF6glich in geeigneter\ + \ Weise weitergeleitet und bearbeitet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a11 + ref_id: INF.2.A11.3 + description: "Im Falle eines Serverraums SOLLTEN IT- und Supportger\xE4te, die\ + \ nicht oder nur selten von einer Person bedient werden m\xFCssen, mit einer\ + \ Fernanzeige f\xFCr St\xF6rungen ausgestattet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a11.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a11 + ref_id: INF.2.A11.4 + description: "Die verantwortlichen Mitarbeitenden M\xDCSSEN zeitnah alarmiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 + ref_id: INF.2.A12 + name: "Perimeterschutz f\xFCr das Rechenzentrum" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12 + ref_id: INF.2.A12.1 + description: "F\xFCr Rechenzentren SOLLTE ein Perimeterschutz existieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12 + ref_id: INF.2.A12.2 + description: "Je nach festgelegtem Schutzbedarf f\xFCr das Rechenzentrum und\ + \ abh\xE4ngig vom Gel\xE4nde SOLLTE der Perimeterschutz aus folgenden Komponenten\ + \ bestehen:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12 + ref_id: INF.2.A12.3 + description: "\u2022 \xE4u\xDFere Umschlie\xDFung oder Umfriedung," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12 + ref_id: INF.2.A12.4 + description: "\u2022 Sicherungsma\xDFnahmen gegen unbeabsichtigtes \xDCberschreiten\ + \ einer Grundst\xFCcksgrenze," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12 + ref_id: INF.2.A12.5 + description: "\u2022 Sicherungsma\xDFnahmen gegen beabsichtigtes gewaltloses\ + \ \xDCberwinden der Grundst\xFCcksgrenze," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12 + ref_id: INF.2.A12.6 + description: "\u2022 Sicherungsma\xDFnahmen gegen beabsichtigtes gewaltsames\ + \ \xDCberwinden der Grundst\xFCcksgrenze," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12 + ref_id: INF.2.A12.7 + description: "\u2022 Freiland-Sicherungsma\xDFnahmen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12 + ref_id: INF.2.A12.8 + description: "\u2022 \xE4u\xDFere Personen- und Fahrzeugdetektion," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12 + ref_id: INF.2.A12.9 + description: "\u2022 Ma\xDFnahmen zur Beweissicherung (beispielsweise Videoaufzeichnung)\ + \ sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a12 + ref_id: INF.2.A12.10 + description: "\u2022 automatische Alarmierung." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 + ref_id: INF.2.A13 + name: Planung und Installation von Gefahrenmeldeanlagen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13 + ref_id: INF.2.A13.1 + description: "Basierend auf dem Sicherheitskonzept des Geb\xE4udes SOLLTE geplant\ + \ werden, welche Gefahrenmeldeanlagen f\xFCr welche Bereiche des Rechenzentrums\ + \ ben\xF6tigt und installiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13 + ref_id: INF.2.A13.2 + description: "Hier\xFCber hinaus SOLLTE festgelegt werden, wie mit Alarmmeldungen\ + \ umzugehen ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13 + ref_id: INF.2.A13.3 + description: "Das Konzept SOLLTE immer angepasst werden, wenn sich die Nutzung\ + \ der Geb\xE4udebereiche ver\xE4ndert." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13 + ref_id: INF.2.A13.4 + description: Es SOLLTE eine zum jeweiligen Einsatzzweck passende Gefahrenmeldeanlage + (GMA) installiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13 + ref_id: INF.2.A13.5 + description: "Die Meldungen der GMA SOLLTEN unter Beachtung der daf\xFCr geltenden\ + \ Technischen Anschlussbedingungen (TAB) auf eine Alarmempfangsstelle aufgeschaltet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13 + ref_id: INF.2.A13.6 + description: "Die ausgew\xE4hlte Alarmempfangsstelle MUSS jederzeit erreichbar\ + \ sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13 + ref_id: INF.2.A13.7 + description: "Sie MUSS technisch sowie personell in der Lage sein, geeignet\ + \ auf die gemeldete Gef\xE4hrdung zu reagieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13 + ref_id: INF.2.A13.8 + description: "Der \xDCbertragungsweg zwischen eingesetzter GMA und Alarmempfangsstelle\ + \ SOLLTE entsprechend den TAB und nach M\xF6glichkeit redundant ausgelegt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a13 + ref_id: INF.2.A13.9 + description: "Alle vorhandenen \xDCbertragungswege M\xDCSSEN regelm\xE4\xDF\ + ig getestet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 + ref_id: INF.2.A14 + name: Einsatz einer Netzersatzanlage + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14 + ref_id: INF.2.A14.1 + description: "Die Energieversorgung eines Rechenzentrums aus dem Netz eines\ + \ Energieversorgungsunternehmens SOLLTE um eine Netzersatzanlage (NEA) erg\xE4\ + nzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14 + ref_id: INF.2.A14.2 + description: "Wird eine NEA verwendet, MUSS sie regelm\xE4\xDFig gewartet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14 + ref_id: INF.2.A14.3 + description: "Bei diesen Wartungen M\xDCSSEN auch Belastungs- und Funktionstests\ + \ sowie Testl\xE4ufe unter Last durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14 + ref_id: INF.2.A14.4 + description: "Der Betriebsmittelvorrat einer NEA MUSS regelm\xE4\xDFig daraufhin\ + \ \xFCberpr\xFCft werden, ob er ausreichend ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14 + ref_id: INF.2.A14.5 + description: "Au\xDFerdem MUSS regelm\xE4\xDFig kontrolliert werden, ob die\ + \ Vorr\xE4te noch verwendbar sind, vor allem um die sogenannte Dieselpest\ + \ zu vermeiden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14 + ref_id: INF.2.A14.6 + description: "Nach M\xF6glichkeit SOLLTE statt Diesel-Kraftstoff schwefelarmes\ + \ Heiz\xF6l verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14 + ref_id: INF.2.A14.7 + description: "Die Tankvorg\xE4nge von Brennstoffen M\xDCSSEN protokolliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14 + ref_id: INF.2.A14.8 + description: Aus dem Protokoll MUSS die Art des Brennstoffs, die genutzten Additive, + das Tankdatum und die getankte Menge hervorgehen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a14 + ref_id: INF.2.A14.9 + description: "Wenn f\xFCr einen Serverraum auf den Einsatz einer NEA verzichtet\ + \ wird, SOLLTE alternativ zur NEA eine USV mit einer dem Schutzbedarf angemessenen\ + \ Autonomiezeit realisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 + ref_id: INF.2.A15 + name: "\xDCberspannungsschutzeinrichtung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a15 + ref_id: INF.2.A15.1 + description: "Es SOLLTE auf Basis der aktuell g\xFCltigen Norm (DIN EN 62305\ + \ Teil 1 bis 4) ein Blitz- und \xDCberspannungsschutzkonzept erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a15 + ref_id: INF.2.A15.2 + description: "Dabei sind die f\xFCr den ordnungsgem\xE4\xDFen Betrieb des RZ\ + \ erforderlichen Blitzschutzzonen (LPZ) festzulegen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a15 + ref_id: INF.2.A15.3 + description: "F\xFCr alle f\xFCr den ordnungsgem\xE4\xDFen Betreib des RZ und\ + \ dessen Dienstleistungsbereitstellung erforderlichen Einrichtungen SOLLTE\ + \ das mindestens die LPZ 2 sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a15.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a15 + ref_id: INF.2.A15.4 + description: "Alle Einrichtungen des \xDCberspannungsschutzes SOLLTEN gem\xE4\ + \xDF DIN EN 62305-3, Tabelle E.2 ein Mal im Jahr einer Umfassenden Pr\xFC\ + fung unterzogen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 + ref_id: INF.2.A16 + name: Klimatisierung im Rechenzentrum + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a16 + ref_id: INF.2.A16.1 + description: Es SOLLTE sichergestellt werden, dass im Rechenzentrum geeignete + klimatische Bedingungen geschaffen und aufrechterhalten werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a16 + ref_id: INF.2.A16.2 + description: "Die Klimatisierung SOLLTE f\xFCr das Rechenzentrum ausreichend\ + \ dimensioniert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a16 + ref_id: INF.2.A16.3 + description: "Alle relevanten Werte SOLLTEN st\xE4ndig \xFCberwacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a16.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a16 + ref_id: INF.2.A16.4 + description: Weicht ein Wert von der Norm ab, SOLLTE automatisch alarmiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a16.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a16 + ref_id: INF.2.A16.5 + description: "Die Klimaanlagen SOLLTEN in IT-Betriebsbereichen m\xF6glichst\ + \ ausfallsicher sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 + ref_id: INF.2.A17 + name: "Einsatz einer Brandfr\xFCherkennung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a17 + ref_id: INF.2.A17.1 + description: "Ein Rechenzentrum MUSS mit einer Brandfr\xFCherkennungsanlage\ + \ ausgestattet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a17 + ref_id: INF.2.A17.2 + description: "Ein Serverraum SOLLTE mit einer Brandfr\xFCherkennungsanlage ausgestattet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a17 + ref_id: INF.2.A17.3 + description: "Die Meldungen der Brandfr\xFCherkennung M\xDCSSEN an eine st\xE4\ + ndig besetzte Stelle geleitet werden, die eine Kontrolle und Schutzreaktion\ + \ innerhalb von maximal 3 Minuten veranlassen kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a17.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a17 + ref_id: INF.2.A17.4 + description: Alternativ MUSS eine automatische Schutzreaktion erfolgen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a17.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a17 + ref_id: INF.2.A17.5 + description: "Um ein ausgewogenes Verh\xE4ltnis zwischen Brandschutz und Verf\xFC\ + gbarkeit zu erreichen, MUSS sichergestellt werden, dass sich einander Redundanz\ + \ gebende Einrichtungen nicht gemeinsam im Wirkungsbereich der gleichen Spannungsfreischaltung\ + \ befinden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 + ref_id: INF.2.A19 + name: "Durchf\xFChrung von Funktionstests der technischen Infrastruktur" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a19 + ref_id: INF.2.A19.1 + description: "Die technische Infrastruktur eines Rechenzentrums SOLLTE regelm\xE4\ + \xDFig (zumindest ein- bis zweimal j\xE4hrlich) sowie nach Systemumbauten\ + \ und umfangreichen Reparaturen getestet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a19 + ref_id: INF.2.A19.2 + description: Die Ergebnisse SOLLTEN dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a19.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a19 + ref_id: INF.2.A19.3 + description: Besonders ganze Reaktionsketten SOLLTEN einem echten Funktionstest + unterzogen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 + ref_id: INF.2.A21 + name: Ausweichrechenzentrum + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a21 + ref_id: INF.2.A21.1 + description: Es SOLLTE ein geografisch separiertes Ausweichrechenzentrum aufgebaut + werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a21.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a21 + ref_id: INF.2.A21.2 + description: "Das Ausweichrechenzentrum SOLLTE so dimensioniert sein, dass alle\ + \ Prozesse der Institution aufrechterhalten werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a21.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a21 + ref_id: INF.2.A21.3 + description: "Auch SOLLTE es st\xE4ndig einsatzbereit sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a21.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a21 + ref_id: INF.2.A21.4 + description: "Alle Daten der Institution SOLLTEN regelm\xE4\xDFig ins Ausweichrechenzentrum\ + \ gespiegelt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a21.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a21 + ref_id: INF.2.A21.5 + description: "Der Schwenk auf das Notfallrechenzentrum SOLLTE regelm\xE4\xDF\ + ig getestet und ge\xFCbt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a21.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a21 + ref_id: INF.2.A21.6 + description: "Die \xDCbertragungswege in das Ausweichrechenzentrum SOLLTEN geeignet\ + \ abgesichert und entsprechend redundant ausgelegt sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 + ref_id: INF.2.A22 + name: "Durchf\xFChrung von Staubschutzma\xDFnahmen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a22 + ref_id: INF.2.A22.1 + description: "Bei Bauma\xDFnahmen in einem Rechenzentrum SOLLTEN geeignete Staubschutzma\xDF\ + nahmen definiert, geplant und umgesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a22.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a22 + ref_id: INF.2.A22.2 + description: "Personen, die selbst nicht an den Bauma\xDFnahmen beteiligt sind,\ + \ SOLLTEN in ausreichend engen Zeitabst\xE4nden kontrollieren, ob die Staubschutzma\xDF\ + nahmen ordnungsgem\xE4\xDF funktionieren und die Regelungen zum Staubschutz\ + \ eingehalten werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a23 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 + ref_id: INF.2.A23 + name: "Zweckm\xE4\xDFiger Aufbau der Verkabelung im Rechenzentrum" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a23.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a23 + ref_id: INF.2.A23.1 + description: "Kabeltrassen in Rechenzentren SOLLTEN sorgf\xE4ltig geplant und\ + \ ausgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a23.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a23 + ref_id: INF.2.A23.2 + description: "Trassen SOLLTEN hinsichtlich Anordnung und Dimensionierung so\ + \ ausgelegt sein, dass eine Trennung der Spannungsebenen sowie eine sinnvolle\ + \ Verteilung von Kabeln auf den Trassen m\xF6glich ist und dass auch f\xFC\ + r zuk\xFCnftige Bedarfsmehrung ausreichend Platz zur Verf\xFCgung steht." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a23.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a23 + ref_id: INF.2.A23.3 + description: "Zur optimalen Versorgung von IT-Hardware, die \xFCber zwei Netzteile\ + \ verf\xFCgt, SOLLTE ab der Niederspannungshauptverteilung f\xFCr die IT-Betriebsbereiche\ + \ eine zweiz\xFCgige sogenannte A-B-Versorgung aufgebaut werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a23.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a23 + ref_id: INF.2.A23.4 + description: "Einander Redundanz gebende Leitungen SOLLTEN \xFCber getrennte\ + \ Trassen verlegt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a24 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 + ref_id: INF.2.A24 + name: "Einsatz von Video\xFCberwachungsanlagen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a24.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a24 + ref_id: INF.2.A24.1 + description: "Die Zutrittskontrolle und die Einbruchmeldung SOLLTEN durch Video\xFC\ + berwachungsanlagen erg\xE4nzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a24.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a24 + ref_id: INF.2.A24.2 + description: "Eine Video\xFCberwachung SOLLTE in das gesamte Sicherheitskonzept\ + \ eingebettet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a24.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a24 + ref_id: INF.2.A24.3 + description: Bei der Planung, Konzeption und eventuellen Auswertung von Videoaufzeichnungen + MUSS der Datenschutzbeauftragte immer mit einbezogen werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a24.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a24 + ref_id: INF.2.A24.4 + description: "Die f\xFCr eine Video\xFCberwachung ben\xF6tigten zentralen Technikkomponenten\ + \ SOLLTEN in einer geeigneten Umgebung gesch\xFCtzt aufgestellt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a24.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a24 + ref_id: INF.2.A24.5 + description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Video\xFC\ + berwachungsanlage korrekt funktioniert und ob die mit dem oder der Datenschutzbeauftragten\ + \ abgestimmten Blickwinkel eingehalten werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a25 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 + ref_id: INF.2.A25 + name: Redundante Auslegung von unterbrechungsfreien Stromversorgungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a25.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a25 + ref_id: INF.2.A25.1 + description: USV-Systeme SOLLTEN modular und so aufgebaut sein, dass der Ausfall + durch ein redundantes Modul unterbrechungsfrei kompensiert wird. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a25.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a25 + ref_id: INF.2.A25.2 + description: "Sofern f\xFCr die IT-Betriebsbereiche eine zweiz\xFCgige sogenannte\ + \ A-B-Versorgung aufgebaut ist, SOLLTE jeder der beiden Strompfade mit einem\ + \ eigenst\xE4ndigen USV-System ausgestattet sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a26 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 + ref_id: INF.2.A26 + name: Redundante Auslegung von Netzersatzanlagen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a26.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a26 + ref_id: INF.2.A26.1 + description: Netzersatzanlagen SOLLTEN redundant ausgelegt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a26.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a26 + ref_id: INF.2.A26.2 + description: "Hinsichtlich der Wartung M\xDCSSEN auch redundante NEAs entsprechend\ + \ INF.2.A14 Einsatz einer Netzersatzanlage behandelt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a28 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 + ref_id: INF.2.A28 + name: "Einsatz von h\xF6herwertigen Gefahrenmeldeanlagen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a28.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a28 + ref_id: INF.2.A28.1 + description: "F\xFCr Rechenzentrumsbereiche mit erh\xF6htem Schutzbedarf SOLLTEN\ + \ ausschlie\xDFlich Gefahrenmeldeanlagen der VdS-Klasse C (gem\xE4\xDF VDS-Richtlinie\ + \ 2311) eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a29 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 + ref_id: INF.2.A29 + name: "Vermeidung und \xDCberwachung nicht erforderlicher Leitungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a29.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a29 + ref_id: INF.2.A29.1 + description: "In einem Rechenzentrum D\xDCRFEN NUR Leitungen verlegt werden,\ + \ die der unmittelbaren Versorgung der im Rechenzentrum aufgebauten Technik\ + \ (in der Regel IT- und gegebenenfalls K\xFChltechnik) dienen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a29.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a29 + ref_id: INF.2.A29.2 + description: "Ist es aus baulichen Gr\xFCnden unabwendbar, Leitungen durch das\ + \ Rechenzentrum zu f\xFChren, um andere Bereiche als die des Rechenzentrums\ + \ zu versorgen, MUSS dies einschlie\xDFlich Begr\xFCndung dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a29.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a29 + ref_id: INF.2.A29.3 + description: "Die Risiken, die von solchen Leitungen ausgehen, M\xDCSSEN durch\ + \ geeignete Ma\xDFnahmen minimiert werden, z. B. durch Einhausung und \xDC\ + berwachung." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a29.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a29 + ref_id: INF.2.A29.4 + description: "Durch Serverr\xE4ume d\xFCrfen vorgenannte Leitungen gef\xFChrt\ + \ werden, ohne zu begr\xFCnden, warum dies unabwendbar ist, diese M\xDCSSEN\ + \ aber genauso behandelt werden, wie f\xFCr das Rechenzentrum beschrieben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a29.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a29 + ref_id: INF.2.A29.5 + description: "Meldungen aus der \xDCberwachung der Leitungen M\xDCSSEN unverz\xFC\ + glich hinsichtlich der Gef\xE4hrdungsrelevanz gepr\xFCft und bewertet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a29.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a29 + ref_id: INF.2.A29.6 + description: "Gegenma\xDFnahmen M\xDCSSEN entsprechend der erkannten Gef\xE4\ + hrdungsrelevanz zeitgerecht umgesetzt werden (siehe auch INF.2.A13 Planung\ + \ und Installation von Gefahrenmeldeanlagen)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a30 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2 + ref_id: INF.2.A30 + name: "Anlagen zur, L\xF6schung oder Vermeidung von Br\xE4nden" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a30.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.2.a30 + ref_id: INF.2.A30.1 + description: "Ein Rechenzentrum SOLLTE mit einer automatischen L\xF6sch- oder\ + \ Brandvermeidungsanlage ausgestattet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf + ref_id: INF.5 + name: "Raum sowie Schrank f\xFCr technische Infrastruktur" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 + ref_id: INF.5.A1 + name: Planung der Raumabsicherung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a1 + ref_id: INF.5.A1.1 + description: "F\xFCr einen Raum f\xFCr technische Infrastruktur M\xDCSSEN angemessene\ + \ technische und organisatorische Vorgaben definiert und umgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a1 + ref_id: INF.5.A1.2 + description: "Dabei MUSS das f\xFCr den Raum zu erreichende Schutzniveau ber\xFC\ + cksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a1 + ref_id: INF.5.A1.3 + description: "Bei der Planung M\xDCSSEN sowohl gesetzliche Regelungen und Vorschriften\ + \ als auch potenzielle Gef\xE4hrdungen durch Umwelteinfl\xFCsse, Einbruch\ + \ und Sabotage beachtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 + ref_id: INF.5.A2 + name: "Lage und Gr\xF6\xDFe des Raumes f\xFCr technische Infrastruktur" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a2 + ref_id: INF.5.A2.1 + description: "Der Raum f\xFCr technische Infrastruktur DARF KEIN Durchgangsraum\ + \ sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a2 + ref_id: INF.5.A2.2 + description: "Es MUSS sichergestellt sein, dass ausreichend Fl\xE4che f\xFC\ + r Fluchtwege und Arbeitsfl\xE4che vorhanden ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 + ref_id: INF.5.A3 + name: Zutrittsregelung und -kontrolle + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a3 + ref_id: INF.5.A3.1 + description: "Der Raum f\xFCr technische Infrastruktur MUSS gegen unberechtigten\ + \ Zutritt gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a3 + ref_id: INF.5.A3.2 + description: "Es MUSS geregelt werden, welche Personen f\xFCr welchen Zeitraum,\ + \ f\xFCr welche Bereiche und zu welchem Zweck den Raum betreten d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a3 + ref_id: INF.5.A3.3 + description: "Dabei MUSS sichergestellt sein, dass keine unn\xF6tigen oder zu\ + \ weitreichenden Zutrittsrechte vergeben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a3 + ref_id: INF.5.A3.4 + description: "Alle Zutritte zum Raum f\xFCr technische Infrastruktur SOLLTEN\ + \ von der Zutrittskontrolle individuell erfasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 + ref_id: INF.5.A4 + name: Schutz vor Einbruch + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a4 + ref_id: INF.5.A4.1 + description: "Der Raum MUSS vor Einbruch gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a4 + ref_id: INF.5.A4.2 + description: "Je nach erforderlichem Sicherheitsniveau des Raumes f\xFCr technische\ + \ Infrastruktur SOLLTEN geeignete raumbildende Teile wie W\xE4nde, Decken\ + \ und B\xF6den sowie Fenster und T\xFCren mit entsprechenden Widerstandsklassen\ + \ nach DIN EN 1627 ausgew\xE4hlt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 + ref_id: INF.5.A5 + name: "Vermeidung sowie Schutz vor elektromagnetischen St\xF6rfeldern" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a5 + ref_id: INF.5.A5.1 + description: "Elektromagnetische Felder M\xDCSSEN in unmittelbarer N\xE4he zum\ + \ Raum f\xFCr technische Infrastruktur vermieden werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a5 + ref_id: INF.5.A5.2 + description: "Ein ausreichender Abstand zu gro\xDFen Maschinen wie z. B. Aufzugsmotoren\ + \ MUSS eingehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 + ref_id: INF.5.A6 + name: Minimierung von Brandlasten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a6 + ref_id: INF.5.A6.1 + description: "Brandlasten innerhalb und in der direkten Umgebung des Raumes\ + \ f\xFCr technische Infrastruktur M\xDCSSEN auf ein Minimum reduziert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a6 + ref_id: INF.5.A6.2 + description: "Auf brennbare Materialien f\xFCr raumbildende Teile MUSS verzichtet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 + ref_id: INF.5.A7 + name: Verhinderung von Zweckentfremdung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a7 + ref_id: INF.5.A7.1 + description: "Der Raum f\xFCr technische Infrastruktur DARF NICHT zweckentfremdet\ + \ werden, z. B. als Abstellraum oder Putzmittellager." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 + ref_id: INF.5.A8 + name: Vermeidung von unkontrollierter elektrostatischer Entladung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a8 + ref_id: INF.5.A8.1 + description: "Im Raum f\xFCr technische Infrastruktur SOLLTE ein ableitf\xE4\ + higer Fu\xDFbodenbelag nach DIN EN 14041 verlegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 + ref_id: INF.5.A9 + name: Stromversorgung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a9 + ref_id: INF.5.A9.1 + description: "Das Stromversorgungsnetz, \xFCber das der Raum f\xFCr technische\ + \ Infrastruktur und die daran angeschlossenen Endger\xE4te versorgt werden,\ + \ MUSS als TN-S-System errichtet sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 + ref_id: INF.5.A10 + name: Einhaltung der Lufttemperatur und -Feuchtigkeit + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a10 + ref_id: INF.5.A10.1 + description: "Es SOLLTE sichergestellt werden, dass die Lufttemperatur und Luftfeuchtigkeit\ + \ im Raum f\xFCr technische Infrastruktur innerhalb der Grenzen liegen, die\ + \ in den Datenbl\xE4ttern der darin betriebenen Ger\xE4te genannt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a10 + ref_id: INF.5.A10.2 + description: "Daf\xFCr SOLLTE eine geeignete raumlufttechnische Anlage eingesetzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a10 + ref_id: INF.5.A10.3 + description: Diese SOLLTE ausreichend dimensioniert sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 + ref_id: INF.5.A11 + name: "Vermeidung von Leitungen mit gef\xE4hrdenden Fl\xFCssigkeiten und Gasen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a11 + ref_id: INF.5.A11.1 + description: "Im Raum f\xFCr technische Infrastruktur SOLLTE es nur Leitungen\ + \ geben, die f\xFCr den Betrieb der Technik im Raum unbedingt erforderlich\ + \ sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a11 + ref_id: INF.5.A11.2 + description: "Leitungen wie Abwasserleitungen, Frischwasserleitungen, Gas- und\ + \ Heizungsrohre sowie Leitungen f\xFCr Treibstoff oder Ferndampf SOLLTEN NICHT\ + \ durch den Raum gef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 + ref_id: INF.5.A12 + name: "Schutz vor versehentlicher Besch\xE4digung von Zuleitungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a12 + ref_id: INF.5.A12.1 + description: "Zuleitungen au\xDFerhalb des Raumes f\xFCr technische Infrastruktur\ + \ SOLLTEN gegen versehentliche Besch\xE4digung gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 + ref_id: INF.5.A13 + name: "Schutz vor Sch\xE4digung durch Brand und Rauchgase" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a13 + ref_id: INF.5.A13.1 + description: "Unabh\xE4ngig von den f\xFCr den Raum geltenden baurechtlichen\ + \ Brandschutzvorgaben SOLLTEN alle raumbildenden Teile sowie T\xFCren und\ + \ Fenster gleichwertig rauchdicht sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a13 + ref_id: INF.5.A13.2 + description: "Sie SOLLTEN Feuer und Rauch f\xFCr mindestens 30 Minuten standhalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a13 + ref_id: INF.5.A13.3 + description: Brandlasten im Bereich der Leitungstrassen SOLLTEN vermieden werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 + ref_id: INF.5.A14 + name: Minimierung von Brandgefahren aus Nachbarbereichen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a14 + ref_id: INF.5.A14.1 + description: "Der Raum SOLLTE NICHT in unmittelbarer N\xE4he zu anderen R\xE4\ + umlichkeiten mit brennbaren Materialien liegen, deren Menge \xFCber eine b\xFC\ + rotypische Nutzung hinaus geht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 + ref_id: INF.5.A15 + name: "Blitz- und \xDCberspannungsschutz" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a15 + ref_id: INF.5.A15.1 + description: "Es SOLLTE ein Blitz- und \xDCberspannungsschutzkonzept nach dem\ + \ Prinzip der energetischen Koordination (siehe DIN EN 62305) erstellt und\ + \ umgesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a15 + ref_id: INF.5.A15.2 + description: "Der Raum f\xFCr technische Infrastruktur SOLLTE mindestens der\ + \ Blitzschutzzone 2 (LPZ 2) zugeordnet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a15 + ref_id: INF.5.A15.3 + description: "Die Blitz- und \xDCberspannungsschutzeinrichtungen SOLLTEN regelm\xE4\ + \xDFig und anlassbezogen auf ihre Funktion \xFCberpr\xFCft und, falls erforderlich,\ + \ ersetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 + ref_id: INF.5.A16 + name: Einsatz einer unterbrechungsfreien Stromversorgung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a16 + ref_id: INF.5.A16.1 + description: "Es SOLLTE gepr\xFCft werden, welche Ger\xE4te an eine USV angeschlossen\ + \ werden sollen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a16 + ref_id: INF.5.A16.2 + description: "Falls eine USV erforderlich ist, SOLLTE die St\xFCtzzeit der USV\ + \ so ausgelegt sein, dass alle versorgten Komponenten sicher herunterfahren\ + \ k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a16 + ref_id: INF.5.A16.3 + description: "Es SOLLTE ber\xFCcksichtigt werden, dass die Batterien von USV-Anlagen\ + \ altern." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a16.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a16 + ref_id: INF.5.A16.4 + description: "Bei relevanten \xC4nderungen SOLLTE \xFCberpr\xFCft werden, ob\ + \ die vorhandenen USV-Anlagen noch ausreichend dimensioniert sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a16.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a16 + ref_id: INF.5.A16.5 + description: Die Batterie der USV SOLLTE im erforderlichen Temperaturbereich + gehalten werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a16.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a16 + ref_id: INF.5.A16.6 + description: "Die USV SOLLTE regelm\xE4\xDFig gewartet und auf Funktionsf\xE4\ + higkeit getestet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a16.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a16 + ref_id: INF.5.A16.7 + description: "Daf\xFCr SOLLTEN die vom herstellenden Unternehmen vorgesehenen\ + \ Wartungsintervalle eingehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 + ref_id: INF.5.A17 + name: Inspektion und Wartung der Infrastruktur + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a17 + ref_id: INF.5.A17.1 + description: "F\xFCr alle Komponenten der baulich-technischen Infrastruktur\ + \ SOLLTEN mindestens die vom herstellenden Unternehmen empfohlenen oder durch\ + \ Normen festgelegten Intervalle und Vorschriften f\xFCr Inspektion und Wartung\ + \ eingehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a17 + ref_id: INF.5.A17.2 + description: "Kabel- und Rohrdurchf\xFChrungen durch brand- und rauchabschnittbegrenzende\ + \ W\xE4nde SOLLTEN daraufhin gepr\xFCft werden, ob die Schotten die f\xFC\ + r den jeweiligen Einsatzzweck erforderliche Zulassung haben und unversehrt\ + \ sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a17 + ref_id: INF.5.A17.3 + description: "Inspektionen und Wartungsarbeiten M\xDCSSEN geeignet protokolliert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 + ref_id: INF.5.A18 + name: "Lage des Raumes f\xFCr technische Infrastruktur" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a18 + ref_id: INF.5.A18.1 + description: "Der Raum f\xFCr technische Infrastruktur SOLLTE so im Geb\xE4\ + ude angeordnet werden, dass er weder internen noch externen Gef\xE4hrdungen\ + \ wie z. B. Regen, Wasser oder Abwasser ausgesetzt ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a18 + ref_id: INF.5.A18.2 + description: "In oberirdischen Geschossen SOLLTE darauf geachtet werden, dass\ + \ der Raum nicht durch Sonneneinstrahlung erw\xE4rmt wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a18 + ref_id: INF.5.A18.3 + description: "Wird der Raum im obersten Geschoss des Geb\xE4udes untergebracht,\ + \ SOLLTE sichergestellt werden, dass kein Wasser \xFCber das Dach eindringen\ + \ kann." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 + ref_id: INF.5.A19 + name: "Redundanz des Raumes f\xFCr technische Infrastruktur" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a19 + ref_id: INF.5.A19.1 + description: Der Raum SOLLTE redundant ausgelegt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a19 + ref_id: INF.5.A19.2 + description: "Beide R\xE4ume SOLLTEN eine eigene Elektrounterverteilung erhalten,\ + \ die direkt von der Niederspannungshauptverteilung (NSHV) versorgt wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a19.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a19 + ref_id: INF.5.A19.3 + description: "Beide R\xE4ume SOLLTEN unterschiedlichen Brandabschnitten zugeordnet\ + \ sein und, sofern erforderlich, jeweils \xFCber eine eigene raumlufttechnische\ + \ Anlage verf\xFCgen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 + ref_id: INF.5.A20 + name: Erweiterter Schutz vor Einbruch und Sabotage + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a20 + ref_id: INF.5.A20.1 + description: Der Raum SOLLTE fensterlos sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a20.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a20 + ref_id: INF.5.A20.2 + description: "Sind dennoch Fenster vorhanden, SOLLTEN sie je nach Geschossh\xF6\ + he gegen Eindringen von au\xDFen angemessen gesichert sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a20.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a20 + ref_id: INF.5.A20.3 + description: "Gibt es neben Fenstern und T\xFCren weitere betriebsnotwendige\ + \ \xD6ffnungen, wie z. B. L\xFCftungskan\xE4le, SOLLTEN diese gleichwertig\ + \ zur Raumh\xFClle gesch\xFCtzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a20.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a20 + ref_id: INF.5.A20.4 + description: "Es SOLLTEN Einbruchmeldeanlagen nach VdS Klasse C (gem\xE4\xDF\ + \ VdS-Richtlinie 2311) eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a20.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a20 + ref_id: INF.5.A20.5 + description: "Alle erforderlichen T\xFCren, Fenster und sonstige gesch\xFCtzte\ + \ \xD6ffnungen SOLLTEN \xFCber die Einbruchmeldeanlage auf Verschluss, Verriegelung\ + \ und Durchbruch \xFCberwacht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a20.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a20 + ref_id: INF.5.A20.6 + description: Vorhandene Fenster SOLLTEN stets geschlossen sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a20.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a20 + ref_id: INF.5.A20.7 + description: "Die Widerstandsklasse von raumbildenden Teilen, Fenstern und T\xFC\ + ren SOLLTE dem Sicherheitsbedarf des Raumes angepasst werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a20.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a20 + ref_id: INF.5.A20.8 + description: "Die Qualit\xE4t der Schl\xF6sser, Schlie\xDFzylinder und Schutzbeschl\xE4\ + ge SOLLTE der Widerstandsklasse der T\xFCr entsprechen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 + ref_id: INF.5.A22 + name: Redundante Auslegung der Stromversorgung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a22 + ref_id: INF.5.A22.1 + description: "Die Stromversorgung SOLLTE durchg\xE4ngig vom Niederspannungshauptverteiler\ + \ (NSHV) bis zum Verbraucher im Raum f\xFCr technische Infrastruktur zweiz\xFC\ + gig sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a22.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a22 + ref_id: INF.5.A22.2 + description: Diese Stromversorgungen SOLLTEN sich in getrennten Brandabschnitten + befinden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a22.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a22 + ref_id: INF.5.A22.3 + description: Der NSHV SOLLTE betriebsredundant ausgelegt sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a23 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 + ref_id: INF.5.A23 + name: Netzersatzanlage + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a23.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a23 + ref_id: INF.5.A23.1 + description: "Die Energieversorgung der Institution SOLLTE um eine Netzersatzanlage\ + \ (NEA) erg\xE4nzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a23.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a23 + ref_id: INF.5.A23.2 + description: "Der Betriebsmittelvorrat einer NEA SOLLTE regelm\xE4\xDFig kontrolliert\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a23.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a23 + ref_id: INF.5.A23.3 + description: "Die NEA SOLLTE au\xDFerdem regelm\xE4\xDFig gewartet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a23.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a23 + ref_id: INF.5.A23.4 + description: "Bei diesen Wartungen SOLLTEN auch Belastungs- und Funktionstests\ + \ sowie Testl\xE4ufe unter Last durchgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a24 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 + ref_id: INF.5.A24 + name: "L\xFCftung und K\xFChlung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a24.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a24 + ref_id: INF.5.A24.1 + description: "Die L\xFCftungs- und K\xFChltechnik SOLLTE betriebsredundant ausgelegt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a24.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a24 + ref_id: INF.5.A24.2 + description: "Es SOLLTE sichergestellt werden, dass diese Anlagen regelm\xE4\ + \xDFig gewartet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a24.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a24 + ref_id: INF.5.A24.3 + description: Bei sehr hohem Schutzbedarf SOLLTE auch eine Wartungsredundanz + vorhanden sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a25 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 + ref_id: INF.5.A25 + name: "Erh\xF6hter Schutz vor Sch\xE4digung durch Brand und Rauchgase" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a25.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a25 + ref_id: INF.5.A25.1 + description: "Raumbildende Teile sowie T\xFCren, Fenster und L\xFCftungsklappen\ + \ SOLLTEN Feuer und Rauch f\xFCr mindestens 90 Minuten standhalten." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a25.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a25 + ref_id: INF.5.A25.2 + description: "Die Zuleitungen SOLLTEN einen Funktionserhalt von mindestens 90\ + \ Minuten gew\xE4hrleisten." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a25.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a25 + ref_id: INF.5.A25.3 + description: "Bei sehr hohem Schutzbedarf SOLLTE die Raumh\xFClle wie ein eigener\ + \ Brandabschnitt ausgebildet sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a25.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a25 + ref_id: INF.5.A25.4 + description: "In vorhandenen L\xFCftungskan\xE4len SOLLTEN Brandschutzklappen\ + \ eingebaut werden, die \xFCber Rauchmelder angesteuert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a25.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a25 + ref_id: INF.5.A25.5 + description: "Trassen SOLLTEN bis zum Eintritt in den Raum in getrennten Brandabschnitten\ + \ gef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a25.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a25 + ref_id: INF.5.A25.6 + description: "Bei sehr hohem Schutzbedarf SOLLTEN ein Brandfr\xFChesterkennungssystem\ + \ und eine automatische L\xF6schanlage vorhanden sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a25.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a25 + ref_id: INF.5.A25.7 + description: Brand- und Rauchmelder SOLLTEN an die Brandmelderzentrale angeschlossen + sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a25.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a25 + ref_id: INF.5.A25.8 + description: "Das Brandfr\xFChesterkennungssystem und die automatische L\xF6\ + schanlage SOLLTEN an die zweiz\xFCgige Stromversorgung mit USV und NEA angebunden\ + \ sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a26 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5 + ref_id: INF.5.A26 + name: "\xDCberwachung der Energieversorgung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a26.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.5.a26 + ref_id: INF.5.A26.1 + description: "Es SOLLTEN geeignete \xDCberwachungseinrichtungen eingebaut und\ + \ betrieben werden, die unzul\xE4ssig hohe Str\xF6me auf dem Schutzleitersystem\ + \ und damit auf Leitungsschirmen sowie potenziell st\xF6rende Oberschwingungen\ + \ erfassen und an geeigneter Stelle zur Nachverfolgung und Behebung anzeigen\ + \ k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf + ref_id: INF.6 + name: "Datentr\xE4gerarchiv" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6 + ref_id: INF.6.A1 + name: "Handfeuerl\xF6scher" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a1 + ref_id: INF.6.A1.1 + description: "Im Brandfall M\xDCSSEN im Datentr\xE4gerarchiv geeignete Handfeuerl\xF6\ + scher leicht erreichbar sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a1 + ref_id: INF.6.A1.2 + description: "Diese Handfeuerl\xF6scher M\xDCSSEN regelm\xE4\xDFig inspiziert\ + \ und gewartet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a1 + ref_id: INF.6.A1.3 + description: "Mitarbeitende, die in der N\xE4he eines Datentr\xE4gerarchivs\ + \ t\xE4tig sind, M\xDCSSEN in die Benutzung der Handfeuerl\xF6scher eingewiesen\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6 + ref_id: INF.6.A2 + name: Zutrittsregelung und -kontrolle + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a2 + ref_id: INF.6.A2.1 + description: "Der Zutritt zum Datentr\xE4gerarchiv DARF NUR f\xFCr befugte Personen\ + \ m\xF6glich sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a2 + ref_id: INF.6.A2.2 + description: "Der Zutritt MUSS auf ein Mindestma\xDF an Mitarbeitenden reduziert\ + \ sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a2 + ref_id: INF.6.A2.3 + description: Daher MUSS der Zutritt geregelt und kontrolliert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a2 + ref_id: INF.6.A2.4 + description: "F\xFCr die Zutrittskontrolle MUSS ein Konzept entwickelt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a2 + ref_id: INF.6.A2.5 + description: "Die darin festgelegten Ma\xDFnahmen f\xFCr die Zutrittskontrolle\ + \ SOLLTEN regelm\xE4\xDFig daraufhin \xFCberpr\xFCft werden, ob sie noch wirksam\ + \ sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a2.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a2 + ref_id: INF.6.A2.6 + description: "Um es zu erschweren bzw. zu verhindern, dass eine Zutrittskontrolle\ + \ umgangen wird, MUSS der komplette Raum einen dem Schutzbedarf gen\xFCgenden\ + \ mechanischen Widerstand aufweisen, der keinesfalls unter RC2 (gem\xE4\xDF\ + \ DIN EN 1627) liegen darf." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6 + ref_id: INF.6.A3 + name: Schutz vor Staub und anderer Verschmutzung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a3 + ref_id: INF.6.A3.1 + description: "Es MUSS sichergestellt werden, dass die Datentr\xE4ger im Datentr\xE4\ + gerarchiv ausreichend vor Staub und Verschmutzung gesch\xFCtzt sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a3 + ref_id: INF.6.A3.2 + description: "Die Anforderungen daf\xFCr M\xDCSSEN bereits in der Planungsphase\ + \ analysiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a3 + ref_id: INF.6.A3.3 + description: "Es MUSS in Datentr\xE4gerarchiven ein striktes Rauchverbot eingehalten\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6 + ref_id: INF.6.A4 + name: "Geschlossene Fenster und abgeschlossene T\xFCren" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a4 + ref_id: INF.6.A4.1 + description: "In einem Datentr\xE4gerarchiv SOLLTEN, wenn m\xF6glich, keine\ + \ Fenster vorhanden sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a4 + ref_id: INF.6.A4.2 + description: "Gibt es dennoch Fenster, M\xDCSSEN diese beim Verlassen des Datentr\xE4\ + gerarchivs geschlossen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a4 + ref_id: INF.6.A4.3 + description: "Ebenso MUSS beim Verlassen die T\xFCr verschlossen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a4 + ref_id: INF.6.A4.4 + description: "Auch Brand- und Rauchschutzt\xFCren M\xDCSSEN geschlossen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6 + ref_id: INF.6.A5 + name: "Verwendung von Schutzschr\xE4nken" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a5 + ref_id: INF.6.A5.1 + description: "Die Datentr\xE4ger und Medien in Datentr\xE4gerarchiven SOLLTEN\ + \ in geeigneten Schutzschr\xE4nken gelagert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6 + ref_id: INF.6.A6 + name: "Vermeidung von wasserf\xFChrenden Leitungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a6 + ref_id: INF.6.A6.1 + description: "In Datentr\xE4gerarchiven SOLLTEN unn\xF6tige wasserf\xFChrende\ + \ Leitungen generell vermieden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a6 + ref_id: INF.6.A6.2 + description: "Sind dennoch Wasserleitungen durch das Datentr\xE4gerarchiv hinweg\ + \ verlegt, SOLLTEN diese regelm\xE4\xDFig daraufhin \xFCberpr\xFCft werden,\ + \ ob sie noch dicht sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a6 + ref_id: INF.6.A6.3 + description: "Zudem SOLLTEN Vorkehrungen getroffen werden, um fr\xFChzeitig\ + \ erkennen zu k\xF6nnen, ob dort Wasser austritt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a6 + ref_id: INF.6.A6.4 + description: "F\xFCr ein Datentr\xE4gerarchiv mit Hochverf\xFCgbarkeitsanforderungen\ + \ SOLLTE es Reaktionspl\xE4ne geben, die genau vorgeben, wer im Fall eines\ + \ Lecks informiert werden muss und wie grunds\xE4tzlich vorzugehen ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6 + ref_id: INF.6.A7 + name: Einhaltung von klimatischen Bedingungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a7 + ref_id: INF.6.A7.1 + description: "Es SOLLTE sichergestellt werden, dass die zul\xE4ssigen H\xF6\ + chst- und Tiefstwerte f\xFCr Temperatur und Luftfeuchtigkeit sowie der Schwebstoffanteil\ + \ in der Raumluft im Datentr\xE4gerarchiv eingehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a7 + ref_id: INF.6.A7.2 + description: "Die Werte von Lufttemperatur und -feuchte SOLLTEN mehrmals im\ + \ Jahr f\xFCr die Dauer von einer Woche aufgezeichnet und dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a7 + ref_id: INF.6.A7.3 + description: Dabei festgestellte Abweichungen vom Sollwert SOLLTEN zeitnah behoben + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a7 + ref_id: INF.6.A7.4 + description: "Die eingesetzten Klimager\xE4te SOLLTEN regelm\xE4\xDFig gewartet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6 + ref_id: INF.6.A8 + name: "Sichere T\xFCren und Fenster" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a8 + ref_id: INF.6.A8.1 + description: "Sicherungsma\xDFnahmen wie Fenster, T\xFCren und W\xE4nde SOLLTEN\ + \ bez\xFCglich Einbruch, Brand und Rauch gleichwertig und angemessen sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a8 + ref_id: INF.6.A8.2 + description: "Abh\xE4ngig vom Schutzbedarf SOLLTE eine geeignete Widerstandsklasse\ + \ gem\xE4\xDF der DIN EN 1627 erf\xFCllt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a8 + ref_id: INF.6.A8.3 + description: "Alle Sicherheitst\xFCren und -fenster SOLLTEN regelm\xE4\xDFig\ + \ daraufhin \xFCberpr\xFCft werden, ob sie noch entsprechend funktionieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a8 + ref_id: INF.6.A8.4 + description: "Der komplette Raum SOLLTE einen dem Schutzbedarf gen\xFCgenden\ + \ mechanischen Widerstand aufweisen, der keinesfalls unter RC3 (gem\xE4\xDF\ + \ DIN EN 1627) liegt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6 + ref_id: INF.6.A9 + name: Gefahrenmeldeanlage + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a9 + ref_id: INF.6.A9.1 + description: "Es SOLLTE in Datentr\xE4gerarchiven eine angemessene Gefahrenmeldeanlage\ + \ eingerichtet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a9 + ref_id: INF.6.A9.2 + description: "Diese Gefahrenmeldeanlage SOLLTE regelm\xE4\xDFig gepr\xFCft und\ + \ gewartet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.6.a9 + ref_id: INF.6.A9.3 + description: Es SOLLTE sichergestellt sein, dass diejenigen Personen, die Gefahrenmeldungen + empfangen in der Lage sind, auf Alarmmeldungen angemessen zu reagieren. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf + ref_id: INF.7 + name: "B\xFCroarbeitsplatz" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7 + ref_id: INF.7.A1 + name: "Geeignete Auswahl und Nutzung eines B\xFCroraumes" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a1 + ref_id: INF.7.A1.1 + description: "Es D\xDCRFEN NUR geeignete R\xE4ume als B\xFCror\xE4ume genutzt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a1 + ref_id: INF.7.A1.2 + description: "Die B\xFCror\xE4ume M\xDCSSEN f\xFCr den Schutzbedarf bzw. das\ + \ Schutzniveau der dort verarbeiteten Informationen angemessen ausgew\xE4\ + hlt und ausgestattet sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a1 + ref_id: INF.7.A1.3 + description: "B\xFCror\xE4ume mit Publikumsverkehr D\xDCRFEN NICHT in sicherheitsrelevanten\ + \ Bereichen liegen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a1 + ref_id: INF.7.A1.4 + description: "F\xFCr den Arbeitsplatz und f\xFCr die Einrichtung eines B\xFC\ + roraumes MUSS die Arbeitsst\xE4ttenverordnung umgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7 + ref_id: INF.7.A2 + name: "Geschlossene Fenster und abgeschlossene T\xFCren" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a2 + ref_id: INF.7.A2.1 + description: "Wenn Mitarbeitende ihre B\xFCror\xE4ume verlassen, SOLLTEN alle\ + \ Fenster geschlossen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a2 + ref_id: INF.7.A2.2 + description: "Befinden sich vertrauliche Informationen in dem B\xFCroraum, M\xDC\ + SSEN beim Verlassen die T\xFCren abgeschlossen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a2 + ref_id: INF.7.A2.3 + description: Dies SOLLTE insbesondere in Bereichen mit Publikumsverkehr beachtet + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a2 + ref_id: INF.7.A2.4 + description: Die entsprechenden Vorgaben SOLLTEN in einer geeigneten Anweisung + festgehalten werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a2 + ref_id: INF.7.A2.5 + description: Alle Mitarbeitenden SOLLTEN dazu verpflichtet werden, der Anweisung + nachzukommen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a2.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a2 + ref_id: INF.7.A2.6 + description: "Zus\xE4tzlich MUSS regelm\xE4\xDFig gepr\xFCft werden, ob beim\ + \ Verlassen des B\xFCroraums die Fenster geschlossen und, wenn notwendig,\ + \ die T\xFCren abgeschlossen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a2.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a2 + ref_id: INF.7.A2.7 + description: "Ebenso MUSS darauf geachtet werden, dass Brand- und Rauchschutzt\xFC\ + ren tats\xE4chlich geschlossen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7 + ref_id: INF.7.A3 + name: Fliegende Verkabelung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a3 + ref_id: INF.7.A3.1 + description: "Die Stromanschl\xFCsse und Zug\xE4nge zum Datennetz im B\xFCroraum\ + \ SOLLTEN sich dort befinden, wo die IT-Ger\xE4te aufgestellt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a3 + ref_id: INF.7.A3.2 + description: "Verkabelungen, die \xFCber den Boden verlaufen, SOLLTEN geeignet\ + \ abgedeckt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7 + ref_id: INF.7.A5 + name: Ergonomischer Arbeitsplatz + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a5 + ref_id: INF.7.A5.1 + description: "Die Arbeitspl\xE4tze aller Mitarbeitenden SOLLTEN ergonomisch\ + \ eingerichtet sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a5 + ref_id: INF.7.A5.2 + description: "Vor allem die Bildschirme SOLLTEN so aufgestellt werden, dass\ + \ ein ergonomisches und ungest\xF6rtes Arbeiten m\xF6glich ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a5 + ref_id: INF.7.A5.3 + description: "Dabei SOLLTE beachtet werden, dass Bildschirme nicht durch Unbefugte\ + \ eingesehen werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a5 + ref_id: INF.7.A5.4 + description: Die Bildschirmarbeitsschutzverordnung (BildscharbV) SOLLTE umgesetzt + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a5.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a5 + ref_id: INF.7.A5.5 + description: "Alle Arbeitspl\xE4tze SOLLTEN f\xFCr eine m\xF6glichst fehlerfreie\ + \ Bedienung der IT individuell verstellbar sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7 + ref_id: INF.7.A6 + name: "Aufger\xE4umter Arbeitsplatz" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a6 + ref_id: INF.7.A6.1 + description: "Alle Mitarbeitenden SOLLTEN dazu angehalten werden, seinen Arbeitsplatz\ + \ aufger\xE4umt zu hinterlassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a6 + ref_id: INF.7.A6.2 + description: "Die Mitarbeitenden SOLLTEN daf\xFCr sorgen, dass Unbefugte keine\ + \ vertraulichen Informationen einsehen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a6 + ref_id: INF.7.A6.3 + description: "Alle Mitarbeitenden SOLLTEN ihre Arbeitspl\xE4tze sorgf\xE4ltig\ + \ \xFCberpr\xFCfen und sicherstellen, dass keine vertraulichen Informationen\ + \ frei zug\xE4nglich sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a6 + ref_id: INF.7.A6.4 + description: "Vorgesetzte SOLLTEN Arbeitspl\xE4tze sporadisch daraufhin \xFC\ + berpr\xFCfen, ob dort schutzbed\xFCrftige Informationen offen zugreifbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7 + ref_id: INF.7.A7 + name: "Geeignete Aufbewahrung dienstlicher Unterlagen und Datentr\xE4ger" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a7 + ref_id: INF.7.A7.1 + description: "Die Mitarbeitenden SOLLTEN angewiesen werden, vertrauliche Dokumente\ + \ und Datentr\xE4ger verschlossen aufzubewahren, wenn sie nicht verwendet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a7 + ref_id: INF.7.A7.2 + description: "Daf\xFCr SOLLTEN geeignete Beh\xE4ltnisse in den B\xFCror\xE4\ + umen oder in deren Umfeld aufgestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7 + ref_id: INF.7.A8 + name: Einsatz von Diebstahlsicherungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a8 + ref_id: INF.7.A8.1 + description: "Wenn der Zutritt zu den R\xE4umen nicht geeignet beschr\xE4nkt\ + \ werden kann, SOLLTEN f\xFCr alle IT-Systeme Diebstahlsicherungen eingesetzt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.7.a8 + ref_id: INF.7.A8.2 + description: In Bereichen mit Publikumsverkehr SOLLTEN Diebstahlsicherungen + benutzt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf + ref_id: INF.8 + name: "H\xE4uslicher Arbeitsplatz" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8 + ref_id: INF.8.A1 + name: "Sichern von dienstlichen Unterlagen am h\xE4uslichen Arbeitsplatz" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a1 + ref_id: INF.8.A1.1 + description: "Dienstliche Unterlagen und Datentr\xE4ger M\xDCSSEN am h\xE4uslichen\ + \ Arbeitsplatz so aufbewahrt werden, dass keine unbefugten Personen darauf\ + \ zugreifen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a1 + ref_id: INF.8.A1.2 + description: "Daher M\xDCSSEN ausreichend verschlie\xDFbare Beh\xE4ltnisse (z.\ + \ B. abschlie\xDFbare Rollcontainer oder Schr\xE4nke) vorhanden sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a1 + ref_id: INF.8.A1.3 + description: "Alle Mitarbeitenden M\xDCSSEN ihre Arbeitspl\xE4tze aufger\xE4\ + umt hinterlassen und sicherstellen, dass keine vertraulichen Informationen\ + \ frei zug\xE4nglich sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8 + ref_id: INF.8.A2 + name: "Transport von Arbeitsmaterial zum h\xE4uslichen Arbeitsplatz" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a2 + ref_id: INF.8.A2.1 + description: "Es MUSS geregelt werden, welche Datentr\xE4ger und Unterlagen\ + \ am h\xE4uslichen Arbeitsplatz bearbeitet und zwischen der Institution und\ + \ dem h\xE4uslichen Arbeitsplatz hin und her transportiert werden d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a2 + ref_id: INF.8.A2.2 + description: "Generell M\xDCSSEN Datentr\xE4ger und andere Unterlagen sicher\ + \ transportiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a2 + ref_id: INF.8.A2.3 + description: "Diese Regelungen M\xDCSSEN den Mitarbeitenden in geeigneter Weise\ + \ bekanntgegeben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8 + ref_id: INF.8.A3 + name: "Schutz vor unbefugtem Zutritt am h\xE4uslichen Arbeitsplatz" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a3 + ref_id: INF.8.A3.1 + description: "Den Mitarbeitenden MUSS mitgeteilt werden, welche Regelungen und\ + \ Ma\xDFnahmen zum Einbruchs- und Zutrittsschutz zu beachten sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a3 + ref_id: INF.8.A3.2 + description: "So MUSS darauf hingewiesen werden, Fenster zu schlie\xDFen und\ + \ T\xFCren abzuschlie\xDFen, wenn der h\xE4usliche Arbeitsplatz nicht besetzt\ + \ ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a3 + ref_id: INF.8.A3.3 + description: "Es MUSS sichergestellt werden, dass unbefugte Personen zu keiner\ + \ Zeit den h\xE4uslichen Arbeitsplatz betreten und auf dienstliche IT und\ + \ Unterlagen zugreifen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a3 + ref_id: INF.8.A3.4 + description: "Diese Ma\xDFnahmen M\xDCSSEN in sinnvollen zeitlichen Abst\xE4\ + nden \xFCberpr\xFCft werden, mindestens aber, wenn sich die h\xE4uslichen\ + \ Verh\xE4ltnisse \xE4ndern." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8 + ref_id: INF.8.A4 + name: "Geeignete Einrichtung des h\xE4uslichen Arbeitsplatzes" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a4 + ref_id: INF.8.A4.1 + description: "Der h\xE4usliche Arbeitsplatz SOLLTE durch eine geeignete Raumaufteilung\ + \ von den privaten Bereichen der Wohnung getrennt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a4 + ref_id: INF.8.A4.2 + description: "Der h\xE4usliche Arbeitsplatz SOLLTE mit B\xFCrom\xF6beln eingerichtet\ + \ sein, die ergonomischen Anforderungen entsprechen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a4 + ref_id: INF.8.A4.3 + description: "Ebenso SOLLTE der h\xE4usliche Arbeitsplatz durch geeignete technische\ + \ Sicherungsma\xDFnahmen vor Einbr\xFCchen gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a4 + ref_id: INF.8.A4.4 + description: "Die Schutzma\xDFnahmen SOLLTEN an die \xF6rtlichen Gegebenheiten\ + \ und den vorliegenden Schutzbedarf angepasst sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8 + ref_id: INF.8.A5 + name: "Entsorgung von vertraulichen Informationen am h\xE4uslichen Arbeitsplatz" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a5 + ref_id: INF.8.A5.1 + description: Vertrauliche Informationen SOLLTEN sicher entsorgt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a5 + ref_id: INF.8.A5.2 + description: "In einer speziellen Sicherheitsrichtlinie SOLLTE daher geregelt\ + \ werden, wie schutzbed\xFCrftiges Material zu beseitigen ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a5 + ref_id: INF.8.A5.3 + description: "Es SOLLTEN die daf\xFCr ben\xF6tigten Entsorgungsm\xF6glichkeiten\ + \ verf\xFCgbar sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8 + ref_id: INF.8.A6 + name: "Umgang mit dienstlichen Unterlagen bei erh\xF6htem Schutzbedarf am h\xE4\ + uslichen Arbeitsplatz" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a6 + ref_id: INF.8.A6.1 + description: "Wenn Informationen mit erh\xF6htem Schutzbedarf bearbeitet werden,\ + \ SOLLTE \xFCberlegt werden, von einem h\xE4uslichen Arbeitsplatz ganz abzusehen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.8.a6 + ref_id: INF.8.A6.2 + description: "Anderenfalls SOLLTE der h\xE4usliche Arbeitsplatz durch erweiterte,\ + \ hochwertige technische Sicherungsma\xDFnahmen gesch\xFCtzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf + ref_id: INF.9 + name: Mobiler Arbeitsplatz + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9 + ref_id: INF.9.A1 + name: Geeignete Auswahl und Nutzung eines mobilen Arbeitsplatzes + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a1 + ref_id: INF.9.A1.1 + description: "Die Institution MUSS ihren Mitarbeitenden vorschreiben, wie mobile\ + \ Arbeitspl\xE4tze in geeigneter Weise ausgew\xE4hlt und benutzt werden sollen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a1 + ref_id: INF.9.A1.2 + description: "Es M\xDCSSEN Eigenschaften definiert werden, die f\xFCr einen\ + \ mobilen Arbeitsplatz w\xFCnschenswert sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a1 + ref_id: INF.9.A1.3 + description: "Es M\xDCSSEN aber auch Ausschlusskriterien definiert werden, die\ + \ gegen einen mobilen Arbeitsplatz sprechen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a1 + ref_id: INF.9.A1.4 + description: 'Mindestens MUSS geregelt werden:' + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a1 + ref_id: INF.9.A1.5 + description: "\u2022 unter welchen Arbeitsplatzbedingungen sch\xFCtzenswerte\ + \ Informationen bearbeitet werden d\xFCrfen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a1 + ref_id: INF.9.A1.6 + description: "\u2022 wie sich Mitarbeitende am mobilen Arbeitsplatz vor ungewollter\ + \ Einsichtnahme Dritter sch\xFCtzen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a1.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a1 + ref_id: INF.9.A1.7 + description: "\u2022 ob eine permanente Netz- und Stromversorgung gegeben sein\ + \ muss sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a1.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a1 + ref_id: INF.9.A1.8 + description: "\u2022 welche Arbeitsplatzumgebungen komplett verboten sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9 + ref_id: INF.9.A2 + name: "Regelungen f\xFCr mobile Arbeitspl\xE4tze" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2 + ref_id: INF.9.A2.1 + description: "F\xFCr alle Arbeiten unterwegs MUSS geregelt werden, welche Informationen\ + \ au\xDFerhalb der Institution transportiert und bearbeitet werden d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2 + ref_id: INF.9.A2.2 + description: Es MUSS zudem geregelt werden, welche Schutzvorkehrungen dabei + zu treffen sind. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2 + ref_id: INF.9.A2.3 + description: "Dabei MUSS auch gekl\xE4rt werden, unter welchen Rahmenbedingungen\ + \ Mitarbeitende mit mobilen IT-Systemen auf interne Informationen ihrer Institution\ + \ zugreifen d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2 + ref_id: INF.9.A2.4 + description: "Die Mitnahme von IT-Komponenten und Datentr\xE4gern MUSS klar\ + \ geregelt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2 + ref_id: INF.9.A2.5 + description: "So MUSS festgelegt werden, welche IT-Systeme und Datentr\xE4ger\ + \ mitgenommen werden d\xFCrfen, wer diese mitnehmen darf und welche grundlegenden\ + \ Sicherheitsanforderungen dabei beachtet werden m\xFCssen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2 + ref_id: INF.9.A2.6 + description: "Es MUSS zudem protokolliert werden, wann und von wem welche mobilen\ + \ Endger\xE4te au\xDFer Haus eingesetzt wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2 + ref_id: INF.9.A2.7 + description: "Die Benutzenden von mobilen Endger\xE4ten M\xDCSSEN f\xFCr den\ + \ Wert mobiler IT-Systeme und den Wert der darauf gespeicherten Informationen\ + \ sensibilisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2 + ref_id: INF.9.A2.8 + description: "Sie M\xDCSSEN \xFCber die spezifischen Gef\xE4hrdungen und Ma\xDF\ + nahmen der von ihnen benutzten IT-Systeme aufgekl\xE4rt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2 + ref_id: INF.9.A2.9 + description: "Au\xDFerdem M\xDCSSEN sie dar\xFCber informiert werden, welche\ + \ Art von Informationen auf mobilen IT-Systemen verarbeitet werden darf." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2 + ref_id: INF.9.A2.10 + description: "Alle Benutzenden M\xDCSSEN auf die geltenden Regelungen hingewiesen\ + \ werden, die von ihnen einzuhalten sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a2 + ref_id: INF.9.A2.11 + description: "Sie M\xDCSSEN entsprechend geschult werden" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9 + ref_id: INF.9.A3 + name: Zutritts- und Zugriffsschutz + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a3 + ref_id: INF.9.A3.1 + description: "Den Mitarbeitenden MUSS bekannt gegeben werden, welche Regelungen\ + \ und Ma\xDFnahmen zum Einbruch- und Zutrittsschutz am mobilen Arbeitsplatz\ + \ zu beachten sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a3 + ref_id: INF.9.A3.2 + description: "Wenn der mobile Arbeitsplatz nicht besetzt ist, M\xDCSSEN Fenster\ + \ und T\xFCren abgeschlossen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a3 + ref_id: INF.9.A3.3 + description: "Ist dies nicht m\xF6glich, z. B. im Zug, M\xDCSSEN die Mitarbeitenden\ + \ alle Unterlagen und IT-Systeme an sicherer Stelle verwahren oder mitf\xFC\ + hren, wenn sie abwesend sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a3 + ref_id: INF.9.A3.4 + description: "Es MUSS sichergestellt werden, dass unbefugte Personen zu keiner\ + \ Zeit auf dienstliche IT und Unterlagen zugreifen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a3 + ref_id: INF.9.A3.5 + description: "Wird der Arbeitsplatz nur kurz verlassen, M\xDCSSEN die eingesetzten\ + \ IT-Systeme gesperrt werden, sodass sie nur nach erfolgreicher Authentisierung\ + \ wieder benutzt werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9 + ref_id: INF.9.A4 + name: Arbeiten mit fremden IT-Systemen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a4 + ref_id: INF.9.A4.1 + description: "Die Institution MUSS regeln, wie Mitarbeitende mit institutionsfremden\ + \ IT-Systemen arbeiten d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a4 + ref_id: INF.9.A4.2 + description: "Alle mobilen Mitarbeitenden M\xDCSSEN \xFCber die Gefahren fremder\ + \ IT-Systeme aufgekl\xE4rt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a4 + ref_id: INF.9.A4.3 + description: "Die Regelungen M\xDCSSEN vorgeben, ob und wie sch\xFCtzenswerte\ + \ Informationen an fremden IT-Systemen bearbeitet werden d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a4 + ref_id: INF.9.A4.4 + description: "Sie M\xDCSSEN zudem festlegen, wie verhindert wird, dass nicht\ + \ autorisierte Personen die Informationen einsehen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a4 + ref_id: INF.9.A4.5 + description: "Wenn Mitarbeitende mit fremden IT-Systemen arbeiten, MUSS grunds\xE4\ + tzlich sichergestellt sein, dass alle w\xE4hrenddessen entstandenen tempor\xE4\ + ren Daten gel\xF6scht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9 + ref_id: INF.9.A5 + name: Zeitnahe Verlustmeldung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a5 + ref_id: INF.9.A5.1 + description: "Mitarbeitende SOLLTEN ihrer Institution umgehend melden, wenn\ + \ Informationen, IT-Systeme oder Datentr\xE4ger verlorengegangen sind oder\ + \ gestohlen wurden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a5 + ref_id: INF.9.A5.2 + description: "Daf\xFCr SOLLTE es klare Meldewege und Ansprechpartner innerhalb\ + \ der Institution geben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9 + ref_id: INF.9.A6 + name: Entsorgung von vertraulichen Informationen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a6 + ref_id: INF.9.A6.1 + description: Vertrauliche Informationen SOLLTEN auch unterwegs sicher entsorgt + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a6 + ref_id: INF.9.A6.2 + description: "Bevor ausgediente oder defekte Datentr\xE4ger und Dokumente vernichtet\ + \ werden, MUSS \xFCberpr\xFCft werden, ob sie sensible Informationen enthalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a6 + ref_id: INF.9.A6.3 + description: "Ist dies der Fall, M\xDCSSEN die Datentr\xE4ger und Dokumente\ + \ wieder mit zur\xFCcktransportiert werden und auf institutseigenem Wege entsorgt\ + \ oder vernichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9 + ref_id: INF.9.A7 + name: "Rechtliche Rahmenbedingungen f\xFCr das mobile Arbeiten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a7 + ref_id: INF.9.A7.1 + description: "F\xFCr das mobile Arbeiten SOLLTEN arbeitsrechtliche und arbeitsschutzrechtliche\ + \ Rahmenbedingungen beachtet und geregelt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a7 + ref_id: INF.9.A7.2 + description: "Alle relevanten Punkte SOLLTEN entweder durch Betriebsvereinbarungen\ + \ oder durch zus\xE4tzlich zum Arbeitsvertrag getroffene individuelle Vereinbarungen\ + \ zwischen dem mobilen Mitarbeitenden und der Institution geregelt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9 + ref_id: INF.9.A8 + name: "Sicherheitsrichtlinie f\xFCr mobile Arbeitspl\xE4tze" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a8 + ref_id: INF.9.A8.1 + description: "Alle relevanten Sicherheitsanforderungen f\xFCr mobile Arbeitspl\xE4\ + tze SOLLTEN in einer f\xFCr die mobilen Mitarbeitenden verpflichtenden Sicherheitsrichtlinie\ + \ dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a8 + ref_id: INF.9.A8.2 + description: Sie SOLLTE zudem mit den bereits vorhandenen Sicherheitsrichtlinien + der Institution sowie mit allen relevanten Fachabteilungen abgestimmt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a8 + ref_id: INF.9.A8.3 + description: "Die Sicherheitsrichtlinie f\xFCr mobile Arbeitspl\xE4tze SOLLTE\ + \ regelm\xE4\xDFig aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a8 + ref_id: INF.9.A8.4 + description: Die Mitarbeitenden der Institution SOLLTEN hinsichtlich der aktuellen + Sicherheitsrichtlinie sensibilisiert und geschult sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9 + ref_id: INF.9.A9 + name: "Verschl\xFCsselung tragbarer IT-Systeme und Datentr\xE4ger" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a9 + ref_id: INF.9.A9.1 + description: "Bei tragbaren IT-Systemen und Datentr\xE4gern SOLLTE sichergestellt\ + \ werden, dass diese entsprechend den internen Richtlinien abgesichert sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a9 + ref_id: INF.9.A9.2 + description: "Mobile IT-Systeme und Datentr\xE4ger SOLLTEN dabei verschl\xFC\ + sselt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a9 + ref_id: INF.9.A9.3 + description: "Die kryptografischen Schl\xFCssel SOLLTEN getrennt vom verschl\xFC\ + sselten Ger\xE4t aufbewahrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9 + ref_id: INF.9.A10 + name: Einsatz von Diebstahlsicherungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a10 + ref_id: INF.9.A10.1 + description: Bietet das verwendete IT-System eine Diebstahlsicherung, SOLLTE + sie benutzt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a10 + ref_id: INF.9.A10.2 + description: "Die Diebstahlsicherungen SOLLTEN stets dort eingesetzt werden,\ + \ wo ein erh\xF6hter Publikumsverkehr herrscht oder die Fluktuation von Benutzenden\ + \ sehr hoch ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a10 + ref_id: INF.9.A10.3 + description: "Dabei SOLLTEN die Mitarbeitenden immer beachten, dass der Schutz\ + \ der auf den IT-Systemen gespeicherten Informationen meist einen h\xF6heren\ + \ Wert besitzt als die Wiederanschaffungskosten des IT-Systems betragen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a10 + ref_id: INF.9.A10.4 + description: "Die Beschaffungs- und Einsatzkriterien f\xFCr Diebstahlsicherungen\ + \ SOLLTEN an die Prozesse der Institution angepasst und dokumentiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9 + ref_id: INF.9.A11 + name: Verbot der Nutzung unsicherer Umgebungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a11 + ref_id: INF.9.A11.1 + description: "Es SOLLTEN Kriterien f\xFCr die Arbeitsumgebung festgelegt werden,\ + \ die mindestens erf\xFCllt sein m\xFCssen, damit Informationen mit erh\xF6\ + htem Schutzbedarf mobil bearbeitet werden d\xFCrfen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a11 + ref_id: INF.9.A11.2 + description: 'Die Kriterien SOLLTEN mindestens folgende Themenbereiche abdecken:' + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a11 + ref_id: INF.9.A11.3 + description: "\u2022 Einsicht und Zugriff durch Dritte," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a11.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a11 + ref_id: INF.9.A11.4 + description: "\u2022 geschlossene und, falls n\xF6tig, abschlie\xDFbare oder\ + \ bewachte R\xE4ume," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a11.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a11 + ref_id: INF.9.A11.5 + description: "\u2022 gesicherte Kommunikationsm\xF6glichkeiten sowie" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a11.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a11 + ref_id: INF.9.A11.6 + description: "\u2022 eine ausreichende Stromversorgung." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9 + ref_id: INF.9.A12 + name: Nutzung eines Bildschirmschutzes + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.9.a12 + ref_id: INF.9.A12.1 + description: "Wenn IT-Systeme an mobilen Arbeitspl\xE4tzen genutzt werden, SOLLTEN\ + \ die Mitarbeitenden einen Sichtschutz f\xFCr die Bildschirme der IT-Systeme\ + \ verwenden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf + ref_id: INF.10 + name: "Besprechungs-, Veranstaltungs- und Schulungsr\xE4ume" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10 + ref_id: INF.10.A1 + name: "Sichere Nutzung von Besprechungs-, Veranstaltungs- und Schulungsr\xE4\ + umen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a1 + ref_id: INF.10.A1.1 + description: "In den R\xE4umen vorhandene Ger\xE4tschaften M\xDCSSEN angemessen\ + \ gegen Diebstahl gesichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a1 + ref_id: INF.10.A1.2 + description: "Zudem MUSS festgelegt werden, wer die in den R\xE4umen dauerhaft\ + \ vorhandenen IT- und sonstigen Systeme administriert." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a1 + ref_id: INF.10.A1.3 + description: "Es MUSS auch festgelegt werden, ob und unter welchen Bedingungen\ + \ von externen Personen mitgebrachte IT-Systeme verwenden d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a1 + ref_id: INF.10.A1.4 + description: "Weiterhin MUSS festgelegt werden, ob und auf welche Netzzug\xE4\ + nge und TK-Schnittstellen externen Personen zugreifen d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10 + ref_id: INF.10.A3 + name: "Geschlossene Fenster und T\xFCren" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a3 + ref_id: INF.10.A3.1 + description: "Die Fenster und T\xFCren der Besprechungs-, Veranstaltungs- und\ + \ Schulungsr\xE4ume M\xDCSSEN beim Verlassen verschlossen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a3 + ref_id: INF.10.A3.2 + description: "Bei R\xE4umlichkeiten, in denen sich IT-Systeme oder sch\xFCtzenswerte\ + \ Informationen befinden, M\xDCSSEN die T\xFCren beim Verlassen abgeschlossen\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a3 + ref_id: INF.10.A3.3 + description: "Zus\xE4tzlich MUSS regelm\xE4\xDFig gepr\xFCft werden, ob die\ + \ Fenster und T\xFCren nach Verlassen der R\xE4ume verschlossen wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a3 + ref_id: INF.10.A3.4 + description: "Ebenso MUSS darauf geachtet werden, dass Brand- und Rauchschutzt\xFC\ + ren tats\xE4chlich geschlossen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10 + ref_id: INF.10.A4 + name: "Planung von Besprechungs-, Veranstaltungs- und Schulungsr\xE4umen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a4 + ref_id: INF.10.A4.1 + description: "Bei der Planung von Besprechungs-, Veranstaltungs- und Schulungsr\xE4\ + umen SOLLTE besonders die Lage der R\xE4ume ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a4 + ref_id: INF.10.A4.2 + description: "Insbesondere R\xE4umlichkeiten, die oft zusammen mit oder ausschlie\xDF\ + lich von externen Personen genutzt werden, SOLLTEN NICHT in Geb\xE4udeteilen\ + \ liegen, in deren N\xE4he regelm\xE4\xDFig vertrauliche Informationen besprochen\ + \ und bearbeitet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a4 + ref_id: INF.10.A4.3 + description: "Es SOLLTE f\xFCr jeden Raum festgelegt werden, wie vertraulich\ + \ die Informationen sein d\xFCrfen, die dort besprochen oder verarbeitet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10 + ref_id: INF.10.A5 + name: Fliegende Verkabelung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a5 + ref_id: INF.10.A5.1 + description: "Die Stromanschl\xFCsse SOLLTEN sich dort befinden, wo Beamer,\ + \ Laptops oder andere elektronische Ger\xE4te aufgestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a5 + ref_id: INF.10.A5.2 + description: "Verkabelungen, die \xFCber den Boden verlaufen, SOLLTEN geeignet\ + \ abgedeckt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10 + ref_id: INF.10.A6 + name: "Einrichtung sicherer Netzzug\xE4nge" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a6 + ref_id: INF.10.A6.1 + description: "Es SOLLTE sichergestellt werden, dass mitgebrachte IT-Systeme\ + \ nicht \xFCber das Datennetz mit internen IT-Systemen der Institution verbunden\ + \ werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a6 + ref_id: INF.10.A6.2 + description: "Auf das LAN der Institution SOLLTEN ausschlie\xDFlich daf\xFC\ + r vorgesehene IT-Systeme zugreifen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a6 + ref_id: INF.10.A6.3 + description: "Ein Datennetz f\xFCr externe Personen SOLLTE vom LAN der Institution\ + \ getrennt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a6 + ref_id: INF.10.A6.4 + description: "Netzzug\xE4nge SOLLTEN so eingerichtet sein, dass verhindert wird,\ + \ dass Dritte den internen Datenaustausch mitlesen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a6 + ref_id: INF.10.A6.5 + description: "Netzanschl\xFCsse in Besprechungs-, Veranstaltungs- oder Schulungsr\xE4\ + umen SOLLTEN abgesichert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a6.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a6 + ref_id: INF.10.A6.6 + description: "Es SOLLTE verhindert werden, dass IT-Systeme in Besprechungs-,\ + \ Veranstaltungs- und Schulungsr\xE4umen gleichzeitig eine Verbindung zum\ + \ Intranet und zum Internet aufbauen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a6.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a6 + ref_id: INF.10.A6.7 + description: "Au\xDFerdem SOLLTE die Stromversorgung aus einer Unterverteilung\ + \ heraus getrennt von anderen R\xE4umen aufgebaut werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10 + ref_id: INF.10.A7 + name: "Sichere Konfiguration von Schulungs- und Pr\xE4sentationsrechnern" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a7 + ref_id: INF.10.A7.1 + description: "Dedizierte Schulungs- und Pr\xE4sentationsrechner SOLLTEN mit\ + \ einer Minimalkonfiguration versehen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a7 + ref_id: INF.10.A7.2 + description: "Es SOLLTE festgelegt sein, welche Anwendungen auf Schulungs- und\ + \ Pr\xE4sentationsrechnern in der jeweiligen Veranstaltung genutzt werden\ + \ k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a7 + ref_id: INF.10.A7.3 + description: "Die Schulungs- und Pr\xE4sentationsrechner SOLLTEN nur an ein\ + \ separates, vom LAN der Institution getrenntes Datennetz angeschlossen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10 + ref_id: INF.10.A8 + name: "Erstellung eines Nutzungsnachweises f\xFCr R\xE4ume" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a8 + ref_id: INF.10.A8.1 + description: "Je nach Nutzungsart der Besprechungs-, Veranstaltungs- und Schulungsr\xE4\ + ume SOLLTE ersichtlich sein, wer die R\xE4ume zu welchem Zeitpunkt genutzt\ + \ hat." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a8 + ref_id: INF.10.A8.2 + description: "F\xFCr R\xE4umlichkeiten, in denen Schulungen an IT-Systemen oder\ + \ besonders vertrauliche Besprechungen durchgef\xFChrt werden, SOLLTEN ebenfalls\ + \ Nutzungsnachweise erbracht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a8 + ref_id: INF.10.A8.3 + description: "Es SOLLTE \xFCberlegt werden, f\xFCr R\xE4umlichkeiten, die f\xFC\ + r jeden Mitarbeitenden zug\xE4nglich sind, ebenfalls entsprechende Nutzungsnachweise\ + \ einzuf\xFChren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10 + ref_id: INF.10.A9 + name: "Zur\xFCcksetzen von Schulungs- und Pr\xE4sentationsrechnern" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a9 + ref_id: INF.10.A9.1 + description: "Es SOLLTE ein Verfahren festgelegt werden, um Schulungs- und Pr\xE4\ + sentationsrechner nach der Nutzung auf einen vorher definierten Zustand zur\xFC\ + ckzusetzen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.10.a9 + ref_id: INF.10.A9.2 + description: "Durch von Benutzenden durchgef\xFChrte \xC4nderungen SOLLTEN dabei\ + \ vollst\xE4ndig entfernt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf + ref_id: INF.11 + name: Allgemeines Fahrzeug + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 + ref_id: INF.11.A1 + name: Planung und Beschaffung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a1 + ref_id: INF.11.A1.1 + description: Bevor Fahrzeuge beschafft werden, MUSS der Einsatzzweck geplant + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a1 + ref_id: INF.11.A1.2 + description: "Die funktionalen Anforderungen an die Fahrzeuge und insbesondere\ + \ die Anforderungen an die Informationssicherheit, sowie den Datenschutz der\ + \ verbauten IT-Komponenten M\xDCSSEN erhoben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a1 + ref_id: INF.11.A1.3 + description: "Hierbei M\xDCSSEN folgende Aspekte ber\xFCcksichtigt werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a1 + ref_id: INF.11.A1.4 + description: "\u2022 Einsatzszenarien der Fahrzeuge," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a1 + ref_id: INF.11.A1.5 + description: "\u2022 n\xE4here Einsatzumgebung der Fahrzeuge sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a1 + ref_id: INF.11.A1.6 + description: "\u2022 der gesamte Lebenszyklus der Fahrzeuge." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a1.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a1 + ref_id: INF.11.A1.7 + description: "Die Fahrzeuge M\xDCSSEN au\xDFerdem \xFCber angemessene Schlie\xDF\ + systeme verf\xFCgen, sofern die Fahrzeuge nicht durchgehend durch andere Ma\xDF\ + nahmen oder Regelungen gesichert werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a1.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a1 + ref_id: INF.11.A1.8 + description: "W\xE4hrend der Planung SOLLTE ber\xFCcksichtigt werden, dass viele\ + \ Fahrzeuge Daten an die fahrzeugherstellenden Unternehmen und weitere Dritte\ + \ \xFCbermitteln k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 + ref_id: INF.11.A2 + name: Wartung, Inspektion und Updates + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2 + ref_id: INF.11.A2.1 + description: "Die Fahrzeuge und die dazugeh\xF6renden IT-Komponenten M\xDCSSEN\ + \ nach den Vorgaben des herstellenden Unternehmens gewartet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2 + ref_id: INF.11.A2.2 + description: "Hierbei MUSS beachtet werden, dass die Intervalle der herk\xF6\ + mmlichen Wartung und von Updates der integrierten IT-Komponenten voneinander\ + \ abweichen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2 + ref_id: INF.11.A2.3 + description: Es MUSS klar geregelt werden, wer in welcher Umgebung die Updates + installieren darf. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2 + ref_id: INF.11.A2.4 + description: "Auch \u201EOver-the-Air\u201C (OTA) Updates M\xDCSSEN geregelt\ + \ eingespielt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2 + ref_id: INF.11.A2.5 + description: "Wartungs- und Reparaturarbeiten M\xDCSSEN von befugtem und qualifiziertem\ + \ Personal in einer sicheren Umgebung durchgef\xFChrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2 + ref_id: INF.11.A2.6 + description: "Dabei SOLLTE schon vor der Wartung gekl\xE4rt werden, wie mit\ + \ Fremdfirmen umgegangen wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2 + ref_id: INF.11.A2.7 + description: "Werden Fahrzeuge in fremden Institutionen gewartet, SOLLTE gepr\xFC\ + ft werden, ob alle nicht ben\xF6tigten, zum Fahrzeug dazugeh\xF6rigen portablen\ + \ IT-Systeme entfernt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2 + ref_id: INF.11.A2.8 + description: "Werden die Fahrzeuge wieder in den Einsatzbetrieb integriert,\ + \ MUSS mittels Checkliste gepr\xFCft werden, ob alle Beanstandungen und M\xE4\ + ngel auch behoben wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a2 + ref_id: INF.11.A2.9 + description: "Es MUSS auch gepr\xFCft werden, ob die vorhandenen IT-Komponenten\ + \ einsatzf\xE4hig sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 + ref_id: INF.11.A3 + name: "Regelungen f\xFCr die Fahrzeugbenutzung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a3 + ref_id: INF.11.A3.1 + description: "F\xFCr alle T\xE4tigkeiten, die sich auf die Sicherheit der in\ + \ den Fahrzeugen verarbeiteten Informationen auswirken k\xF6nnen, MUSS vorher\ + \ geregelt werden, ob sie in den Fahrzeugen durchgef\xFChrt werden d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a3 + ref_id: INF.11.A3.2 + description: "Hierbei MUSS klar geregelt werden, welche Informationen dabei\ + \ transportiert und bearbeitet werden d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a3 + ref_id: INF.11.A3.3 + description: "Erg\xE4nzend MUSS festgelegt werden, welche Schutzvorkehrungen\ + \ dabei zu treffen sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a3 + ref_id: INF.11.A3.4 + description: "Dies MUSS f\xFCr jede Art von Information gelten, auch f\xFCr\ + \ Gespr\xE4che in den Fahrzeugen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a3 + ref_id: INF.11.A3.5 + description: "Es MUSS gekl\xE4rt werden, unter welchen Rahmenbedingungen Mitarbeitende\ + \ auf welche Art von Informationen ihrer Institution zugreifen d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a3.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a3 + ref_id: INF.11.A3.6 + description: "Au\xDFerdem MUSS geregelt werden, in welchem Umfang Infotainmentsysteme,\ + \ Anwendungen und sonstige Services der Fahrzeuge genutzt werden d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a3.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a3 + ref_id: INF.11.A3.7 + description: Des Weiteren MUSS festgelegt werden, wie Schnittstellen abzusichern + sind. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a3.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a3 + ref_id: INF.11.A3.8 + description: "In bestehende Gesch\xE4fts- bzw. Dienstanweisungen MUSS beschrieben\ + \ werden, wie mitgef\xFChrte IT in den Fahrzeugen verwendet und aufbewahrt\ + \ werden darf." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 + ref_id: INF.11.A4 + name: Erstellung einer Sicherheitsrichtlinie + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a4 + ref_id: INF.11.A4.1 + description: "Alle relevanten Sicherheitsanforderungen f\xFCr die IT innerhalb\ + \ der Fahrzeuge SOLLTEN in einer f\xFCr Mitarbeitende verpflichtenden Sicherheitsrichtlinie\ + \ dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a4 + ref_id: INF.11.A4.2 + description: "Die Richtlinie SOLLTE allen relevanten Mitarbeitenden der Institution\ + \ bekannt sein und die Grundlage f\xFCr ihren Umgang mit Fahrzeugen darstellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a4 + ref_id: INF.11.A4.3 + description: "In der Richtlinie SOLLTEN die Zust\xE4ndigkeiten f\xFCr einzelne\ + \ Aufgaben klar geregelt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a4 + ref_id: INF.11.A4.4 + description: "Die Sicherheitsrichtlinie SOLLTE regelm\xE4\xDFig \xFCberpr\xFC\ + ft und anlassbezogen aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 + ref_id: INF.11.A5 + name: Erstellung einer Inventarliste + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a5 + ref_id: INF.11.A5.1 + description: "F\xFCr jedes Fahrzeug SOLLTE eine Inventarliste \xFCber" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a5 + ref_id: INF.11.A5.2 + description: "\u2022 die im Fahrzeug fest verbauten oder zugeh\xF6rigen IT-Komponenten\ + \ (z. B. Handfunkger\xE4te bei Einsatzfahrzeugen)," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a5 + ref_id: INF.11.A5.3 + description: "\u2022 die Fachverfahren, die auf den integrierten IT-Komponenten\ + \ ausgef\xFChrt werden," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a5 + ref_id: INF.11.A5.4 + description: "\u2022 Handlungsanweisungen und Betriebsdokumentationen sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a5.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a5 + ref_id: INF.11.A5.5 + description: "\u2022 die mit dem Infotainmentsystem gekoppelten Mobilger\xE4\ + te gef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a5.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a5 + ref_id: INF.11.A5.6 + description: "Die Inventarliste SOLLTE regelm\xE4\xDFig und anlassbezogen aktualisiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a5.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a5 + ref_id: INF.11.A5.7 + description: "Dabei SOLLTE \xFCberpr\xFCft werden, ob noch alle inventarisierten\ + \ zum Fahrzeug geh\xF6renden IT-Komponenten vorhanden sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a5.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a5 + ref_id: INF.11.A5.8 + description: "Zus\xE4tzlich SOLLTE anhand der Inventarliste \xFCberpr\xFCft\ + \ werden, ob keine mobilen Endger\xE4te unerlaubt mit dem Infotainmentsystem\ + \ gekoppelt worden sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 + ref_id: INF.11.A6 + name: Festlegung von Handlungsanweisungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6 + ref_id: INF.11.A6.1 + description: "F\xFCr alle wesentlichen Situationen, die die Informationssicherheit\ + \ von Fahrzeugen betreffen, SOLLTEN Handlungsanweisungen in Form von Checklisten\ + \ vorliegen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6 + ref_id: INF.11.A6.2 + description: "Die Handlungsanweisungen SOLLTEN dabei in die Sicherheitsrichtlinie\ + \ integriert werden und in geeigneter Form als Checklisten verf\xFCgbar sein,\ + \ w\xE4hrend das Fahrzeug benutzt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6 + ref_id: INF.11.A6.3 + description: "Hierbei SOLLTE auch der Fall ber\xFCcksichtigt werden, dass das\ + \ Fahrzeug selbst gestohlen wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6 + ref_id: INF.11.A6.4 + description: 'Die Handlungsanweisungen SOLLTEN insbesondere nachfolgende Szenarien + behandeln:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6 + ref_id: INF.11.A6.5 + description: "\u2022 Ausfall von IT-Komponenten der Fahrzeuge," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6 + ref_id: INF.11.A6.6 + description: "\u2022 Notfallsituationen wie Unf\xE4lle," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6 + ref_id: INF.11.A6.7 + description: "\u2022 unerlaubtes Betreten der Fahrzeuge sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6 + ref_id: INF.11.A6.8 + description: "\u2022 Diebstahl der Fahrzeuge oder darin abgelegter Gegenst\xE4\ + nde mit Relevanz f\xFCr die Informationssicherheit." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6 + ref_id: INF.11.A6.9 + description: "Die Zust\xE4ndigkeiten f\xFCr die einzelnen Aufgaben SOLLTEN in\ + \ der Checkliste dokumentiert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6 + ref_id: INF.11.A6.10 + description: Die Anweisungen SOLLTEN von den Fahrzeugbenutzenden in den entsprechenden + Situationen angewendet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a6 + ref_id: INF.11.A6.11 + description: Anhand der Checkliste SOLLTE dokumentiert werden, wie sie in diesen + Situationen vorgegangen sind. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 + ref_id: INF.11.A7 + name: "Sachgerechter Umgang mit Fahrzeugen und sch\xFCtzenswerten Informationen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a7 + ref_id: INF.11.A7.1 + description: "Die Institution SOLLTE die Handlungsanweisungen zur Fahrzeugbenutzung\ + \ um Aspekte erg\xE4nzen, wann, wie und wo Fahrzeuge sachgerecht abgestellt\ + \ bzw. angedockt werden d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a7 + ref_id: INF.11.A7.2 + description: "Hierbei SOLLTE prim\xE4r die Frage beantwortet werden, welche\ + \ Umgebungen die Fahrzeuge angemessenen vor unerlaubten Zutritt oder Sachbesch\xE4\ + digung sch\xFCtzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a7 + ref_id: INF.11.A7.3 + description: "Des Weiteren SOLLTE hierbei ber\xFCcksichtigt werden, welche Informationen\ + \ und IT-Systeme in den Fahrzeugen aufbewahrt werden d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a7 + ref_id: INF.11.A7.4 + description: "Ausreichende Ma\xDFnahmen zum Zutrittsschutz SOLLTEN ergriffen\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a7 + ref_id: INF.11.A7.5 + description: Die Ladung der Fahrzeuge SOLLTE sicher verstaut werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a7.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a7 + ref_id: INF.11.A7.6 + description: "Es SOLLTE sichergestellt werden, dass sch\xFCtzenswerte Informationen\ + \ nicht von au\xDFerhalb der Fahrzeuge von Unbefugten eingesehen, mitgeh\xF6\ + rt oder entwendet werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a7.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a7 + ref_id: INF.11.A7.7 + description: Die Mitarbeitenden SOLLTEN mit der grundlegenden Funktionsweise + der Fahrzeuge und den betreffenden IT-Komponenten vertraut gemacht werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a7.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a7 + ref_id: INF.11.A7.8 + description: "Die Mitarbeitenden SOLLTEN auch \xFCber die bestehenden Sicherheitsrisiken\ + \ informiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 + ref_id: INF.11.A8 + name: "Schutz vor witterungsbedingten Einfl\xFCssen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a8 + ref_id: INF.11.A8.1 + description: "Fahrzeuge und die darin verbauten IT-Komponenten SOLLTEN vor witterungsbedingten\ + \ Einfl\xFCssen ausreichend gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a8 + ref_id: INF.11.A8.2 + description: "Je nach Fahrzeugart, Einsatzort und Einsatzumgebung SOLLTEN zus\xE4\ + tzliche Schutzma\xDFnahmen ergriffen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a8 + ref_id: INF.11.A8.3 + description: "F\xFCr kurzfristig auftretende extreme Wettererscheinungen SOLLTEN\ + \ entsprechende Schutzma\xDFnahmen getroffen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a8 + ref_id: INF.11.A8.4 + description: "Diese Schutzma\xDFnahmen SOLLTEN in den Handlungsanweisungen zur\ + \ Fahrzeugbenutzung in Form von Checklisten dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 + ref_id: INF.11.A9 + name: Sicherstellung der Versorgung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a9 + ref_id: INF.11.A9.1 + description: "Bevor Fahrzeuge eingesetzt werden, SOLLTE geplant werden, wie\ + \ diese mit Betriebsstoffen w\xE4hrend des Einsatzes versorgt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a9 + ref_id: INF.11.A9.2 + description: "Die Fahrzeuge SOLLTEN dabei w\xE4hrend des Einsatzes immer ausreichend\ + \ mit Betriebsstoffen versorgt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 + ref_id: INF.11.A10 + name: Aussonderung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a10 + ref_id: INF.11.A10.1 + description: "Werden Fahrzeuge ausgesondert, SOLLTEN keine sch\xFCtzenswerten\ + \ Informationen in den Fahrzeugen verbleiben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a10 + ref_id: INF.11.A10.2 + description: "Bevor Fahrzeuge endg\xFCltig ausgesondert werden, SOLLTE anhand\ + \ der Inventarliste gepr\xFCft werden, ob keine inventarisierten Gegenst\xE4\ + nde und dar\xFCber hinaus relevanten Gegenst\xE4nde zur\xFCckgelassen worden\ + \ sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 + ref_id: INF.11.A11 + name: "Ersatzvorkehrungen bei Ausf\xE4llen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a11 + ref_id: INF.11.A11.1 + description: "F\xFCr den Fall, dass Fahrzeuge oder Fahrzeugf\xFChrende ausfallen,\ + \ SOLLTEN innerhalb der Institution vorbereitende Ma\xDFnahmen getroffen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a11 + ref_id: INF.11.A11.2 + description: "Abh\xE4ngig von der Bedeutung der Fahrzeuge SOLLTEN Ersatzfahrzeuge\ + \ bereitstehen oder alternativ ein Rahmenvertrag mit einer geeigneten Fremdinstitution\ + \ geschlossen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a11 + ref_id: INF.11.A11.3 + description: "Zus\xE4tzlich dazu SOLLTEN Ersatzfahrzeugf\xFChrende verf\xFC\ + gbar sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 + ref_id: INF.11.A12 + name: Diebstahlsicherung bzw. Bewachung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a12 + ref_id: INF.11.A12.1 + description: Eine Alarmanlage SOLLTE vorhanden sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a12 + ref_id: INF.11.A12.2 + description: "Bei Bodenfahrzeugen SOLLTE dar\xFCber hinaus eine Wegfahrsperre\ + \ vorhanden sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a12 + ref_id: INF.11.A12.3 + description: Wird das Fahrzeug verlassen, SOLLTEN die Alarmanlage und Wegfahrsperre + aktiviert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a12 + ref_id: INF.11.A12.4 + description: Alternativ SOLLTEN die Fahrzeuge bewacht werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 + ref_id: INF.11.A13 + name: "Sch\xE4digende Fremdeinwirkung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a13 + ref_id: INF.11.A13.1 + description: "Je nach Art der Fahrzeuge SOLLTEN geeignete Ma\xDFnahmen ergriffen\ + \ werden, um die Fahrzeuge vor potentieller Fremdeinwirkung in der geplanten\ + \ Einsatzumgebung zu sch\xFCtzen, wie z. B. st\xF6renden Funkstrahlen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 + ref_id: INF.11.A14 + name: Schutz sensibler Informationen vor unbefugtem Zugriff und Kenntnisnahme + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a14 + ref_id: INF.11.A14.1 + description: "Fahrzeuge und die dazugeh\xF6rigen IT-Komponenten SOLLTEN so abgesichert\ + \ werden, dass sensible Informationen durch Unbefugte nicht ausgelesen bzw.\ + \ manipuliert oder gel\xF6scht werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a14 + ref_id: INF.11.A14.2 + description: "Hierbei SOLLTEN die vorhandenen Schutzvorkehrungen der herstellenden\ + \ Unternehmen \xFCberpr\xFCft und bei Bedarf angepasst werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 + ref_id: INF.11.A15 + name: Physische Absicherung der Schnittstellen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a15 + ref_id: INF.11.A15.1 + description: "Alle physischen internen und externen Schnittstellen der Fahrzeuge\ + \ SOLLTEN physisch gegen unbefugte Benutzung und \xE4u\xDFere Einfl\xFCsse\ + \ abgesichert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 + ref_id: INF.11.A16 + name: "Brandl\xF6schanlage" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a16 + ref_id: INF.11.A16.1 + description: "Die Fahrzeuge SOLLTEN \xFCber eine Brandl\xF6schanlage verf\xFC\ + gen, die einen Brand von au\xDFen und innen l\xF6schen kann." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a16 + ref_id: INF.11.A16.2 + description: "Alternativ SOLLTEN geeignete Mittel zur Brandbek\xE4mpfung mitgef\xFC\ + hrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11 + ref_id: INF.11.A17 + name: "Netztrennung des In-Vehicle-Network mit einem Sonderfahrzeugnetz \xFC\ + ber Gateways" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a17 + ref_id: INF.11.A17.1 + description: Generell SOLLTE die Institution sicherstellen, dass keine Informationen + unerlaubt und undefiniert zwischen + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a17 + ref_id: INF.11.A17.2 + description: "\u2022 dem In-Vehicle-Network (IVN), das wiederum an die Netze\ + \ der fahrzeugherstellenden Unternehmen angebunden ist und" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a17 + ref_id: INF.11.A17.3 + description: "\u2022 den einsatzspezifischen IT-Komponenten ausgetauscht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a17.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a17 + ref_id: INF.11.A17.4 + description: Hierzu SOLLTEN Gateways mit standardisierten Protokollen (z. B. + nach Standard CiA 447) eingesetzt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a17.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.11.a17 + ref_id: INF.11.A17.5 + description: Die Gateways SOLLTEN dabei vom fahrzeugherstellenden Unternehmen + freigegeben sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf + ref_id: INF.12 + name: Verkabelung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 + ref_id: INF.12.A1 + name: Auswahl geeigneter Kabeltypen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1 + ref_id: INF.12.A1.1 + description: "Bei der Auswahl von Kabeltypen MUSS gepr\xFCft werden, welche\ + \ \xFCbertragungstechnischen Eigenschaften notwendig sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1 + ref_id: INF.12.A1.2 + description: "Die einschl\xE4gigen Normen und Vorschriften M\xDCSSEN beachtet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1 + ref_id: INF.12.A1.3 + description: "Auch die Umgebungsbedingungen im Betrieb und bei der Verlegung\ + \ M\xDCSSEN ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1 + ref_id: INF.12.A1.4 + description: "Hinsichtlich der Umgebungsbedingungen M\xDCSSEN die folgenden\ + \ Faktoren beachtet werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1 + ref_id: INF.12.A1.5 + description: "\u2022 Temperaturen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1 + ref_id: INF.12.A1.6 + description: "\u2022 Kabelwege," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1 + ref_id: INF.12.A1.7 + description: "\u2022 Zugkr\xE4fte bei der Verlegung," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1 + ref_id: INF.12.A1.8 + description: "\u2022 die Art der Verlegung sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a1 + ref_id: INF.12.A1.9 + description: "\u2022 die Entfernung zwischen den Endpunkten und m\xF6glichen\ + \ St\xF6rquellen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 + ref_id: INF.12.A2 + name: "Planung der Kabelf\xFChrung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a2 + ref_id: INF.12.A2.1 + description: "Kabel, Kabelwege und Kabeltrassen M\xDCSSEN aus funktionaler und\ + \ aus physikalischer Sicht ausreichend dimensioniert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a2 + ref_id: INF.12.A2.2 + description: "Dabei M\xDCSSEN k\xFCnftige Notwendigkeiten eingerechnet werden,\ + \ z. B. gen\xFCgend Platz f\xFCr m\xF6gliche technische Erweiterungen in Kabelkan\xE4\ + len und -trassen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a2 + ref_id: INF.12.A2.3 + description: "Bei der gemeinsamen F\xFChrung von IT- und Stromverkabelung in\ + \ einer Trasse MUSS das \xDCbersprechen zwischen den einzelnen Kabeln verhindert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a2 + ref_id: INF.12.A2.4 + description: "Es MUSS darauf geachtet werden, dass die IT-Verkabelung und die\ + \ elektrotechnische Verkabelung mit dem normgerechten Trennungsabstand gef\xFC\ + hrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a2 + ref_id: INF.12.A2.5 + description: "Erkennbare Gefahrenquellen M\xDCSSEN umgangen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 + ref_id: INF.12.A3 + name: Fachgerechte Installation + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a3 + ref_id: INF.12.A3.1 + description: "Die Installationsarbeiten der Verkabelung M\xDCSSEN fachkundig\ + \ und sorgf\xE4ltig erfolgen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a3 + ref_id: INF.12.A3.2 + description: "Bei der Installation M\xDCSSEN alle relevanten Normen beachtet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a3 + ref_id: INF.12.A3.3 + description: "Die fachgerechte Ausf\xFChrung der Verkabelung MUSS durch eine\ + \ fachkundige Person in allen Phasen \xFCberpr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a3 + ref_id: INF.12.A3.4 + description: "Bei Anlieferung des Materials MUSS gepr\xFCft werden, ob die richtigen\ + \ Kabel und Anschlusskomponenten geliefert wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a3 + ref_id: INF.12.A3.5 + description: "Es MUSS darauf geachtet werden, dass die Montage keine Besch\xE4\ + digungen verursacht." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a3.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a3 + ref_id: INF.12.A3.6 + description: "Au\xDFerdem M\xDCSSEN die Kabelwege so gew\xE4hlt werden, dass\ + \ eine Besch\xE4digung der verlegten Kabel durch die normale Nutzung des Geb\xE4\ + udes ausgeschlossen ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 + ref_id: INF.12.A4 + name: EMV-taugliche Stromversorgung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a4 + ref_id: INF.12.A4.1 + description: "Die Stromversorgung MUSS EMV (Elektromagnetische Vertr\xE4glichkeit)\ + \ -tauglich sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a4 + ref_id: INF.12.A4.2 + description: "Daf\xFCr MUSS das Stromverteilnetz als TN-S-System aufgebaut sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a4 + ref_id: INF.12.A4.3 + description: "Bei Aufbau und Betrieb des Stromverteilnetzes M\xDCSSEN die in\ + \ den entsprechenden Normen empfohlenen Trennungsabst\xE4nde soweit wie m\xF6\ + glich eingehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a4 + ref_id: INF.12.A4.4 + description: "Vorkehrungen gegen Einstrahlungen von au\xDFen, Abstrahlung durch\ + \ die Stromleitung sowie zur Erkennung von Ausgleichsstr\xF6men M\xDCSSEN\ + \ getroffen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 + ref_id: INF.12.A5 + name: "Anforderungsanalyse f\xFCr die Verkabelung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a5 + ref_id: INF.12.A5.1 + description: "Grunds\xE4tzlich SOLLTEN die Anforderungen analysiert werden,\ + \ die Einfluss auf eine zukunftssichere, bedarfsgerechte und wirtschaftliche\ + \ Ausf\xFChrung der Verkabelung haben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a5 + ref_id: INF.12.A5.2 + description: "In dieser Anforderungsanalyse SOLLTE zun\xE4chst abgesch\xE4tzt\ + \ werden, wie die kurzfristige Nutzung der Verkabelung innerhalb der Institution\ + \ aussieht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a5 + ref_id: INF.12.A5.3 + description: "Darauf aufbauend SOLLTE die l\xE4ngerfristige Entwicklung der\ + \ Nutzung abgesch\xE4tzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a5 + ref_id: INF.12.A5.4 + description: "Dar\xFCber hinaus M\xDCSSEN die Schutzziele der Verf\xFCgbarkeit,\ + \ Integrit\xE4t und Vertraulichkeit bei der Anforderungsanalyse f\xFCr die\ + \ Verkabelung mit betrachtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 + ref_id: INF.12.A6 + name: Abnahme der Verkabelung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6 + ref_id: INF.12.A6.1 + description: "F\xFCr die Verkabelung SOLLTE es einen Abnahmeprozess geben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6 + ref_id: INF.12.A6.2 + description: "Verkabelungen SOLLTEN immer dann abgenommen werden, wenn alle\ + \ (gegebenenfalls im Rahmen eines Meilensteins) durchzuf\xFChrenden Aufgaben\ + \ abgeschlossen sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6 + ref_id: INF.12.A6.3 + description: "Die Ausf\xFChrenden SOLLTE hierf\xFCr die Aufgaben als abgeschlossen\ + \ und zur Abnahme bereit gemeldet haben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6 + ref_id: INF.12.A6.4 + description: "Au\xDFerdem SOLLTEN sich bei den Kontrollen durch die auftraggebende\ + \ Institution keine inakzeptablen M\xE4ngel gezeigt haben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6 + ref_id: INF.12.A6.5 + description: "Der Abnahmetermin SOLLTE so gew\xE4hlt werden, dass die Kontrollen\ + \ zur Abnahme in ausreichender Zeit vorbereitet werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6 + ref_id: INF.12.A6.6 + description: "Die auftragnehmende Institution MUSS sp\xE4testens zum Abnahmetermin\ + \ schriftlich belegen, dass s\xE4mtliche Normen und Vorschriften eingehalten\ + \ wurden, die f\xFCr das Gewerk gelten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6 + ref_id: INF.12.A6.7 + description: "Bei der Abnahme MUSS der tats\xE4chliche Umfang der Leistungen\ + \ \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6 + ref_id: INF.12.A6.8 + description: "F\xFCr das Abnahmeprotokoll SOLLTE eine Checkliste vorbereitet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6 + ref_id: INF.12.A6.9 + description: Das Abnahmeprotokoll MUSS von den Teilnehmenden und Verantwortlichen + rechtsverbindlich unterzeichnet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a6 + ref_id: INF.12.A6.10 + description: Das Protokoll MUSS Bestandteil der internen Dokumentation der Verkabelung + sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 + ref_id: INF.12.A7 + name: "\xDCberspannungsschutz" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a7 + ref_id: INF.12.A7.1 + description: "Jedes elektrisch leitende Netz SOLLTE gegen \xDCberspannungen\ + \ gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a7 + ref_id: INF.12.A7.2 + description: "Hierf\xFCr MUSS ein entsprechendes \xDCberspannungsschutzkonzept\ + \ erstellt werden, das den g\xFCltigen Normen entspricht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a7 + ref_id: INF.12.A7.3 + description: "Netzersatzanlagen (NEA) und unterbrechungsfreie Stromversorgungen\ + \ (USV) M\xDCSSEN in das \xDCberspannungsschutzkonzept aufgenommen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 + ref_id: INF.12.A8 + name: "Entfernen und Deaktivieren nicht mehr ben\xF6tigter Kabel" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a8 + ref_id: INF.12.A8.1 + description: "Wenn Kabel nicht mehr ben\xF6tigt werden, SOLLTEN sie fachgerecht\ + \ und vollst\xE4ndig entfernt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a8 + ref_id: INF.12.A8.2 + description: "Nachdem Kabel entfernt wurden, M\xDCSSEN die Brandschottungen\ + \ fachgerecht verschlossen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a8 + ref_id: INF.12.A8.3 + description: "Kabel, die aktuell nicht mehr ben\xF6tigt werden, aber mit der\ + \ vorhandenen Technik sinnvoll als Reserve an Ort und Stelle verbleiben k\xF6\ + nnen, SOLLTEN in einem betriebsf\xE4higen Zustand erhalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a8 + ref_id: INF.12.A8.4 + description: "Solche Kabel M\xDCSSEN mindestens an den Endpunkten entsprechend\ + \ gekennzeichnet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a8.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a8 + ref_id: INF.12.A8.5 + description: "Grunds\xE4tzlich SOLLTE eine \xDCbersicht \xFCber nicht mehr ben\xF6\ + tigte Kabel aufgestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a8.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a8 + ref_id: INF.12.A8.6 + description: Aus der Dokumentation SOLLTE hervorgehen, welche Kabel entfernt + oder deaktiviert wurden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 + ref_id: INF.12.A9 + name: Brandschutz in Trassen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a9 + ref_id: INF.12.A9.1 + description: Trassen SOLLTEN ausreichend dimensioniert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a9 + ref_id: INF.12.A9.2 + description: "Trassen SOLLTEN \xFCber eine ausreichende Be- und Entl\xFCftung\ + \ verf\xFCgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 + ref_id: INF.12.A10 + name: Dokumentation und Kennzeichnung der Verkabelung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10 + ref_id: INF.12.A10.1 + description: "Eine Institution SOLLTE sicherstellen, dass sie f\xFCr ihre Verkabelung\ + \ sowohl \xFCber eine interne als auch eine externe Dokumentation verf\xFC\ + gt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10 + ref_id: INF.12.A10.2 + description: Die interne Dokumentation MUSS alle Aufzeichnungen zur Installation + und zum Betrieb der Verkabelung enthalten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10 + ref_id: INF.12.A10.3 + description: "Die interne Dokumentation SOLLTE so umfangreich angefertigt und\ + \ gepflegt werden, dass der Betrieb und dessen Weiterentwicklung bestm\xF6\ + glich unterst\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10 + ref_id: INF.12.A10.4 + description: "Die externe Dokumentation (Beschriftung von Anschl\xFCssen zur\ + \ Unterst\xFCtzung des Betriebs) der Verkabelung SOLLTE m\xF6glichst neutral\ + \ gehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10 + ref_id: INF.12.A10.5 + description: "Jede Ver\xE4nderung im Netz SOLLTE dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10 + ref_id: INF.12.A10.6 + description: Eine Interims- oder Arbeitsversion der Dokumentation SOLLTE unmittelbar, + d. h. am Tag selbst angepasst werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10 + ref_id: INF.12.A10.7 + description: "Die Stamm-Dokumentation MUSS sp\xE4testens 4 Wochen nach Abschluss\ + \ der jeweiligen Arbeiten aktualisiert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10 + ref_id: INF.12.A10.8 + description: "Es SOLLTE gepr\xFCft werden, ob ein Dokumentenmanagement f\xFC\ + r die Dokumentation eingesetzt werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10 + ref_id: INF.12.A10.9 + description: "Die Dokumentation SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft und\ + \ aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a10 + ref_id: INF.12.A10.10 + description: "S\xE4mtliche technischen Einrichtungen, die im Rahmen der Verkabelung\ + \ dokumentiert sind, M\xDCSSEN hinsichtlich der Dokumentationstreue sp\xE4\ + testens nach 4 Jahren gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 + ref_id: INF.12.A11 + name: Neutrale Dokumentation in den Verteilern + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a11 + ref_id: INF.12.A11.1 + description: In jedem Verteiler SOLLTE es eine Dokumentation geben, die den + derzeitigen Stand von Rangierungen und Leitungsbelegungen wiedergibt. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a11 + ref_id: INF.12.A11.2 + description: "Die Dokumentation im Verteiler MUSS ein sicheres Schalten erm\xF6\ + glichen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a11 + ref_id: INF.12.A11.3 + description: "Die Dokumentation im Verteiler SOLLTE m\xF6glichst neutral gehalten\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a11.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a11 + ref_id: INF.12.A11.4 + description: "In der Dokumentation im Verteiler SOLLTEN nur bestehende und genutzte\ + \ Verbindungen sowie auflaufende Reservekabel aufgef\xFChrt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a11.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a11 + ref_id: INF.12.A11.5 + description: "Falls m\xF6glich, SOLLTEN keine Hinweise auf die Art gegeben werden,\ + \ wie Kabel genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a11.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a11 + ref_id: INF.12.A11.6 + description: "Es SOLLTEN nur solche Hinweise gegeben werden, die ausdr\xFCcklich\ + \ vorgeschrieben sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a11.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a11 + ref_id: INF.12.A11.7 + description: "Alle weitergehenden Informationen SOLLTEN in einer Revisionsdokumentation\ + \ aufgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 + ref_id: INF.12.A12 + name: Kontrolle elektrotechnischer Anlagen und bestehender Verbindungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a12 + ref_id: INF.12.A12.1 + description: "Alle elektrischen Anlagen und Betriebsmittel SOLLTEN gem\xE4\xDF\ + \ DGUV Vorschrift 3, entsprechend den in \xA7 5 Pr\xFCfung genannten Durchf\xFC\ + hrungsanweisungen, regelm\xE4\xDFig gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a12 + ref_id: INF.12.A12.2 + description: "Alle Unregelm\xE4\xDFigkeiten, die festgestellt werden, M\xDC\ + SSEN unverz\xFCglich dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a12 + ref_id: INF.12.A12.3 + description: "Festgestellte Unregelm\xE4\xDFigkeiten M\xDCSSEN unverz\xFCglich\ + \ den zust\xE4ndigen Organisationseinheiten gemeldet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a12 + ref_id: INF.12.A12.4 + description: "Die zust\xE4ndigen Organisationseinheiten M\xDCSSEN die festgestellten\ + \ Unregelm\xE4\xDFigkeiten so zeitnah beheben, dass eine Gef\xE4hrdung von\ + \ Personen ausgeschlossen werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a12.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a12 + ref_id: INF.12.A12.5 + description: "Die Verf\xFCgbarkeit der elektrischen Anlagen und Betriebsmittel\ + \ MUSS hierbei im erforderlichen Ma\xDF sichergestellt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 + ref_id: INF.12.A13 + name: "Vermeidung elektrischer Z\xFCndquellen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a13 + ref_id: INF.12.A13.1 + description: "Die Nutzung privater Elektroger\xE4te innerhalb einer Institution\ + \ SOLLTE klar geregelt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a13 + ref_id: INF.12.A13.2 + description: "Alle Elektroger\xE4te M\xDCSSEN durch eine Elektrofachkraft gepr\xFC\ + ft und f\xFCr sicher befunden werden, bevor sie eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a13 + ref_id: INF.12.A13.3 + description: "Die Verwendung von Steckdosenleisten SOLLTE soweit wie m\xF6glich\ + \ vermieden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a13.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a13 + ref_id: INF.12.A13.4 + description: "Fehlende Steckdosen SOLLTEN durch eine Elektrofachkraft fachgerecht\ + \ nachger\xFCstet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 + ref_id: INF.12.A14 + name: A-B-Versorgung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a14 + ref_id: INF.12.A14.1 + description: "Es SOLLTE gepr\xFCft werden, ob anstelle einer einz\xFCgigen Stromversorgung\ + \ eine zweiz\xFCgige sogenannte A-B-Versorgung geschaffen werden soll, die\ + \ wichtige IT-Komponenten und andere Verbraucher versorgt." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a14 + ref_id: INF.12.A14.2 + description: "Dabei SOLLTE die Funktionsf\xE4higkeit der Stromversorgung permanent\ + \ durch geeignete technische Einrichtungen \xFCberwacht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 + ref_id: INF.12.A15 + name: Materielle Sicherung der Verkabelung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a15 + ref_id: INF.12.A15.1 + description: "F\xFCr alle R\xE4ume eines Geb\xE4udes, insbesondere in R\xE4\ + umen mit Publikumsverkehr sowie in un\xFCbersichtlichen Bereichen SOLLTE \xFC\ + berlegt werden, Kabel und Verteiler gegen unbefugte Zugriffe zu sichern." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a15 + ref_id: INF.12.A15.2 + description: "In jedem Fall SOLLTEN die Zahl und der Umfang derjenigen Stellen\ + \ m\xF6glichst gering gehalten werden, an denen Einrichtungen der Energieversorgung\ + \ und Zugangspunkte des Datennetzes f\xFCr Unbefugte zug\xE4nglich sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 + ref_id: INF.12.A16 + name: Nutzung von Schranksystemen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a16 + ref_id: INF.12.A16.1 + description: "Elektrotechnische Anschl\xFCsse und -verteiler SOLLTEN in Schranksystemen\ + \ aufgestellt oder in diese eingebaut werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a16 + ref_id: INF.12.A16.2 + description: "Bei der Dimensionierung der Schranksysteme SOLLTE das erwartete\ + \ Wachstum f\xFCr den geplanten Einsatzzeitraum ber\xFCcksichtigt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12 + ref_id: INF.12.A17 + name: "Redundanzen f\xFCr die IT-Verkabelung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a17 + ref_id: INF.12.A17.1 + description: "Es SOLLTE gepr\xFCft werden, ob eine redundante prim\xE4re IT-Verkabelung\ + \ geschaffen werden soll, die \xFCber unabh\xE4ngige Trassen gef\xFChrt wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a17 + ref_id: INF.12.A17.2 + description: "Ebenso SOLLTE gepr\xFCft werden, ob die Anschl\xFCsse an IT- oder\ + \ TK-Provider redundant ausgelegt werden sollen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a17 + ref_id: INF.12.A17.3 + description: "Bei hohen oder sehr hohen Verf\xFCgbarkeitsanforderungen SOLLTE\ + \ \xFCberlegt werden, in den relevanten Geb\xE4uden die Sekund\xE4r- und Terti\xE4\ + rverkabelung redundant auszulegen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a17.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a17 + ref_id: INF.12.A17.4 + description: "Dabei SOLLTEN redundant ausgelegte Teile der Sekund\xE4rverkabelung\ + \ in unterschiedlichen Brandabschnitten gef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a17.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.12.a17 + ref_id: INF.12.A17.5 + description: "Wird eine redundante Verkabelung verwendet, SOLLTE deren Funktionsf\xE4\ + higkeit regelm\xE4\xDFig gepr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf + ref_id: INF.13 + name: "Technisches Geb\xE4udemanagement" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 + ref_id: INF.13.A1 + name: "Beurteilung des Ist-Zustands bei der \xDCbernahme bestehender Geb\xE4\ + ude" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a1 + ref_id: INF.13.A1.1 + description: "Bei der \xDCbernahme von bestehenden Geb\xE4uden M\xDCSSEN die\ + \ im Geb\xE4ude installierten TGA-Anlagen, die Bausubstanz und Einrichtungen\ + \ sowie vorhandene Dokumentation erfasst und hinsichtlich ihres Zustands (Alter,\ + \ Supportstatus, Zukunftsf\xE4higkeit, Vollst\xE4ndigkeit der Dokumentation\ + \ etc.) beurteilt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 + ref_id: INF.13.A2 + name: "Regelung und Dokumentation von Verantwortlichkeiten und Zust\xE4ndigkeiten\ + \ im Geb\xE4ude" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a2 + ref_id: INF.13.A2.1 + description: "Da es in einem Geb\xE4ude meist unterschiedliche Verantwortlichkeiten\ + \ und Zust\xE4ndigkeiten f\xFCr verschiedene Bereiche gibt, M\xDCSSEN die\ + \ entsprechenden Rechte, Pflichten, Aufgaben, Kompetenzen und zugeh\xF6rigen\ + \ Prozesse geregelt und dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a2 + ref_id: INF.13.A2.2 + description: "Hierbei M\xDCSSEN auch die organisatorischen Strukturen im Geb\xE4\ + ude ber\xFCcksichtigt und dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a2 + ref_id: INF.13.A2.3 + description: "Insbesondere M\xDCSSEN alle Nachfrage- und betreibenden Organisationen\ + \ erfasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a2 + ref_id: INF.13.A2.4 + description: "Wird das TGM durch eine externe Organisation betrieben, M\xDC\ + SSEN die zugeh\xF6rigen Rechte, Pflichten, Aufgaben und Kompetenzen gem\xE4\ + \xDF Baustein OPS.2.3 Nutzung von Outsourcing vertraglich festgehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a2 + ref_id: INF.13.A2.5 + description: "Weiterhin M\xDCSSEN die Schnittstellen und Meldewege inklusive\ + \ Eskalation zwischen allen Beteiligten festgelegt und dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a2.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a2 + ref_id: INF.13.A2.6 + description: Auch die Koordination verschiedener betreibender Organisationen + MUSS geregelt und dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a2.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a2 + ref_id: INF.13.A2.7 + description: Der Zugriff auf die Dokumentation MUSS geregelt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a2.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a2 + ref_id: INF.13.A2.8 + description: "Die gesamte Dokumentation inklusive der zugeh\xF6rigen Kontaktinformationen\ + \ MUSS immer aktuell und verf\xFCgbar sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 + ref_id: INF.13.A3 + name: "Dokumentation von Geb\xE4udeeinrichtungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a3 + ref_id: INF.13.A3.1 + description: "Alle Geb\xE4udeeinrichtungen der TGA inklusive GA M\xDCSSEN dokumentiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a3 + ref_id: INF.13.A3.2 + description: "Hierbei MUSS s\xE4mtliche, auch schon vorhandene, Dokumentation\ + \ zusammengef\xFChrt, aus dem Blickwinkel des TGM organisiert und um TGM-spezifische\ + \ Angaben erg\xE4nzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a3 + ref_id: INF.13.A3.3 + description: Der Zugriff auf die Dokumentation MUSS geregelt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a3 + ref_id: INF.13.A3.4 + description: "Die gesamte Dokumentation inklusive der zugeh\xF6rigen Kontaktinformationen\ + \ MUSS immer aktuell und verf\xFCgbar sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 + ref_id: INF.13.A4 + name: "Erstellung einer Sicherheitsrichtlinie f\xFCr TGM" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a4 + ref_id: INF.13.A4.1 + description: "Ausgehend von der allgemeinen Sicherheitsleitlinie der Institution\ + \ SOLLTE eine \xFCbergeordnete Sicherheitsrichtlinie f\xFCr TGM erstellt sowie\ + \ nachvollziehbar umgesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a4 + ref_id: INF.13.A4.2 + description: "Aus dieser \xFCbergeordneten Sicherheitsrichtlinie SOLLTEN spezifische\ + \ Sicherheitsrichtlinien f\xFCr die verschiedenen Themenbereiche des TGM abgeleitet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a4 + ref_id: INF.13.A4.3 + description: "In der Sicherheitsrichtlinie f\xFCr das TGM SOLLTEN nachvollziehbar\ + \ Anforderungen und Vorgaben beschrieben werden, wie das TGM umgesetzt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a4 + ref_id: INF.13.A4.4 + description: "Die Sicherheitsrichtlinie SOLLTE regelm\xE4\xDFig und zus\xE4\ + tzlich bei Bedarf gepr\xFCft und gegebenenfalls aktualisiert werden, um dem\ + \ aktuellen Stand der Technik zu entsprechen und auch neueste Erkenntnisse\ + \ abdecken zu k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a4 + ref_id: INF.13.A4.5 + description: "Sie SOLLTE allen im Bereich TGM zust\xE4ndigen Mitarbeitenden\ + \ bekannt und grundlegend f\xFCr ihre Arbeit sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 + ref_id: INF.13.A5 + name: Planung des TGM + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5 + ref_id: INF.13.A5.1 + description: "Das TGM, die zugrundeliegende Infrastruktur und die zugeh\xF6\ + rigen Prozesse SOLLTEN geeignet geplant werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5 + ref_id: INF.13.A5.2 + description: Die Planung SOLLTE dabei mindestens eine detaillierte Anforderungsanalyse, + eine ausreichende Grobkonzeptionierung und eine Fein- und Umsetzungsplanung + umfassen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5 + ref_id: INF.13.A5.3 + description: Im Rahmen der Anforderungsanalyse SOLLTEN Anforderungen an TGM-Infrastruktur + und TGM-Prozesse spezifiziert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5 + ref_id: INF.13.A5.4 + description: "Dabei SOLLTEN alle wesentlichen Elemente f\xFCr das TGM ber\xFC\ + cksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5 + ref_id: INF.13.A5.5 + description: "Auch SOLLTE die Sicherheitsrichtlinie f\xFCr das TGM beachtet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5 + ref_id: INF.13.A5.6 + description: Steht die Nachfrageorganisation zum Zeitpunkt der Planung noch + nicht fest, SOLLTEN im Rahmen einer universellen Planung zumindest grundlegende + Anforderungen erfasst werden, die dem Stand der Technik entsprechen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5 + ref_id: INF.13.A5.7 + description: "F\xFCr die Anforderungsspezifikation SOLLTEN auch die Schnittstellen\ + \ der zu verwaltenden Systeme dokumentiert werden, z. B. um die Kompatibilit\xE4\ + t von TGM-L\xF6sung und zu verwaltenden Systemen zu gew\xE4hrleisten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5 + ref_id: INF.13.A5.8 + description: "Au\xDFerdem SOLLTEN vor der Beauftragung von Dienstleistenden\ + \ oder vor der Anschaffung von Hard- oder Software der durch das TGM zu verwaltenden\ + \ Systeme die Anforderungen des TGM in einem Lastenheft des TGM spezifiziert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5 + ref_id: INF.13.A5.9 + description: "In diesem Lastenheft SOLLTE auch die Durchf\xFChrung von Tests\ + \ ber\xFCcksichtigt werden (siehe auch INF.13.A22 Durchf\xFChrung von Systemtests\ + \ im TGM)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5 + ref_id: INF.13.A5.10 + description: "Wenn im TGM Funktionen der K\xFCnstlichen Intelligenz (KI) eingesetzt\ + \ werden, SOLLTE bei dem zust\xE4ndigen herstellenden Unternehmen angefragt\ + \ werden, ob und wie die Informationssicherheit hier angemessen ber\xFCcksichtigt\ + \ wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5 + ref_id: INF.13.A5.11 + description: "Die Grobkonzeptionierung SOLLTE gem\xE4\xDF INF.13.A6 Erstellung\ + \ eines TGM-Konzepts erfolgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a5 + ref_id: INF.13.A5.12 + description: "In der Fein- und Umsetzungsplanung f\xFCr das TGM SOLLTEN alle\ + \ in der Sicherheitsrichtlinie und im TGM-Konzept adressierten Punkte ber\xFC\ + cksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 + ref_id: INF.13.A6 + name: Erstellung eines TGM-Konzepts + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6 + ref_id: INF.13.A6.1 + description: "Ausgehend von der Sicherheitsrichtlinie f\xFCr das TGM SOLLTE\ + \ ein TGM-Konzept erstellt und gepflegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6 + ref_id: INF.13.A6.2 + description: "Dabei SOLLTEN mindestens folgende Aspekte bedarfsgerecht ber\xFC\ + cksichtigt werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6 + ref_id: INF.13.A6.3 + description: "\u2022 Methoden, Techniken und Werkzeuge f\xFCr das TGM" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6 + ref_id: INF.13.A6.4 + description: "\u2022 Absicherung des Zugangs und der Kommunikation" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6 + ref_id: INF.13.A6.5 + description: "\u2022 Absicherung auf Ebene des Netzes, insbesondere Zuordnung\ + \ von TGM-Komponenten zu Netzsegmenten" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6 + ref_id: INF.13.A6.6 + description: "\u2022 Umfang des Monitorings und der Alarmierung" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6 + ref_id: INF.13.A6.7 + description: "\u2022 Protokollierung von Ereignissen und administrativen Zugriffen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6 + ref_id: INF.13.A6.8 + description: "\u2022 Meldeketten bei St\xF6rungen und Sicherheitsvorf\xE4llen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6 + ref_id: INF.13.A6.9 + description: "\u2022 ben\xF6tigte Prozesse f\xFCr das TGM" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6 + ref_id: INF.13.A6.10 + description: "\u2022 Bereitstellung von TGM-Informationen f\xFCr andere Betriebsbereiche" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6 + ref_id: INF.13.A6.11 + description: "\u2022 Einbindung des TGM in die Notfallplanung Das TGM-Konzept\ + \ SOLLTE regelm\xE4\xDFig und zus\xE4tzlich bei Bedarf gepr\xFCft und gegebenenfalls\ + \ aktualisiert werden, um dem aktuellen Stand der Technik zu entsprechen und\ + \ auch neue Erkenntnisse abdecken zu k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6 + ref_id: INF.13.A6.12 + description: "Au\xDFerdem SOLLTE regelm\xE4\xDFig ein Soll-Ist-Vergleich zwischen\ + \ den Vorgaben des Konzepts und dem aktuellen Zustand durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6.13 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6 + ref_id: INF.13.A6.13 + description: "Dabei SOLLTE insbesondere gepr\xFCft werden, ob die Systeme gem\xE4\ + \xDF den Vorgaben konfiguriert sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6.14 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6 + ref_id: INF.13.A6.14 + description: Die Ergebnisse SOLLTEN nachvollziehbar dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6.15 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a6 + ref_id: INF.13.A6.15 + description: Abweichungen SOLLTEN behoben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 + ref_id: INF.13.A7 + name: Erstellung eines Funkfrequenzkatasters + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a7 + ref_id: INF.13.A7.1 + description: "Um Funkfrequenzen weitestgehend st\xF6rungsfrei nutzen zu k\xF6\ + nnen, SOLLTE ein Funkfrequenzkataster erstellt werden, dass die Systeme und\ + \ Nutzenden des Frequenzspektrums an den Standorten der Institution listet." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a7 + ref_id: INF.13.A7.2 + description: "Dabei SOLLTE bei einer potentiellen Nutzung von Frequenzen durch\ + \ unterschiedliche Systeme und Nutzende festgelegt werden, wer auf welchen\ + \ Frequenzen der Prim\xE4rnutzende ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a7 + ref_id: INF.13.A7.3 + description: Dabei SOLLTE auch eine Abstimmung zwischen IT und TGM erfolgen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a7 + ref_id: INF.13.A7.4 + description: "Wird in den Geb\xE4uden OT eingesetzt, SOLLTE auch hier eine Abstimmung\ + \ erfolgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a7 + ref_id: INF.13.A7.5 + description: "Das Funkfrequenzkataster SOLLTE regelm\xE4\xDFig und zus\xE4tzlich\ + \ bei Bedarf gepr\xFCft und gegebenenfalls aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 + ref_id: INF.13.A8 + name: "Erstellung und Pflege eines Inventars f\xFCr das TGM" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a8 + ref_id: INF.13.A8.1 + description: "F\xFCr die Dokumentation von Systemen, die durch das TGM verwaltet\ + \ werden, SOLLTE ein Inventar erstellt und gepflegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a8 + ref_id: INF.13.A8.2 + description: "Das Inventar SOLLTE vollst\xE4ndig und aktuell gehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a8 + ref_id: INF.13.A8.3 + description: "Aus dem Inventar SOLLTEN f\xFCr alle Systeme Verantwortlichkeiten\ + \ und Zust\xE4ndigkeiten ersichtlich sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a8 + ref_id: INF.13.A8.4 + description: Auch die Elemente der TGM-Infrastruktur selbst SOLLTEN dokumentiert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 + ref_id: INF.13.A9 + name: Regelung des Einsatzes von Computer-Aided Facility Management + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a9 + ref_id: INF.13.A9.1 + description: Wird ein Computer-Aided Facility Management-System (CAFM-System) + eingesetzt, SOLLTE dieser Einsatz umfassend geplant und konzeptioniert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a9 + ref_id: INF.13.A9.2 + description: "Werden im CAFM Prozesse abgebildet und unterst\xFCtzt, SOLLTEN\ + \ entsprechende Rollen und Berechtigungen definiert werden, insbesondere wenn\ + \ externe Dienstleistende an den Prozessen beteiligt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 + ref_id: INF.13.A10 + name: Regelung des Einsatzes von Building Information Modeling + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a10 + ref_id: INF.13.A10.1 + description: "Soweit m\xF6glich SOLLTE Building Information Modeling (BIM) zur\ + \ digitalen Modellierung aller relevanten Geb\xE4udedaten eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a10 + ref_id: INF.13.A10.2 + description: Bei der Verwendung von BIM SOLLTE der BIM-Projektabwicklungsplan + spezifiziert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a10 + ref_id: INF.13.A10.3 + description: Weiterhin SOLLTE die BIM-Architektur umfassend geplant und konzeptioniert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a10 + ref_id: INF.13.A10.4 + description: "Auch f\xFCr die BIM-Werkzeuge SOLLTE die Informationssicherheit\ + \ angemessen gew\xE4hrleistet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 + ref_id: INF.13.A11 + name: "Angemessene H\xE4rtung von Systemen im TGM" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a11 + ref_id: INF.13.A11.1 + description: "Alle Systeme des TGM sowie die Systeme, die durch das TGM betrieben\ + \ werden, SOLLTEN angemessen geh\xE4rtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a11 + ref_id: INF.13.A11.2 + description: "Die H\xE4rtungsma\xDFnahmen SOLLTEN dokumentiert, regelm\xE4\xDF\ + ig und zus\xE4tzlich bei Bedarf \xFCberpr\xFCft und, falls erforderlich, angepasst\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a11 + ref_id: INF.13.A11.3 + description: "F\xFCr alle Systeme des TGM sowie die Systeme, die durch das TGM\ + \ betrieben werden, SOLLTE bei der Beschaffung sichergestellt werden, dass\ + \ diese angemessen geh\xE4rtet werden k\xF6nnen und insbesondere sicherheitsrelevante\ + \ Updates f\xFCr die geplante Nutzungsdauer bereitgestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a11.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a11 + ref_id: INF.13.A11.4 + description: "Systeme, f\xFCr die keine sicherheitsrelevanten Updates verf\xFC\ + gbar sind, SOLLTEN nach Bekanntwerden von Schwachstellen nicht mehr genutzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a11.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a11 + ref_id: INF.13.A11.5 + description: "Wenn dies nicht m\xF6glich ist, SOLLTEN die betroffenen Systeme\ + \ mit den Mitteln der Netzsegmentierung separiert und die Kommunikation kontrolliert\ + \ und reglementiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 + ref_id: INF.13.A12 + name: Sichere Konfiguration der TGM-Systeme + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12 + ref_id: INF.13.A12.1 + description: Alle Systeme des TGM sowie die Systeme, die durch das TGM betrieben + werden, SOLLTEN sicher konfiguriert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12 + ref_id: INF.13.A12.2 + description: Die Konfiguration SOLLTE mindestens vor Inbetriebnahme eines Systems + getestet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12 + ref_id: INF.13.A12.3 + description: "Konfigurations\xE4nderungen w\xE4hrend des Produktivbetriebs SOLLTEN\ + \ vor Aktivierung auf einer Testinstanz getestet oder nur im Vier-Augen-Prinzip\ + \ durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12 + ref_id: INF.13.A12.4 + description: "Die Konfiguration von Systemen SOLLTE gesichert werden, um ein\ + \ schnelles Wiedereinspielen einer fehlerfreien Version zu erm\xF6glichen\ + \ (Rollback)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12 + ref_id: INF.13.A12.5 + description: "Rollback-Tests SOLLTEN auf einem Testsystem eingerichtet oder\ + \ w\xE4hrend Wartungsfenstern durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12 + ref_id: INF.13.A12.6 + description: Die Konfigurationen SOLLTEN zentral gespeichert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12 + ref_id: INF.13.A12.7 + description: "F\xFCr gleichartige Systeme, inklusive der Ger\xE4te der Automations-\ + \ und Feldebene (siehe Kapitel 4.1 Genutzte TGM-spezifische Fachbegriffe),\ + \ SOLLTE eine automatisierte Verteilung von Software-Updates und Konfigurationen\ + \ eingerichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12 + ref_id: INF.13.A12.8 + description: "Konfigurations\xE4nderungen SOLLTEN allen Beteiligten an Betriebs-\ + \ und Serviceprozessen (Entst\xF6rung, Rufbereitschaft, Wartungen etc.) bekannt\ + \ gemacht werden, insbesondere" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12 + ref_id: INF.13.A12.9 + description: "\u2022 \xC4nderungen der Zugangsmechanismen oder der Passw\xF6\ + rter sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12 + ref_id: INF.13.A12.10 + description: "\u2022 \xC4nderungen an Kommunikations- und Steuerparametern f\xFC\ + r die eingebundenen Systeme." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12 + ref_id: INF.13.A12.11 + description: "Es SOLLTE sichergestellt werden, dass im St\xF6rungsfall beispielsweise\ + \ eine Wartungstechnikerin oder ein Wartungstechniker das System bedienen\ + \ bzw. parametrieren kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12 + ref_id: INF.13.A12.12 + description: "Au\xDFerdem SOLLTE regelm\xE4\xDFig und zus\xE4tzlich bei Bedarf\ + \ gepr\xFCft werden, ob die Systeme gem\xE4\xDF den Vorgaben konfiguriert\ + \ sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12.13 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12 + ref_id: INF.13.A12.13 + description: Die Ergebnisse SOLLTEN nachvollziehbar dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12.14 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a12 + ref_id: INF.13.A12.14 + description: Abweichungen von den Vorgaben SOLLTEN behoben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 + ref_id: INF.13.A13 + name: "Sichere Anbindung von eingeschr\xE4nkt vertrauensw\xFCrdigen Systemen\ + \ im TGM" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a13 + ref_id: INF.13.A13.1 + description: "Eingeschr\xE4nkt vertrauensw\xFCrdige Systeme, die aus wichtigen\ + \ betrieblichen Gr\xFCnden im TGM eingebunden werden m\xFCssen, SOLLTEN \xFC\ + ber ein System angebunden werden, das die Kommunikation mit Hilfe von Firewall-Funktionen\ + \ kontrolliert und reglementiert." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a13 + ref_id: INF.13.A13.2 + description: Dieses System SOLLTE in der Verantwortlichkeit des TGM liegen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 + ref_id: INF.13.A14 + name: "Ber\xFCcksichtigung spezieller Rollen und Berechtigungen im TGM" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a14 + ref_id: INF.13.A14.1 + description: "Im Rollen- und Berechtigungskonzept hinsichtlich des TGM SOLLTEN\ + \ sowohl Nachfrage- als auch betreibende Organisationen der TGM-Systeme und\ + \ der TGA-Systeme ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a14 + ref_id: INF.13.A14.2 + description: "Dies SOLLTE insbesondere dann sorgf\xE4ltig geplant werden, wenn\ + \ das TGM institutions\xFCbergreifend bereitgestellt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 + ref_id: INF.13.A15 + name: Schutz vor Schadsoftware im TGM + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a15 + ref_id: INF.13.A15.1 + description: "K\xF6nnen auf einem System keine Virenschutzprogramme gem\xE4\xDF\ + \ Baustein OPS.1.1.4 Schutz vor Schadprogrammen ausgef\xFChrt werden, beispielsweise\ + \ aufgrund von knappen Ressourcen oder aufgrund von Echtzeitanforderungen,\ + \ SOLLTEN geeignete alternative Schutzverfahren eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a15 + ref_id: INF.13.A15.2 + description: "Jedes externe System und jeder externe Datentr\xE4ger SOLLTE vor\ + \ der Verbindung mit einem TGM-System und vor der Daten\xFCbertragung auf\ + \ Schadsoftware gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 + ref_id: INF.13.A16 + name: "Prozess f\xFCr \xC4nderungen im TGM" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a16 + ref_id: INF.13.A16.1 + description: "\xC4nderungen SOLLTEN immer angek\xFCndigt und mit allen beteiligten\ + \ Gewerken (siehe Kapitel 4.1 Genutzte TGM-spezifische Fachbegriffe), Nachfrage-\ + \ und betreibenden Organisationen abgestimmt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a16 + ref_id: INF.13.A16.2 + description: "Au\xDFerdem SOLLTEN Regelungen f\xFCr den Fall getroffen werden,\ + \ dass ein R\xFCckbau von \xC4nderungen mit fehlerhaftem Ergebnis nicht oder\ + \ nur mit hohem Aufwand m\xF6glich ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a16 + ref_id: INF.13.A16.3 + description: "Daher sollten im \xC4nderungsmanagement vor Ausf\xFChrung der\ + \ \xC4nderung Tests durchgef\xFChrt werden, die auch die F\xE4higkeit des\ + \ R\xFCckbaus beinhalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a16.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a16 + ref_id: INF.13.A16.4 + description: "F\xFCr die verschiedenen Typen von \xC4nderungen SOLLTE die jeweilige\ + \ Testtiefe festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a16.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a16 + ref_id: INF.13.A16.5 + description: "Bei der Einf\xFChrung neuer Systeme und bei gro\xDFen \xC4nderungen\ + \ an bestehenden Systemen SOLLTE eine entsprechend hohe Testtiefe vorgesehen\ + \ werden (siehe INF.13.A22 Durchf\xFChrung von Systemtests im TGM)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 + ref_id: INF.13.A17 + name: Regelung von Wartungs- und Reparaturarbeiten im TGM + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a17 + ref_id: INF.13.A17.1 + description: "Geb\xE4udeeinrichtungen SOLLTEN regelm\xE4\xDFig gewartet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a17 + ref_id: INF.13.A17.2 + description: "Hierf\xFCr SOLLTE ein Wartungsplan erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a17 + ref_id: INF.13.A17.3 + description: Es SOLLTE geregelt sein, welche Sicherheitsaspekte bei Wartungs- + und Reparaturarbeiten zu beachten sind. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a17.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a17 + ref_id: INF.13.A17.4 + description: "Dabei SOLLTEN auch die Abh\xE4ngigkeiten der verschiedenen Gewerke\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a17.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a17 + ref_id: INF.13.A17.5 + description: "Dar\xFCber hinaus SOLLTE festgelegt werden, wer f\xFCr die Wartung\ + \ oder Reparatur von Einrichtungen zust\xE4ndig ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a17.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a17 + ref_id: INF.13.A17.6 + description: "Durchgef\xFChrte Wartungsarbeiten SOLLTEN dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a17.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a17 + ref_id: INF.13.A17.7 + description: "Es SOLLTE zu jedem Zeitpunkt gew\xE4hrleistet werden, dass Wartungs-\ + \ und Reparaturarbeiten, die durch Dritte ausgef\xFChrt werden, kontrolliert,\ + \ ausschlie\xDFlich abgestimmt durchgef\xFChrt und abgenommen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a17.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a17 + ref_id: INF.13.A17.8 + description: "Hierf\xFCr SOLLTEN interne Mitarbeitende der Haustechnik bestimmt\ + \ werden, die solche Wartungs- und Reparaturarbeiten autorisieren, beobachten,\ + \ gegebenenfalls unterst\xFCtzen und abnehmen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 + ref_id: INF.13.A18 + name: Proaktive Instandhaltung im TGM + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a18 + ref_id: INF.13.A18.1 + description: "F\xFCr Systeme, die durch das TGM verwaltet werden, SOLLTE eine\ + \ angemessene proaktive Instandhaltung durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a18 + ref_id: INF.13.A18.2 + description: "Hierf\xFCr SOLLTEN die regelm\xE4\xDFigen Wartungsintervalle je\ + \ System festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a18 + ref_id: INF.13.A18.3 + description: "Zus\xE4tzlich SOLLTE je System abgewogen werden, ob erg\xE4nzend\ + \ zur regelm\xE4\xDFigen Instandhaltung eine vorausschauende Instandhaltung\ + \ (engl. Predictive Maintenance) genutzt werden kann und in welchem Umfang\ + \ hierdurch die regelm\xE4\xDFigen Wartungsintervalle verl\xE4ngert werden\ + \ k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 + ref_id: INF.13.A19 + name: "Konzeptionierung und Durchf\xFChrung des Monitorings im TGM" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a19 + ref_id: INF.13.A19.1 + description: "Es SOLLTE ein Konzept f\xFCr das Monitoring im TGM erstellt und\ + \ umgesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a19 + ref_id: INF.13.A19.2 + description: "Darin SOLLTE spezifiziert werden, wie die durch das TGM zu verwaltenden\ + \ Systeme in ein m\xF6glichst einheitliches Monitoring eingebunden werden\ + \ k\xF6nnen und welche Werte \xFCberwacht werden sollten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a19.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a19 + ref_id: INF.13.A19.3 + description: "Hierf\xFCr SOLLTEN schon bei der Anforderungsanalyse erforderliche\ + \ Schnittstellen f\xFCr das Monitoring wichtiger Zust\xE4nde von Systemen\ + \ spezifiziert werden, die durch das TGM verwaltet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a19.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a19 + ref_id: INF.13.A19.4 + description: "Au\xDFerdem SOLLTEN auch die f\xFCr das TGM genutzten Systeme\ + \ in das Monitoring eingebunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a19.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a19 + ref_id: INF.13.A19.5 + description: "Das Konzept SOLLTE regelm\xE4\xDFig und zus\xE4tzlich bei Bedarf\ + \ gepr\xFCft und gegebenenfalls aktualisiert werden, um dem aktuellen Stand\ + \ der Technik zu entsprechen und auch neueste Erkenntnisse abdecken zu k\xF6\ + nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a19.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a19 + ref_id: INF.13.A19.6 + description: "Statusmeldungen und Monitoringdaten SOLLTEN NUR \xFCber sichere\ + \ Kommunikationswege \xFCbertragen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 + ref_id: INF.13.A20 + name: Regelung des Ereignismanagements im TGM + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a20 + ref_id: INF.13.A20.1 + description: Im TGM auftretende Ereignisse SOLLTEN hinsichtlich ihrer Bedeutung + und ihres Einflusses kategorisiert, gefiltert und klassifiziert werden (englisch + Event Management). + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a20.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a20 + ref_id: INF.13.A20.2 + description: "F\xFCr die Ereignisse SOLLTEN Schwellwerte definiert werden, die\ + \ eine automatisierte Einstufung von Ereignissen erm\xF6glichen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a20.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a20 + ref_id: INF.13.A20.3 + description: "Je nach Klassifizierung der Ereignisse SOLLTEN entsprechende Ma\xDF\ + nahmen f\xFCr Monitoring, Alarmierung und Meldewege (Eskalation) sowie Ma\xDF\ + nahmen zur Protokollierung bestimmt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 + ref_id: INF.13.A21 + name: Protokollierung im TGM + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a21 + ref_id: INF.13.A21.1 + description: Ereignisse, die im Ereignismanagement entsprechend klassifiziert + wurden, SOLLTEN protokolliert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a21.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a21 + ref_id: INF.13.A21.2 + description: "Au\xDFerdem SOLLTEN f\xFCr die Systeme sicherheitsrelevante Ereignisse\ + \ protokolliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a21.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a21 + ref_id: INF.13.A21.3 + description: Alle Konfigurationszugriffe sowie alle manuellen und automatisierten + Steuerungszugriffe SOLLTEN protokolliert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a21.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a21 + ref_id: INF.13.A21.4 + description: "Abh\xE4ngig vom Schutzbedarf SOLLTE eine vollumf\xE4ngliche Protokollierung\ + \ inklusive Metadaten und Inhalt der \xC4nderungen erfolgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a21.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a21 + ref_id: INF.13.A21.5 + description: "Die Protokollierung SOLLTE auf einer zentralen Protokollierungsinstanz\ + \ zusammengef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a21.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a21 + ref_id: INF.13.A21.6 + description: "Protokollierungsdaten SOLLTEN NUR \xFCber sichere Kommunikationswege\ + \ \xFCbertragen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a21.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a21 + ref_id: INF.13.A21.7 + description: Bei sicherheitskritischen Ereignissen SOLLTE automatisch alarmiert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 + ref_id: INF.13.A22 + name: "Durchf\xFChrung von Systemtests im TGM" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a22 + ref_id: INF.13.A22.1 + description: "Systeme des TGM und Systeme, die durch das TGM verwaltet werden,\ + \ SOLLTEN vor der Inbetriebnahme und bei gro\xDFen System\xE4nderungen hinsichtlich\ + \ ihrer funktionalen und nicht-funktionalen Anforderungen getestet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a22.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a22 + ref_id: INF.13.A22.2 + description: "Dabei SOLLTE auch das Soll- und Ist-Verhalten von Funktionen und\ + \ Einstellungen gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a22.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a22 + ref_id: INF.13.A22.3 + description: "Bei den nicht-funktionalen Anforderungen SOLLTEN auch Anforderungen\ + \ der Informationssicherheit getestet sowie zus\xE4tzlich bei Bedarf auch\ + \ Lasttests durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a22.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a22 + ref_id: INF.13.A22.4 + description: "F\xFCr die Tests SOLLTE eine Testspezifikation erstellt werden,\ + \ die eine Beschreibung der Testumgebung, der Testtiefe und der Testf\xE4\ + lle inklusive der Kriterien f\xFCr eine erfolgreiche Testdurchf\xFChrung enth\xE4\ + lt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a22.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a22 + ref_id: INF.13.A22.5 + description: "Die Testdurchf\xFChrung SOLLTE in einem Testbericht dokumentiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a22.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a22 + ref_id: INF.13.A22.6 + description: "Testspezifikationen SOLLTEN regelm\xE4\xDFig und zus\xE4tzlich\ + \ bei Bedarf gepr\xFCft und gegebenenfalls aktualisiert werden, um dem aktuellen\ + \ Stand der Technik zu entsprechen und auch neueste Erkenntnisse abdecken\ + \ zu k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a23 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 + ref_id: INF.13.A23 + name: Integration des TGM in das Schwachstellenmanagement + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a23.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a23 + ref_id: INF.13.A23.1 + description: "Systeme des TGM und die durch das TGM verwalteten Systeme SOLLTEN\ + \ fortlaufend hinsichtlich m\xF6glicher Schwachstellen \xFCberwacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a23.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a23 + ref_id: INF.13.A23.2 + description: "Hierf\xFCr SOLLTEN regelm\xE4\xDFig Informationen \xFCber bekanntgewordene\ + \ Schwachstellen eingeholt und entsprechend ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a23.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a23 + ref_id: INF.13.A23.3 + description: "Hierbei SOLLTE auch die Konfiguration der Systeme dahingehend\ + \ \xFCberpr\xFCft werden, ob sie bekannt gewordene Schwachstellen beg\xFC\ + nstigt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a23.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a23 + ref_id: INF.13.A23.4 + description: "Weiterhin SOLLTE entschieden werden, f\xFCr welche Systeme regelm\xE4\ + \xDFig oder zumindest bei Inbetriebnahme und bei gro\xDFen System\xE4nderungen\ + \ Schwachstellen-Scans durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a23.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a23 + ref_id: INF.13.A23.5 + description: "F\xFCr Schwachstellen-Scans SOLLTE die Scan-Tiefe festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a23.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a23 + ref_id: INF.13.A23.6 + description: "Au\xDFerdem SOLLTE festgelegt werden, ob ein passiver oder ein\ + \ aktiver Scan durchgef\xFChrt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a23.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a23 + ref_id: INF.13.A23.7 + description: In Produktivumgebungen SOLLTEN passive Scans bevorzugt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a23.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a23 + ref_id: INF.13.A23.8 + description: "Aktive Scans SOLLTEN in Produktivumgebungen nur durchgef\xFChrt\ + \ werden, wenn sie notwendig sind und Personal hinzugezogen wird, das durch\ + \ den Scan bedingte, eventuell auftretende Fehler oder Ausf\xE4lle beheben\ + \ kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a24 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 + ref_id: INF.13.A24 + name: "Sicherstellung der Kontrolle \xFCber die Prozesse bei Cloud-Nutzung f\xFC\ + r das TGM" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a24.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a24 + ref_id: INF.13.A24.1 + description: "Werden im TGM Cloud-basierte Dienste genutzt, SOLLTE die Kontrolle\ + \ \xFCber alle TGM-Prozesse im TGM verbleiben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a24.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a24 + ref_id: INF.13.A24.2 + description: Dies SOLLTE bei Nutzung eines Cloud-Dienstes vertraglich mit dem + anbietenden Unternehmen festgelegt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a25 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 + ref_id: INF.13.A25 + name: "Aufbau einer Testumgebung f\xFCr das TGM" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a25.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a25 + ref_id: INF.13.A25.1 + description: "Bei erh\xF6htem Schutzbedarf SOLLTE f\xFCr Systeme des TGM und\ + \ f\xFCr Systeme, die durch das TGM verwaltet werden, eine Testumgebung eingerichtet\ + \ werden, damit Hard- und Software vor der Inbetriebnahme und bei \xC4nderungen\ + \ getestet und Fehler im produktiven Betrieb reduziert werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a25.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a25 + ref_id: INF.13.A25.2 + description: "Au\xDFerdem SOLLTEN Regelungen f\xFCr den Umgang mit Systemen\ + \ spezifiziert werden, f\xFCr die keine Testumgebung aufgebaut werden kann." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a26 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 + ref_id: INF.13.A26 + name: Absicherung von BIM + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a26.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a26 + ref_id: INF.13.A26.1 + description: "Werden in BIM auch sicherheitskritische Informationen erfasst,\ + \ SOLLTEN sowohl auf Ebene der BIM-Architektur als auch f\xFCr Implementierung\ + \ und Betrieb der BIM-L\xF6sung entsprechende Sicherheits- und H\xE4rtungsma\xDF\ + nahmen vorgesehen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a26.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a26 + ref_id: INF.13.A26.2 + description: "Die Absicherung SOLLTE ein versch\xE4rftes Rollen- und Berechtigungskonzept\ + \ sowie weitergehende Schutzma\xDFnahmen wie Verschl\xFCsselung, Segmentierung\ + \ und h\xF6herwertige Authentisierungsmechanismen, insbesondere eine 2-Faktor-Authentisierung,\ + \ beinhalten." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a27 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 + ref_id: INF.13.A27 + name: "Einrichtung einer Private Cloud f\xFCr das TGM" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a27.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a27 + ref_id: INF.13.A27.1 + description: "Bei erh\xF6htem Schutzbedarf SOLLTEN Cloud-Dienste zum TGM in\ + \ einer Private Cloud On-Premises oder einer Private Cloud bei einem vertrauensw\xFC\ + rdigen Anbietenden positioniert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a27.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a27 + ref_id: INF.13.A27.2 + description: Der Einsatz einer Public Cloud SOLLTE vermieden werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a28 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 + ref_id: INF.13.A28 + name: "Sichere Nutzung von K\xFCnstlicher Intelligenz im TGM" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a28.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a28 + ref_id: INF.13.A28.1 + description: "Werden bei erh\xF6htem Schutzbedarf im TGM Funktionen der K\xFC\ + nstlichen Intelligenz (KI) genutzt, SOLLTE nur eine KI genutzt werden, die\ + \ nachweislich sicher ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a28.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a28 + ref_id: INF.13.A28.2 + description: "Mindestens SOLLTE darauf geachtet werden, dass keine Daten in\ + \ Netze geleitet werden, die nicht zur eigenen Institution geh\xF6ren oder\ + \ nicht vertrauensw\xFCrdig sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a28.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a28 + ref_id: INF.13.A28.3 + description: "F\xFCr Cloud-basierte KI-Dienste SOLLTEN \xFCber die Anforderungen\ + \ des Bausteins OPS.2.2 Cloud-Nutzung hinaus auch die Kriterien des AI Cloud\ + \ Service Compliance Criteria Catalogue (AIC4) des BSI ber\xFCcksichtigt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a29 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 + ref_id: INF.13.A29 + name: Integration des TGM in ein SIEM + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a29.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a29 + ref_id: INF.13.A29.1 + description: "Wird ein System f\xFCr das Security Information and Event Management\ + \ (SIEM) genutzt, SOLLTEN die Systeme des TGM und soweit m\xF6glich auch die\ + \ durch das TGM verwalteten Systeme entsprechend eingebunden werden, um system-\ + \ und anwendungs\xFCbergreifende sicherheitsrelevante Vorf\xE4lle erkennen\ + \ und analysieren zu k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a30 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13 + ref_id: INF.13.A30 + name: "Durchf\xFChrung von Penetrationstests im TGM" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a30.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a30 + ref_id: INF.13.A30.1 + description: "Um Systeme des TGM und Systeme, die durch das TGM verwaltet werden,\ + \ entsprechend abzusichern, SOLLTEN bedarfsorientiert Penetrationstests durchgef\xFC\ + hrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a30.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a30 + ref_id: INF.13.A30.2 + description: "Mindestens SOLLTEN vor der Inbetriebnahme und bei gro\xDFen System\xE4\ + nderungen in einer Testumgebung Penetrationstests durchgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a30.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.13.a30 + ref_id: INF.13.A30.3 + description: Werden im TGM Funktionen der KI genutzt, SOLLTEN diese in die Penetrationstests + einbezogen werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf + ref_id: INF.14 + name: "Geb\xE4udeautomation" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 + ref_id: INF.14.A1 + name: "Planung der Geb\xE4udeautomation" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1 + ref_id: INF.14.A1.1 + description: "F\xFCr die von der Geb\xE4udeautomation (GA) gesteuerten Gewerke\ + \ MUSS festgelegt werden, wie die GA sicher gestaltet werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1 + ref_id: INF.14.A1.2 + description: "Die GA MUSS bereits bei der Planung von Neubau, Umbau, Erweiterung\ + \ und Sanierung eines Geb\xE4udes ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1 + ref_id: INF.14.A1.3 + description: "Daher MUSS die GA in den Planungs- und Bauprozessen, auch in Verbindung\ + \ mit Building Information Modeling (BIM), f\xFCr alle GA-relevanten Komponenten\ + \ und TGA-Anlagen ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1 + ref_id: INF.14.A1.4 + description: "Im Rahmen der GA-Planung M\xDCSSEN die einzurichtenden GA-Systeme\ + \ spezifiziert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1 + ref_id: INF.14.A1.5 + description: "Es MUSS festgelegt werden, in welchem Umfang TGA-Anlagen \xFC\ + ber das GA-System automatisiert gesteuert werden sollen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1 + ref_id: INF.14.A1.6 + description: "Die GA SOLLTE so geplant werden, dass zur Kopplung und Integration\ + \ der TGA-Anlagen m\xF6glichst wenig unterschiedliche GA-Systeme sowie Kommunikationsprotokolle\ + \ und -schnittstellen genutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1 + ref_id: INF.14.A1.7 + description: Es SOLLTEN sichere und standardisierte Protokolle und Schnittstellen + eingesetzt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1 + ref_id: INF.14.A1.8 + description: "F\xFCr eine Entscheidung hinsichtlich der notwendigen Systeme,\ + \ Protokolle und Schnittstellen SOLLTE die erwartete Funktionalit\xE4t gegen\xFC\ + ber einem gegebenenfalls erh\xF6hten Aufwand f\xFCr Betriebs- und Informationssicherheit\ + \ abgewogen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1 + ref_id: INF.14.A1.9 + description: "Die Planung SOLLTE dokumentiert, regelm\xE4\xDFig und zus\xE4\ + tzlich bei Bedarf aktualisiert und dem Stand der Technik angepasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a1 + ref_id: INF.14.A1.10 + description: "Dar\xFCber hinaus SOLLTE die Planung regelm\xE4\xDFig und zus\xE4\ + tzlich bei Bedarf mit der aktuellen Konfiguration verglichen werden (Soll-Ist-Vergleich)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 + ref_id: INF.14.A2 + name: "Festlegung eines Inbetriebnahme- und Schnittstellenmanagements f\xFC\ + r die GA" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a2 + ref_id: INF.14.A2.1 + description: "Aufgrund der Vielzahl von TGA-Anlagen und Komponenten in Geb\xE4\ + uden, die in GA-Systemen angebunden werden, MUSS der Ablauf zur Inbetriebnahme\ + \ der involvierten TGA-Anlagen und GA-relevanten Komponenten aufeinander abgestimmt\ + \ und \xFCbergreifend festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a2 + ref_id: INF.14.A2.2 + description: "Dieser Ablauf MUSS koordiniert umgesetzt werden, um ein voll funktionsf\xE4\ + higes Geb\xE4ude zu gew\xE4hrleisten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a2 + ref_id: INF.14.A2.3 + description: "Ebenso M\xDCSSEN klare Schnittstellen zwischen den betreibenden\ + \ Organisationen der GA und der GA-relevanten Komponenten sowie den betreibenden\ + \ Organisationen der TGA-Anlagen definiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a2 + ref_id: INF.14.A2.4 + description: "Inbetriebnahme- und Schnittstellenmanagement M\xDCSSEN dokumentiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a2 + ref_id: INF.14.A2.5 + description: "Sowohl regelm\xE4\xDFig als auch zus\xE4tzlich bei Bedarf M\xDC\ + SSEN die Festlegungen gepr\xFCft und gegebenenfalls nachjustiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a2.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a2 + ref_id: INF.14.A2.6 + description: "Insbesondere bei \xC4nderungen innerhalb der GA-Systeme M\xDC\ + SSEN die Festlegungen angepasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 + ref_id: INF.14.A3 + name: Sichere Anbindung von TGA-Anlagen und GA-Systemen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3 + ref_id: INF.14.A3.1 + description: "F\xFCr alle TGA-Anlagen, GA-Systeme und GA-relevanten Komponenten\ + \ MUSS festgelegt werden, ob durch andere TGA-Anlagen, GA-Systeme oder GA-relevante\ + \ Komponenten Aktionen ausgel\xF6st werden d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3 + ref_id: INF.14.A3.2 + description: "Falls eine solche Integration zul\xE4ssig ist, SOLLTE reglementiert\ + \ werden, welche automatisierten Aktionen durch welche Informationen eines\ + \ GA-Systems ausgel\xF6st werden d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3 + ref_id: INF.14.A3.3 + description: Falls eine TGA-Anlage nicht in ein GA-System integriert werden + kann oder darf, diese jedoch an ein GA-System gekoppelt werden soll, MUSS + festgelegt werden, welche Informationen der TGA-Anlage an das GA-System gemeldet + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3 + ref_id: INF.14.A3.4 + description: "Sowohl die Integration von TGA-Anlagen in ein GA-System als auch\ + \ die r\xFCckwirkungsfreie Kopplung von TGA-Anlagen an GA-Systeme M\xDCSSEN\ + \ angemessen abgesichert sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3 + ref_id: INF.14.A3.5 + description: Ebenfalls MUSS die Anbindung von GA-Systemen untereinander angemessen + abgesichert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3 + ref_id: INF.14.A3.6 + description: "Hierzu M\xDCSSEN insbesondere die Ablauf- und Funktionsketten\ + \ innerhalb eines GA-Systems bzw. zwischen GA-Systemen angemessen geplant\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3 + ref_id: INF.14.A3.7 + description: "Hierbei M\xDCSSEN alle \xDCberg\xE4nge zwischen Gewerken und Techniken\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3 + ref_id: INF.14.A3.8 + description: "Diese Ablauf- und Funktionsketten M\xDCSSEN umfassend getestet\ + \ und bei Fehlverhalten nachjustiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3 + ref_id: INF.14.A3.9 + description: "Die Festlegungen M\xDCSSEN vollumf\xE4nglich dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3 + ref_id: INF.14.A3.10 + description: "Sowohl regelm\xE4\xDFig als auch erg\xE4nzend bei Bedarf SOLLTE\ + \ gepr\xFCft werden, ob die Dokumentation noch aktuell ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a3 + ref_id: INF.14.A3.11 + description: "Bei Abweichungen MUSS die Ursache f\xFCr die Abweichungen eruiert\ + \ und behoben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 + ref_id: INF.14.A4 + name: "Ber\xFCcksichtigung von Gefahrenmeldeanlagen in der GA" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a4 + ref_id: INF.14.A4.1 + description: "Gefahrenmeldeanlagen inklusive Sicherheitsanlagen M\xDCSSEN r\xFC\ + ckwirkungsfrei an GA-Systeme gekoppelt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a4 + ref_id: INF.14.A4.2 + description: "Sie D\xDCRFEN NICHT in ein GA-System integriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a4 + ref_id: INF.14.A4.3 + description: "F\xFCr die netztechnische Anbindung M\xDCSSEN physisch getrennte\ + \ Netzkomponenten und physisch getrennte Segmente genutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a4 + ref_id: INF.14.A4.4 + description: "Werden Funknetze zur Kopplung genutzt, M\xDCSSEN solche TGA-Anlagen\ + \ als Prim\xE4rnutzende f\xFCr die verwendeten Frequenzbereiche festgelegt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a4 + ref_id: INF.14.A4.5 + description: "F\xFCr die Kommunikation \xFCber Funknetze SOLLTEN zertifizierte\ + \ Mechanismen genutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 + ref_id: INF.14.A5 + name: Dokumentation der GA + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a5 + ref_id: INF.14.A5.1 + description: "F\xFCr die GA MUSS die Vielzahl unterschiedlicher Komponenten\ + \ und Zug\xE4nge dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a5 + ref_id: INF.14.A5.2 + description: "Die Dokumentation MUSS regelm\xE4\xDFig und bei \xC4nderungen\ + \ innerhalb der GA gepr\xFCft und angepasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a5 + ref_id: INF.14.A5.3 + description: "Insbesondere M\xDCSSEN auch alle deaktivierten physischen Kommunikationsschnittstellen,\ + \ Protokolle und Zug\xE4nge bzw. Zugriffsm\xF6glichkeiten zur GA dokumentiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a5 + ref_id: INF.14.A5.4 + description: "Dar\xFCber hinaus M\xDCSSEN alle Wechselwirkungen und Abh\xE4\ + ngigkeiten von GA-relevanten Komponenten sowie von TGA-Anlagen, die in GA-Systeme\ + \ integriert oder mit GA-Systemen gekoppelt sind, dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a5.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a5 + ref_id: INF.14.A5.5 + description: "Die verf\xFCgbaren und genutzten Sicherheitseigenschaften der\ + \ verwendeten Protokolle SOLLTEN dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a5.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a5 + ref_id: INF.14.A5.6 + description: "Die Dokumentation SOLLTE f\xFCr alle GA-Systeme \xFCbergreifend\ + \ hinsichtlich Inhalten und deren Datenstrukturen abgestimmt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 + ref_id: INF.14.A6 + name: Separierung von Netzen der GA + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a6 + ref_id: INF.14.A6.1 + description: "GA-Netze M\xDCSSEN von B\xFCro-Netzen und sonstigen Netzen der\ + \ Institution mindestens logisch getrennt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a6 + ref_id: INF.14.A6.2 + description: Jegliche Kommunikation zwischen GA-Systemen und sonstigen IT-Systemen + MUSS kontrolliert und reglementiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a6 + ref_id: INF.14.A6.3 + description: "Hierf\xFCr M\xDCSSEN an allen \xDCberg\xE4ngen einer solchen Segmentierung\ + \ entsprechende Komponenten mit Sicherheitsfunktionen, mindestens mit Firewall-Funktion,\ + \ vorgesehen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a6 + ref_id: INF.14.A6.4 + description: "Wird die GA f\xFCr einen Geb\xE4udekomplex oder eine Liegenschaft\ + \ zentral eingerichtet, so MUSS die geb\xE4ude\xFCbergreifende GA-Kommunikation\ + \ \xFCber LAN-, WLAN-, WAN-, Funknetz- oder Internet-Verbindungen auch auf\ + \ Ebene des Netzes separiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 + ref_id: INF.14.A7 + name: "Festlegung einer Sicherheitsrichtlinie f\xFCr die GA" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a7 + ref_id: INF.14.A7.1 + description: "Ausgehend von der allgemeinen Sicherheitsleitlinie der Institution\ + \ und der \xFCbergreifenden Sicherheitsrichtlinie f\xFCr das TGM SOLLTEN die\ + \ Sicherheitsanforderungen an die GA, d. h. f\xFCr alle GA-Systeme, in einer\ + \ GA-Sicherheitsrichtlinie konkretisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a7 + ref_id: INF.14.A7.2 + description: "Diese Richtlinie SOLLTE allen Personen, die an Planung, Beschaffung,\ + \ Implementierung und Betrieb der GA-Systeme beteiligt sind, bekannt und Grundlage\ + \ f\xFCr deren Arbeit sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a7 + ref_id: INF.14.A7.3 + description: "Die Inhalte und die Umsetzung der geforderten Richtlinieninhalte\ + \ SOLLTEN regelm\xE4\xDFig \xFCberpr\xFCft, gegebenenfalls angepasst und die\ + \ Ergebnisse der Pr\xFCfung nachvollziehbar dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a7 + ref_id: INF.14.A7.4 + description: "In der Sicherheitsrichtlinie SOLLTEN auch die Vorgaben an Entwicklung\ + \ und Test f\xFCr den Einsatz von GA-Systemen spezifiziert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 + ref_id: INF.14.A8 + name: "Anforderungsspezifikation f\xFCr GA-Systeme" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a8 + ref_id: INF.14.A8.1 + description: "Ausgehend von der GA-Sicherheitsrichtlinie SOLLTE f\xFCr die GA\ + \ eine \xFCbergreifende und f\xFCr jedes GA-System eine eigene Anforderungsspezifikation\ + \ erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a8 + ref_id: INF.14.A8.2 + description: "Aus den Anforderungen SOLLTEN sich alle wesentlichen Elemente\ + \ f\xFCr Architektur und Design des jeweiligen GA-Systems und der Kopplung\ + \ von GA-Systemen ableiten lassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a8 + ref_id: INF.14.A8.3 + description: "Die Anforderungsspezifikation SOLLTE dokumentiert sowie regelm\xE4\ + \xDFig und zus\xE4tzlich bei Bedarf dem Stand der Technik angepasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a8 + ref_id: INF.14.A8.4 + description: "Dar\xFCber hinaus SOLLTE regelm\xE4\xDFig die Umsetzung der Anforderungen\ + \ gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a8.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a8 + ref_id: INF.14.A8.5 + description: "Es SOLLTEN in der GA ausschlie\xDFlich Komponenten eingesetzt\ + \ werden, die eine Authentisierung mindestens \xFCber einen \xE4nderbaren\ + \ Anmeldenamen und ein \xE4nderbares Passwort bereitstellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 + ref_id: INF.14.A9 + name: Entwicklung eines GA-Konzepts + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a9 + ref_id: INF.14.A9.1 + description: "Ausgehend von der GA-Sicherheitsrichtlinie und den Anforderungsspezifikationen\ + \ SOLLTE f\xFCr die GA ein \xFCbergreifendes GA-Konzept entwickelt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a9 + ref_id: INF.14.A9.2 + description: "Hieraus abgeleitet SOLLTEN f\xFCr alle GA-Systeme detaillierte\ + \ Konzepte entwickelt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a9 + ref_id: INF.14.A9.3 + description: "In den Konzepten SOLLTEN mindestens folgende Punkte angemessen\ + \ ber\xFCcksichtigt werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a9 + ref_id: INF.14.A9.4 + description: "\u2022 alle in das jeweilige GA-System integrierten TGA-Anlagen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a9.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a9 + ref_id: INF.14.A9.5 + description: "\u2022 alle mit dem jeweiligen GA-System gekoppelten TGA-Anlagen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a9.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a9 + ref_id: INF.14.A9.6 + description: "\u2022 alle GA-relevanten Komponenten mit den jeweiligen Kommunikationsverbindungen\ + \ Die Konzepte SOLLTEN alle technischen und organisatorischen Vorgaben beschreiben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a9.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a9 + ref_id: INF.14.A9.7 + description: "Die erstellten Konzepte SOLLTEN regelm\xE4\xDFig gepr\xFCft und\ + \ gegebenenfalls aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 + ref_id: INF.14.A10 + name: "Bildung von unabh\xE4ngigen GA-Bereichen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a10 + ref_id: INF.14.A10.1 + description: "In der GA SOLLTEN GA-Bereiche derart geplant und umgesetzt werden,\ + \ dass Abh\xE4ngigkeiten zwischen den GA-Bereichen minimiert werden und GA-Bereiche\ + \ unabh\xE4ngig gesteuert werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a10 + ref_id: INF.14.A10.2 + description: "Eine St\xF6rung in einem GA-Bereich SOLLTE keine oder nur geringe\ + \ Auswirkungen auf andere GA-Bereiche haben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a10 + ref_id: INF.14.A10.3 + description: "Insbesondere SOLLTEN die Geb\xE4ude innerhalb eines Geb\xE4udekomplexes\ + \ oder einer Liegenschaft separat steuerbar sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a10 + ref_id: INF.14.A10.4 + description: Die eingerichteten GA-Bereiche SOLLTEN auch im GA-Managementsystem + entsprechend sichtbar sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 + ref_id: INF.14.A11 + name: "Absicherung von frei zug\xE4nglichen Ports und Zug\xE4ngen der GA" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a11 + ref_id: INF.14.A11.1 + description: "Der Anschluss von Komponenten, speziell von unautorisierten, unbekannten\ + \ Komponenten und Fremdger\xE4ten, SOLLTE insbesondere an frei zug\xE4nglichen\ + \ Ethernet-Ports, USB-Ports und anderen Schnittstellen der GA kontrolliert\ + \ und eingeschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a11 + ref_id: INF.14.A11.2 + description: Der Anschluss einer unautorisierten oder unbekannten Komponente + SOLLTE in die Ereignisprotokollierung aufgenommen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a11 + ref_id: INF.14.A11.3 + description: Eine direkte IP-basierte Kommunikation von solchen Komponenten + mit Systemen der GA SOLLTE unterbunden werden (siehe INF.14.A13 Netzsegementierung + in der GA). + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a11.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a11 + ref_id: INF.14.A11.4 + description: "F\xFCr frei zug\xE4ngliche LAN- oder WLAN-Zug\xE4nge SOLLTE eine\ + \ Netzzugangskontrolle gem\xE4\xDF IEEE 802.1X oder vergleichbare Sicherheitsmechanismen\ + \ eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a11.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a11 + ref_id: INF.14.A11.5 + description: Hiermit SOLLTEN unzureichend authentisierte und autorisierte Komponenten + in getrennten Netzsegmenten positioniert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a11.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a11 + ref_id: INF.14.A11.6 + description: "Frei zug\xE4ngliche Schnittstellen f\xFCr tempor\xE4re Wartungszwecke,\ + \ wie beispielsweise USB-Ports an GA-Komponenten, SOLLTEN nur bei Bedarf aktiviert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 + ref_id: INF.14.A12 + name: "Nutzung sicherer \xDCbertragungsprotokolle f\xFCr die GA" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a12 + ref_id: INF.14.A12.1 + description: "F\xFCr Konfiguration, Wartung und Steuerung von GA-relevanten\ + \ Komponenten, die auf Ethernet und IP basieren, SOLLTEN sichere Protokolle\ + \ eingesetzt werden, falls nicht \xFCber vertrauensw\xFCrdige Netzsegmente\ + \ kommuniziert wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a12 + ref_id: INF.14.A12.2 + description: "Au\xDFerhalb vertrauensw\xFCrdiger Netzsegmente SOLLTE die Kommunikation\ + \ \xFCber Ethernet und IP zwischen GA-Systemen verschl\xFCsselt erfolgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a12 + ref_id: INF.14.A12.3 + description: "Die Verschl\xFCsselung SOLLTE mit den jeweils aktuellen Verschl\xFC\ + sselungsmechanismen durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 + ref_id: INF.14.A13 + name: Netzsegmentierung in der GA + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a13 + ref_id: INF.14.A13.1 + description: Innerhalb des GA-Netzes SOLLTE eine Netzsegmentierung umgesetzt + werden, die bedarfsgerecht einzelne GA-Systeme, einzelne TGA-Anlagen oder + einzelne Gruppen von TGA-Anlagen innerhalb eines GA-Systems voneinander trennt. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a13 + ref_id: INF.14.A13.2 + description: "F\xFCr die \xDCberg\xE4nge zwischen den Segmenten SOLLTEN entsprechende\ + \ Regeln definiert und zur Umsetzung Komponenten mit Sicherheitsfunktionen,\ + \ mindestens zustandsbehaftete Paketfilter, genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 + ref_id: INF.14.A14 + name: Nutzung eines GA-geeigneten Zugriffsschutzes + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a14 + ref_id: INF.14.A14.1 + description: "F\xFCr die GA SOLLTE ein Identit\xE4ts- und Berechtigungsmanagement\ + \ gem\xE4\xDF Baustein ORP.4 Identit\xE4ts und Berechtigungsmanagement genutzt\ + \ werden, das die Anforderungen der GA angemessen umsetzt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a14 + ref_id: INF.14.A14.2 + description: "Hierf\xFCr SOLLTE bedarfsabh\xE4ngig eine GA-eigene Authentisierungsl\xF6\ + sung oder eine geeignete Replikation einer zentralen Authentisierungsl\xF6\ + sung der Institution realisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a14 + ref_id: INF.14.A14.3 + description: "In die Authentisierungsl\xF6sung SOLLTEN soweit m\xF6glich alle\ + \ GA-relevanten Komponenten eingebunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a14.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a14 + ref_id: INF.14.A14.4 + description: "Betreibende der GA-Systeme, Betreibende der TGA-Anlagen und auch\ + \ Nachfrageorganisationen SOLLTEN im Rollen- und Berechtigungskonzept hinsichtlich\ + \ der GA angemessen ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a14.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a14 + ref_id: INF.14.A14.5 + description: "Dies SOLLTE insbesondere dann sorgf\xE4ltig geplant und abgestimmt\ + \ werden, wenn die GA institutions\xFCbergreifend bereitgestellt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a14.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a14 + ref_id: INF.14.A14.6 + description: "Alle GA-relevanten Komponenten, inklusive der Komponenten der\ + \ Feldebene und Bedienelemente, SOLLTEN geeignete Funktionen zur Absicherung\ + \ von Zugriffen umsetzen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a14.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a14 + ref_id: INF.14.A14.7 + description: "Komponenten, die keinen Zugriffsschutz bieten oder f\xFCr die\ + \ vom herstellenden Unternehmen vorgegebenen Zugangsparameter nicht \xE4nderbar\ + \ sind, SOLLTEN NICHT genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 + ref_id: INF.14.A15 + name: Absicherung von GA-spezifischen Netzen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a15 + ref_id: INF.14.A15.1 + description: "Sind in GA-spezifischen Netzen wie z. B. BACnet Sicherheitsmechanismen\ + \ der Kommunikation verf\xFCgbar, SOLLTEN diese genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a15 + ref_id: INF.14.A15.2 + description: "Mindestens SOLLTEN Mechanismen zur Authentisierung und Verschl\xFC\ + sselung genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a15 + ref_id: INF.14.A15.3 + description: "F\xFCr GA-spezifische Netze, die keine angemessenen Sicherheitsmechanismen\ + \ realisieren k\xF6nnen, SOLLTE erwogen werden, diese auf ein GA-spezifisches\ + \ Netz mit angemessenen Sicherheitsmechanismen umzustellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a15.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a15 + ref_id: INF.14.A15.4 + description: "Grunds\xE4tzlich SOLLTE die Kommunikation mit GA-spezifischen\ + \ Netzen durch Koppelelemente mit Sicherheitsfunktionen kontrolliert und gegebenenfalls\ + \ reglementiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 + ref_id: INF.14.A16 + name: Absicherung von drahtloser Kommunikation in GA-Netzen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a16 + ref_id: INF.14.A16.1 + description: In GA-Netzen, die auf einer drahtlosen Kommunikation wie z. B. + EnOcean basieren, SOLLTEN die Sicherheitsmechanismen der jeweiligen Funktechnik + zur Absicherung der Kommunikation genutzt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a16 + ref_id: INF.14.A16.2 + description: "Insbesondere SOLLTEN eine angemessene Authentisierung und eine\ + \ Verschl\xFCsselung auf der Luftschnittstelle umgesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a16 + ref_id: INF.14.A16.3 + description: "Ist dies f\xFCr die entsprechenden Endger\xE4te nicht m\xF6glich,\ + \ SOLLTE f\xFCr diese Endger\xE4te die Kommunikation am \xDCbergang in kabelgebundene\ + \ Netze kontrolliert werden, z. B. durch eine Komponente mit Firewall-Funktion." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a16.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a16 + ref_id: INF.14.A16.4 + description: "Dar\xFCber hinaus SOLLTEN m\xF6gliche St\xF6rungen f\xFCr die\ + \ Ausbreitung der Funkwellen, beispielsweise durch Abschattungen, bei der\ + \ Planung der GA-Netze ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 + ref_id: INF.14.A17 + name: Absicherung von Mobilfunkkommunikation in GA-Netzen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a17 + ref_id: INF.14.A17.1 + description: "Wird im Rahmen der GA Mobilfunk eingesetzt, SOLLTEN f\xFCr solche\ + \ GA-Netze die Sicherheitsmechanismen der jeweiligen Mobilfunknetze genutzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a17 + ref_id: INF.14.A17.2 + description: "Werden \xF6ffentliche Mobilfunknetze wie 5G oder Sigfox in der\ + \ GA verwendet, SOLLTE eine unkontrollierte direkte IP-basierte Kommunikation\ + \ mit GA-relevanten Komponenten unterbunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a17 + ref_id: INF.14.A17.3 + description: "GA-Komponenten SOLLTEN nur dann mit einem dedizierten Anschluss\ + \ an ein \xF6ffentliches Mobilfunknetz ausgestattet werden, falls dieser f\xFC\ + r deren Betrieb essenziell ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a17.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a17 + ref_id: INF.14.A17.4 + description: "Hierf\xFCr SOLLTE gepr\xFCft und festgelegt werden, f\xFCr welche\ + \ GA-Komponenten ein Anschluss an \xF6ffentliche Mobilfunknetze notwendig\ + \ ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a17.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a17 + ref_id: INF.14.A17.5 + description: "Sofern im \xF6ffentlichen Mobilfunknetz keine Trennung der GA-Netze\ + \ m\xF6glich ist, wie z. B. bei 5G mit Slicing, SOLLTE im Kommunikationspfad\ + \ eine Entkopplung der IP-Kommunikation durch ein Application Layer Gateway\ + \ (ALG) stattfinden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a17.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a17 + ref_id: INF.14.A17.6 + description: "Falls Mobilfunktechniken in der GA als Bestandteil der \xF6ffentlichen\ + \ Mobilfunkinfrastruktur eines Mobilfunkunternehmens eingesetzt werden, SOLLTEN\ + \ mit den Mitteln der entsprechenden Mobilfunktechnik ein oder mehrere virtuelle\ + \ Mobilfunknetze realisiert werden, die ausschlie\xDFlich der GA zur Verf\xFC\ + gung stehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a17.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a17 + ref_id: INF.14.A17.7 + description: "Falls in der GA mit Hilfe von Mobilfunktechniken wie LTE und 5G\ + \ autarke private Mobilfunknetze lokal auf dem Campus eingerichtet werden,\ + \ SOLLTE der \xDCbergang zwischen diesen Mobilfunknetzen und den sonstigen\ + \ Netzen durch ein Koppelelement mit Firewall-Funktion abgesichert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a17.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a17 + ref_id: INF.14.A17.8 + description: "Auch f\xFCr private Mobilfunknetze SOLLTE eine Segmentierung in\ + \ mehrere virtuelle Mobilfunknetze umgesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 + ref_id: INF.14.A18 + name: Sichere Anbindung von GA-externen Systemen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a18 + ref_id: INF.14.A18.1 + description: "Die Kommunikation von GA-Systemen mit GA-externen Systemen SOLLTE\ + \ ausschlie\xDFlich \xFCber definierte Schnittstellen und mit definierten\ + \ IT-Systemen m\xF6glich sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a18 + ref_id: INF.14.A18.2 + description: "Die Kommunikation SOLLTE authentisiert und verschl\xFCsselt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a18 + ref_id: INF.14.A18.3 + description: "Die m\xF6glichen Schnittstellen zu GA-externen Systemen SOLLTEN\ + \ auf das notwendige Ma\xDF beschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 + ref_id: INF.14.A19 + name: "Nutzung dedizierter Adressbereiche f\xFCr GA-Netze" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a19 + ref_id: INF.14.A19.1 + description: "F\xFCr die GA SOLLTEN dedizierte Adressbereiche genutzt werden,\ + \ die sich insbesondere von den Adressbereichen der B\xFCro-IT und der OT\ + \ unterscheiden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a19 + ref_id: INF.14.A19.2 + description: "F\xFCr diese Adressbereiche SOLLTE festgelegt werden, aus welchen\ + \ Bereichen statische Adressen vergeben werden und welche GA-relevanten Komponenten\ + \ statische Adressen erhalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a19.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a19 + ref_id: INF.14.A19.3 + description: "Falls an die GA angebundene Netzbereiche wie TGA-Anlagen identische\ + \ Adressbereiche nutzen (Replizieren von Anlagenkonfigurationen), M\xDCSSEN\ + \ diese in getrennten Segmenten positioniert werden, um Adresskonflikte zu\ + \ unterbinden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a19.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a19 + ref_id: INF.14.A19.4 + description: "In diesem Fall MUSS die segment\xFCbergreifende Kommunikation\ + \ durch entsprechende Mechanismen abgesichert werden, beispielsweise durch\ + \ den Einsatz eines ALG oder von Network Address Translation (NAT)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 + ref_id: INF.14.A20 + name: Vermeidung von Broadcast-Kommunikation in GA-Netzen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a20 + ref_id: INF.14.A20.1 + description: "In GA-Netzen SOLLTE die Broadcast-Last auf OSI Layer 2 oder OSI\ + \ Layer 3 f\xFCr unbeteiligte Systeme und Komponenten minimiert werden, um\ + \ eine \xDCberlastung zu vermeiden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a20.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a20 + ref_id: INF.14.A20.2 + description: "Hierzu SOLLTE die Kommunikation auf gruppenspezifische Multicasts\ + \ umgestellt oder in der Planung der Segmentierung entsprechend ber\xFCcksichtigt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 + ref_id: INF.14.A21 + name: "Anzeigen der G\xFCltigkeit von Informationen in GA-Systemen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a21 + ref_id: INF.14.A21.1 + description: "Ein GA-System SOLLTE visualisieren, ob die angezeigten Informationen\ + \ bez\xFCglich Zeit, Ort, Wert, Zustand oder Ereignis auf planm\xE4\xDFig\ + \ erhaltenen Informationen basieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a21.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a21 + ref_id: INF.14.A21.2 + description: "Informationen, die simulierte oder \u201Eeingefrorene\u201C Werte\ + \ anzeigen, SOLLTEN abh\xE4ngig vom Schutzbedarf der TGA-Anlagen erkennbar\ + \ sein oder einen Alarm ausl\xF6sen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 + ref_id: INF.14.A22 + name: Sicherstellung von autark funktionierenden GA-Systemen und TGA-Anlagen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a22 + ref_id: INF.14.A22.1 + description: "Innerhalb eines GA-Systems SOLLTE sichergestellt werden, dass\ + \ TGA-Anlagen gem\xE4\xDF ihrem Schutzbedarf auch unabh\xE4ngig von der Anbindung\ + \ an das GA-System autark funktionieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a22.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a22 + ref_id: INF.14.A22.2 + description: "Insbesondere SOLLTEN GA-Systeme so konfiguriert werden, dass keine\ + \ betriebsverhindernden Abh\xE4ngigkeiten zum TGM, zu anderen GA-Systemen\ + \ oder TGA-Anlagen bestehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a22.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a22 + ref_id: INF.14.A22.3 + description: "Eine TGA-Anlage SOLLTE auch bei Ausfall der Verbindung zur GA\ + \ f\xFCr einen bestimmten Zeitraum gem\xE4\xDF dem jeweiligen Schutzbedarf\ + \ betriebsf\xE4hig bleiben und ihre Funktion wahrnehmen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a23 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 + ref_id: INF.14.A23 + name: "Einsatz von physisch robusten Komponenten f\xFCr die GA" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a23.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a23 + ref_id: INF.14.A23.1 + description: "Abh\xE4ngig von den Einsatzbedingungen der Komponenten in der\ + \ GA SOLLTEN entsprechend physisch robuste Komponenten eingesetzt werden,\ + \ die besonders auch f\xFCr harsche Umgebungsbedingungen vorgesehen bzw. ausgewiesen\ + \ sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a23.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a23 + ref_id: INF.14.A23.2 + description: "Sind angemessen robuste Komponenten nicht verf\xFCgbar, SOLLTEN\ + \ entsprechende Kompensationsma\xDFnahmen ergriffen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a24 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 + ref_id: INF.14.A24 + name: "Zeitsynchronisation f\xFCr die GA" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a24.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a24 + ref_id: INF.14.A24.1 + description: "Alle in einem GA-System angebundenen Komponenten und TGA-Anlagen\ + \ SOLLTEN eine synchrone Uhrzeit nutzen, um ein automatisiertes Messen, Steuern\ + \ und Regeln zu gew\xE4hrleisten (siehe auch Baustein OPS.1.2.6 NTP-Zeitsynchronisation)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a24.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a24 + ref_id: INF.14.A24.2 + description: Auch GA-Systeme, die miteinander verbunden sind, SOLLTEN eine synchrone + Uhrzeit nutzen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a24.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a24 + ref_id: INF.14.A24.3 + description: "Erstreckt sich die GA \xFCber Geb\xE4udekomplexe oder Liegenschaften,\ + \ SOLLTE die Zeitsynchronisation f\xFCr alle Geb\xE4ude gew\xE4hrleistet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a24.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a24 + ref_id: INF.14.A24.4 + description: "Falls innerhalb eines GA-Systems eine Kommunikation mit Echtzeit-Anforderungen\ + \ erforderlich ist, SOLLTE f\xFCr die Zeitsynchronisation PTP oder ein vergleichbarer\ + \ Mechanismus anstelle von NTP genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a25 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 + ref_id: INF.14.A25 + name: Dediziertes Monitoring in der GA + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a25.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a25 + ref_id: INF.14.A25.1 + description: "F\xFCr alle Komponenten, die f\xFCr die GA betriebsrelevant sind,\ + \ SOLLTE ein geeignetes Monitoringkonzept erstellt und umgesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a25.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a25 + ref_id: INF.14.A25.2 + description: "Hierbei SOLLTEN die Verf\xFCgbarkeit sowie bedeutsame Parameter\ + \ der GA-relevanten Komponenten laufend \xFCberwacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a25.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a25 + ref_id: INF.14.A25.3 + description: "Fehlerzust\xE4nde sowie die \xDCberschreitung definierter Grenzwerte\ + \ SOLLTEN automatisch an die betreibende Organisation gemeldet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a25.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a25 + ref_id: INF.14.A25.4 + description: "Es SOLLTEN durch die GA mindestens Alarme ausgel\xF6st werden,\ + \ wenn TGA-Anlagen ausfallen oder wichtige Funktionen zum automatisierten\ + \ Steuern und Regeln nicht verf\xFCgbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a25.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a25 + ref_id: INF.14.A25.5 + description: "Zudem SOLLTE festgelegt werden, f\xFCr welche besonders sicherheitsrelevanten\ + \ Ereignisse und f\xFCr welche weiteren Ereignisse automatische Alarmmeldungen\ + \ generiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a25.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a25 + ref_id: INF.14.A25.6 + description: "Statusmeldungen und Monitoringdaten SOLLTEN NUR \xFCber sichere\ + \ Kommunikationswege \xFCbertragen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a26 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 + ref_id: INF.14.A26 + name: Protokollierung in der GA + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a26.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a26 + ref_id: INF.14.A26.1 + description: "Erg\xE4nzend zum Baustein OPS.1.1.5 Protokollierung SOLLTEN Status\xE4\ + nderungen an GA-relevanten Komponenten und sicherheitsrelevante Ereignisse\ + \ protokolliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a26.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a26 + ref_id: INF.14.A26.2 + description: "Zus\xE4tzlich SOLLTEN alle schreibenden Konfigurationszugriffe\ + \ auf TGA-Anlagen und gegebenenfalls GA-relevante Komponenten sowie alle manuellen\ + \ und automatisierten \xC4nderungen der Zust\xE4nde von diesen protokolliert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a26.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a26 + ref_id: INF.14.A26.3 + description: "Es SOLLTE festgelegt werden, welche Protokollierungsdaten auf\ + \ einer zentralen Protokollierungsinstanz zusammengef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a26.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a26 + ref_id: INF.14.A26.4 + description: "Protokollierungsdaten SOLLTEN NUR \xFCber sichere Kommunikationswege\ + \ \xFCbertragen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a27 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 + ref_id: INF.14.A27 + name: "Ber\xFCcksichtigung von Wechselwirkungen zwischen Komponenten der GA\ + \ in der Notfallplanung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a27.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a27 + ref_id: INF.14.A27.1 + description: "Es SOLLTE initial und in regelm\xE4\xDFigen Abst\xE4nden nachvollziehbar\ + \ analysiert werden, wie sich die GA und die abgeleiteten Planungen und Konzepte\ + \ auf die Notfallplanung auswirken." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a27.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a27 + ref_id: INF.14.A27.2 + description: "Insbesondere SOLLTE festgelegt werden, wie bei einem Ausfall von\ + \ TGA-Anlagen oder GA-relevanten Komponenten durch technischen Defekt oder\ + \ Angriff die Wechselwirkungen auf andere TGA-Anlagen, GA-relevante Systeme\ + \ und TGM minimiert werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a27.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a27 + ref_id: INF.14.A27.3 + description: "Im Rahmen der Notfallplanung SOLLTE auch festgelegt werden, welches\ + \ Wartungspersonal f\xFCr die betroffenen TGA-Anlagen und GA-relevanten Systeme\ + \ zust\xE4ndig ist und \xFCber welche Meldewege dieses erreicht werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a27.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a27 + ref_id: INF.14.A27.4 + description: "Au\xDFerdem SOLLTE festgelegt werden, welche Berechtigungen das\ + \ Wartungspersonal zur Behebung von Notf\xE4llen hat." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a27.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a27 + ref_id: INF.14.A27.5 + description: Es SOLLTE in der Notfallplanung auch spezifiziert werden, wie bei + Ausfall der GA-Systeme ein gegebenenfalls erforderlicher Notbetrieb von TGA-Anlagen + sichergestellt wird. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a27.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a27 + ref_id: INF.14.A27.6 + description: "Dabei SOLLTE f\xFCr alle TGA-Anlagen und GA-Systeme inklusive\ + \ aller GA-relevanten Komponenten eine Wiederanlaufreihenfolge festgelegt\ + \ und in den entsprechenden Wiederanlaufpl\xE4nen dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a28 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 + ref_id: INF.14.A28 + name: Physische Trennung der GA + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a28.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a28 + ref_id: INF.14.A28.1 + description: "Bei erh\xF6htem Schutzbedarf SOLLTEN GA-Netze als physisch getrennte\ + \ Zonen gem\xE4\xDF Baustein NET.1.1 Netzarchitektur und -design realisiert\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a28.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a28 + ref_id: INF.14.A28.2 + description: "Abh\xE4ngig vom Schutzbedarf SOLLTE f\xFCr die Anbindung beispielsweise\ + \ an externe Clouds ein dedizierter, restriktiv reglementierter Internet-Zugang\ + \ bereitgestellt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a28.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a28 + ref_id: INF.14.A28.3 + description: "Ebenfalls SOLLTEN, abh\xE4ngig vom Schutzbedarf der GA-Systeme,\ + \ Anbindungen an nicht vertrauensw\xFCrdige Netze, gegebenenfalls auch Anbindungen\ + \ an institutionseigene B\xFCro- oder OT-Netze, unterbunden werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a29 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 + ref_id: INF.14.A29 + name: Trennung einzelner TGA-Anlagen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a29.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a29 + ref_id: INF.14.A29.1 + description: "Um einzelne TGA-Anlagen mit erh\xF6htem Schutzbedarf innerhalb\ + \ eines GA-Systems abzusichern, SOLLTEN solche TGA-Anlagen in separaten Netzsegmenten\ + \ positioniert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a29.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a29 + ref_id: INF.14.A29.2 + description: Zur Kontrolle der Kommunikation SOLLTEN Firewall-Funktionen unmittelbar + vor dem Anlagennetz positioniert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a30 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14 + ref_id: INF.14.A30 + name: Bereitstellung eines GA-eigenen Zeitservers zur Zeitsynchronisation + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a30.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:inf.14.a30 + ref_id: INF.14.A30.1 + description: "Bei erh\xF6htem Schutzbedarf SOLLTE f\xFCr die GA oder auch f\xFC\ + r einzelne GA-Systeme ein eigener GA-Zeitserver bereitgestellt werden, der\ + \ direkt mit einer Atom- oder Funkuhr (Stratum 0) gekoppelt ist und an den\ + \ gegebenenfalls weitere nachgelagerte GA-Zeitserver angebunden werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms + assessable: false + depth: 1 + ref_id: ISMS + name: Sicherheitsmanagement + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms + ref_id: ISMS.1 + name: Sicherheitsmanagement + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1 + ref_id: ISMS.1.A1 + name: "\xDCbernahme der Gesamtverantwortung f\xFCr Informationssicherheit durch\ + \ die Leitung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a1 + ref_id: ISMS.1.A1.1 + description: "Die Institutionsleitung MUSS die Gesamtverantwortung f\xFCr Informationssicherheit\ + \ in der Institution \xFCbernehmen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a1 + ref_id: ISMS.1.A1.2 + description: "Dies MUSS f\xFCr alle Beteiligten deutlich erkennbar sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a1 + ref_id: ISMS.1.A1.3 + description: Die Institutionsleitung MUSS den Sicherheitsprozess initiieren, + steuern und kontrollieren. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a1 + ref_id: ISMS.1.A1.4 + description: Die Institutionsleitung MUSS Informationssicherheit vorleben. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a1 + ref_id: ISMS.1.A1.5 + description: "Die Institutionsleitung MUSS die Zust\xE4ndigkeiten f\xFCr Informationssicherheit\ + \ festlegen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a1 + ref_id: ISMS.1.A1.6 + description: "Die zust\xE4ndigen Mitarbeitenden M\xDCSSEN mit den erforderlichen\ + \ Kompetenzen und Ressourcen ausgestattet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a1.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a1 + ref_id: ISMS.1.A1.7 + description: "Die Institutionsleitung MUSS sich regelm\xE4\xDFig \xFCber den\ + \ Status der Informationssicherheit informieren lassen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a1.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a1 + ref_id: ISMS.1.A1.8 + description: "Insbesondere MUSS sich die Institutionsleitung \xFCber m\xF6gliche\ + \ Risiken und Konsequenzen aufgrund fehlender Sicherheitsma\xDFnahmen informieren\ + \ lassen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1 + ref_id: ISMS.1.A2 + name: Festlegung der Sicherheitsziele und -strategie + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a2 + ref_id: ISMS.1.A2.1 + description: Die Institutionsleitung MUSS den Sicherheitsprozess initiieren + und etablieren. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a2 + ref_id: ISMS.1.A2.2 + description: "Daf\xFCr MUSS die Institutionsleitung angemessene Sicherheitsziele\ + \ sowie eine Strategie f\xFCr Informationssicherheit festlegen und dokumentieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a2 + ref_id: ISMS.1.A2.3 + description: "Es M\xDCSSEN konzeptionelle Vorgaben erarbeitet und organisatorische\ + \ Rahmenbedingungen geschaffen werden, um den ordnungsgem\xE4\xDFen und sicheren\ + \ Umgang mit Informationen innerhalb aller Gesch\xE4ftsprozesse des Unternehmens\ + \ oder Fachaufgaben der Beh\xF6rde zu erm\xF6glichen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a2 + ref_id: ISMS.1.A2.4 + description: Die Institutionsleitung MUSS die Sicherheitsstrategie und die Sicherheitsziele + tragen und verantworten. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a2 + ref_id: ISMS.1.A2.5 + description: "Die Institutionsleitung MUSS die Sicherheitsziele und die Sicherheitsstrategie\ + \ regelm\xE4\xDFig dahingehend \xFCberpr\xFCfen, ob sie noch aktuell und angemessen\ + \ sind und wirksam umgesetzt werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1 + ref_id: ISMS.1.A3 + name: Erstellung einer Leitlinie zur Informationssicherheit + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a3 + ref_id: ISMS.1.A3.1 + description: "Die Institutionsleitung MUSS eine \xFCbergeordnete Leitlinie zur\ + \ Informationssicherheit verabschieden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a3 + ref_id: ISMS.1.A3.2 + description: "Diese MUSS den Stellenwert der Informationssicherheit, die Sicherheitsziele,\ + \ die wichtigsten Aspekte der Sicherheitsstrategie sowie die Organisationsstruktur\ + \ f\xFCr Informationssicherheit beschreiben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a3 + ref_id: ISMS.1.A3.3 + description: "F\xFCr die Sicherheitsleitlinie MUSS ein klarer Geltungsbereich\ + \ festgelegt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a3 + ref_id: ISMS.1.A3.4 + description: "In der Leitlinie zur Informationssicherheit M\xDCSSEN die Sicherheitsziele\ + \ und der Bezug der Sicherheitsziele zu den Gesch\xE4ftszielen und Aufgaben\ + \ der Institution erl\xE4utert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a3 + ref_id: ISMS.1.A3.5 + description: Die Institutionsleitung MUSS die Leitlinie zur Informationssicherheit + allen Mitarbeitenden und sonstigen Mitgliedern der Institution bekannt geben. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a3.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a3 + ref_id: ISMS.1.A3.6 + description: "Die Leitlinie zur Informationssicherheit SOLLTE regelm\xE4\xDF\ + ig aktualisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1 + ref_id: ISMS.1.A4 + name: Benennung eines oder einer Informationssicherheitsbeauftragten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a4 + ref_id: ISMS.1.A4.1 + description: Die Institutionsleitung MUSS einen oder eine ISB benennen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a4 + ref_id: ISMS.1.A4.2 + description: "Der oder die ISB MUSS die Informationssicherheit in der Institution\ + \ f\xF6rdern und den Sicherheitsprozess mitsteuern und koordinieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a4 + ref_id: ISMS.1.A4.3 + description: Die Institutionsleitung MUSS den oder die ISB mit angemessenen + Ressourcen ausstatten. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a4 + ref_id: ISMS.1.A4.4 + description: "Die Institutionsleitung MUSS dem oder der ISB die M\xF6glichkeit\ + \ einr\xE4umen, bei Bedarf direkt an sie selbst zu berichten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a4 + ref_id: ISMS.1.A4.5 + description: "Der oder die ISB MUSS bei allen gr\xF6\xDFeren Projekten sowie\ + \ bei der Einf\xFChrung neuer Anwendungen und IT-Systeme fr\xFChzeitig beteiligt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1 + ref_id: ISMS.1.A5 + name: Vertragsgestaltung bei Bestellung eines oder einer externen Informationssicherheitsbeauftragten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a5 + ref_id: ISMS.1.A5.1 + description: Die Institutionsleitung MUSS einen externen oder eine externe ISB + bestellen, wenn die Rolle des oder der ISB nicht durch einen internen Mitarbeitenden + besetzt werden kann. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a5 + ref_id: ISMS.1.A5.2 + description: Der Vertrag mit einem oder einer externen ISB MUSS alle Aufgaben + des oder der ISB sowie die damit verbundenen Rechte und Pflichten umfassen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a5 + ref_id: ISMS.1.A5.3 + description: Der Vertrag MUSS eine geeignete Vertraulichkeitsvereinbarung umfassen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a5 + ref_id: ISMS.1.A5.4 + description: "Der Vertrag MUSS eine kontrollierte Beendigung des Vertragsverh\xE4\ + ltnisses, einschlie\xDFlich der \xDCbergabe der Aufgaben an die Auftraggebenden,\ + \ gew\xE4hrleisten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1 + ref_id: ISMS.1.A6 + name: "Aufbau einer geeigneten Organisationsstruktur f\xFCr Informationssicherheit" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a6 + ref_id: ISMS.1.A6.1 + description: "Eine geeignete \xFCbergreifende Organisationsstruktur f\xFCr Informationssicherheit\ + \ MUSS vorhanden sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a6 + ref_id: ISMS.1.A6.2 + description: "Daf\xFCr M\xDCSSEN Rollen definiert sein, die konkrete Aufgaben\ + \ \xFCbernehmen, um die Sicherheitsziele zu erreichen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a6 + ref_id: ISMS.1.A6.3 + description: "Au\xDFerdem M\xDCSSEN qualifizierte Personen benannt werden, denen\ + \ ausreichend Ressourcen zur Verf\xFCgung stehen, um diese Rollen zu \xFC\ + bernehmen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a6 + ref_id: ISMS.1.A6.4 + description: "Die Aufgaben, Rollen, Verantwortungen und Kompetenzen im Sicherheitsmanagement\ + \ M\xDCSSEN nachvollziehbar definiert und zugewiesen sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a6 + ref_id: ISMS.1.A6.5 + description: "F\xFCr alle wichtigen Funktionen der Organisation f\xFCr Informationssicherheit\ + \ MUSS es wirksame Vertretungsregelungen geben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a6.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a6 + ref_id: ISMS.1.A6.6 + description: "Kommunikationswege M\xDCSSEN geplant, beschrieben, eingerichtet\ + \ und bekannt gemacht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a6.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a6 + ref_id: ISMS.1.A6.7 + description: "Es MUSS f\xFCr alle Aufgaben und Rollen festgelegt sein, wer wen\ + \ informiert und wer bei welchen Aktionen in welchem Umfang informiert werden\ + \ muss." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a6.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a6 + ref_id: ISMS.1.A6.8 + description: "Es MUSS regelm\xE4\xDFig gepr\xFCft werden, ob die Organisationsstruktur\ + \ f\xFCr Informationssicherheit noch angemessen ist oder ob sie an neue Rahmenbedingungen\ + \ angepasst werden muss." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1 + ref_id: ISMS.1.A7 + name: "Festlegung von Sicherheitsma\xDFnahmen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a7 + ref_id: ISMS.1.A7.1 + description: "Im Rahmen des Sicherheitsprozesses M\xDCSSEN f\xFCr die gesamte\ + \ Informationsverarbeitung ausf\xFChrliche und angemessene Sicherheitsma\xDF\ + nahmen festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a7 + ref_id: ISMS.1.A7.2 + description: "Alle Sicherheitsma\xDFnahmen SOLLTEN systematisch in Sicherheitskonzepten\ + \ dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a7 + ref_id: ISMS.1.A7.3 + description: "Die Sicherheitsma\xDFnahmen SOLLTEN regelm\xE4\xDFig aktualisiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1 + ref_id: ISMS.1.A8 + name: Integration der Mitarbeitenden in den Sicherheitsprozess + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a8 + ref_id: ISMS.1.A8.1 + description: "Alle Mitarbeitenden M\xDCSSEN in den Sicherheitsprozess integriert\ + \ sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a8 + ref_id: ISMS.1.A8.2 + description: "Hierf\xFCr M\xDCSSEN sie \xFCber Hintergr\xFCnde und die f\xFC\ + r sie relevanten Gef\xE4hrdungen informiert sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a8 + ref_id: ISMS.1.A8.3 + description: "Sie M\xDCSSEN Sicherheitsma\xDFnahmen kennen und umsetzen, die\ + \ ihren Arbeitsplatz betreffen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a8 + ref_id: ISMS.1.A8.4 + description: "Alle Mitarbeitenden M\xDCSSEN in die Lage versetzt werden, Sicherheit\ + \ aktiv mitzugestalten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a8.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a8 + ref_id: ISMS.1.A8.5 + description: "Daher SOLLTEN die Mitarbeitenden fr\xFChzeitig beteiligt werden,\ + \ wenn Sicherheitsma\xDFnahmen zu planen oder organisatorische Regelungen\ + \ zu gestalten sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a8.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a8 + ref_id: ISMS.1.A8.6 + description: "Bei der Einf\xFChrung von Sicherheitsrichtlinien und Sicherheitswerkzeugen\ + \ M\xDCSSEN die Mitarbeitenden ausreichend informiert sein, wie diese anzuwenden\ + \ sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a8.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a8 + ref_id: ISMS.1.A8.7 + description: "Die Mitarbeitenden M\xDCSSEN dar\xFCber aufgekl\xE4rt werden,\ + \ welche Konsequenzen eine Verletzung der Sicherheitsvorgaben haben kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1 + ref_id: ISMS.1.A9 + name: "Integration der Informationssicherheit in organisationsweite Abl\xE4\ + ufe und Prozesse" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a9 + ref_id: ISMS.1.A9.1 + description: "Informationssicherheit MUSS in alle Gesch\xE4ftsprozesse sowie\ + \ Fachaufgaben integriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a9 + ref_id: ISMS.1.A9.2 + description: "Es MUSS dabei gew\xE4hrleistet sein, dass nicht nur bei neuen\ + \ Prozessen und Projekten, sondern auch bei laufenden Aktivit\xE4ten alle\ + \ erforderlichen Sicherheitsaspekte ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a9 + ref_id: ISMS.1.A9.3 + description: Der oder die Informationssicherheitsbeauftragte (ISB) MUSS an sicherheitsrelevanten + Entscheidungen ausreichend beteiligt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a9 + ref_id: ISMS.1.A9.4 + description: "Informationssicherheit SOLLTE au\xDFerdem mit anderen Bereichen\ + \ in der Institution, die sich mit Sicherheit und Risikomanagement besch\xE4\ + ftigen, abgestimmt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1 + ref_id: ISMS.1.A10 + name: Erstellung eines Sicherheitskonzepts + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a10 + ref_id: ISMS.1.A10.1 + description: "F\xFCr den festgelegten Geltungsbereich (Informationsverbund)\ + \ SOLLTE ein angemessenes Sicherheitskonzept als das zentrale Dokument im\ + \ Sicherheitsprozess erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a10 + ref_id: ISMS.1.A10.2 + description: "Es SOLLTE entschieden werden, ob das Sicherheitskonzept aus einem\ + \ oder aus mehreren Teilkonzepten bestehen soll, die sukzessive erstellt werden,\ + \ um zun\xE4chst in ausgew\xE4hlten Bereichen das erforderliche Sicherheitsniveau\ + \ herzustellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a10 + ref_id: ISMS.1.A10.3 + description: "Im Sicherheitskonzept M\xDCSSEN aus den Sicherheitszielen der\ + \ Institution, dem identifizierten Schutzbedarf und der Risikobewertung konkrete\ + \ Sicherheitsma\xDFnahmen passend zum betrachteten Informationsverbund abgeleitet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a10 + ref_id: ISMS.1.A10.4 + description: "Sicherheitsprozess und Sicherheitskonzept M\xDCSSEN die individuell\ + \ geltenden Vorschriften und Regelungen ber\xFCcksichtigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a10.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a10 + ref_id: ISMS.1.A10.5 + description: "Die im Sicherheitskonzept vorgesehenen Ma\xDFnahmen M\xDCSSEN\ + \ zeitnah in die Praxis umgesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a10.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a10 + ref_id: ISMS.1.A10.6 + description: Dies MUSS geplant und die Umsetzung MUSS kontrolliert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1 + ref_id: ISMS.1.A11 + name: Aufrechterhaltung der Informationssicherheit + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a11 + ref_id: ISMS.1.A11.1 + description: "Der Sicherheitsprozess, die Sicherheitskonzepte, die Leitlinie\ + \ zur Informationssicherheit und die Organisationsstruktur f\xFCr Informationssicherheit\ + \ SOLLTEN regelm\xE4\xDFig auf Wirksamkeit und Angemessenheit \xFCberpr\xFC\ + ft und aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a11 + ref_id: ISMS.1.A11.2 + description: "Dazu SOLLTEN regelm\xE4\xDFig Vollst\xE4ndigkeits- bzw. Aktualisierungspr\xFC\ + fungen des Sicherheitskonzeptes durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a11 + ref_id: ISMS.1.A11.3 + description: "Ebenso SOLLTEN regelm\xE4\xDFig Sicherheitsrevisionen durchgef\xFC\ + hrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a11.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a11 + ref_id: ISMS.1.A11.4 + description: "Dazu SOLLTE geregelt sein, welche Bereiche und Sicherheitsma\xDF\ + nahmen wann und von wem zu \xFCberpr\xFCfen sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a11.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a11 + ref_id: ISMS.1.A11.5 + description: "\xDCberpr\xFCfungen des Sicherheitsniveaus SOLLTEN regelm\xE4\xDF\ + ig (mindestens j\xE4hrlich) sowie anlassbezogen durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a11.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a11 + ref_id: ISMS.1.A11.6 + description: "Die Pr\xFCfungen SOLLTEN von qualifizierten und unabh\xE4ngigen\ + \ Personen durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a11.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a11 + ref_id: ISMS.1.A11.7 + description: "Die Ergebnisse der \xDCberpr\xFCfungen SOLLTEN nachvollziehbar\ + \ dokumentiert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a11.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a11 + ref_id: ISMS.1.A11.8 + description: "Darauf aufbauend SOLLTEN M\xE4ngel beseitigt und Korrekturma\xDF\ + nahmen ergriffen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1 + ref_id: ISMS.1.A12 + name: Management-Berichte zur Informationssicherheit + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a12 + ref_id: ISMS.1.A12.1 + description: "Die Institutionsleitung SOLLTE sich regelm\xE4\xDFig \xFCber den\ + \ Stand der Informationssicherheit informieren, insbesondere \xFCber die aktuelle\ + \ Gef\xE4hrdungslage sowie die Wirksamkeit und Effizienz des Sicherheitsprozesses." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a12 + ref_id: ISMS.1.A12.2 + description: "Dazu SOLLTEN Management-Berichte geschrieben werden, welche die\ + \ wesentlichen relevanten Informationen \xFCber den Sicherheitsprozess enthalten,\ + \ insbesondere \xFCber Probleme, Erfolge und Verbesserungsm\xF6glichkeiten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a12 + ref_id: ISMS.1.A12.3 + description: "Die Management-Berichte SOLLTEN klar priorisierte Ma\xDFnahmenvorschl\xE4\ + ge enthalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a12 + ref_id: ISMS.1.A12.4 + description: "Die Ma\xDFnahmenvorschl\xE4ge SOLLTEN mit realistischen Absch\xE4\ + tzungen zum erwarteten Umsetzungsaufwand versehen sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a12.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a12 + ref_id: ISMS.1.A12.5 + description: Die Management-Berichte SOLLTEN revisionssicher archiviert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a12.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a12 + ref_id: ISMS.1.A12.6 + description: "Die Management-Entscheidungen \xFCber erforderliche Aktionen,\ + \ den Umgang mit Restrisiken und mit Ver\xE4nderungen von sicherheitsrelevanten\ + \ Prozessen SOLLTEN dokumentiert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a12.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a12 + ref_id: ISMS.1.A12.7 + description: Die Management-Entscheidungen SOLLTEN revisionssicher archiviert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1 + ref_id: ISMS.1.A13 + name: Dokumentation des Sicherheitsprozesses + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a13 + ref_id: ISMS.1.A13.1 + description: Der Ablauf des Sicherheitsprozesses SOLLTE dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a13 + ref_id: ISMS.1.A13.2 + description: "Wichtige Entscheidungen und die Arbeitsergebnisse der einzelnen\ + \ Phasen wie Sicherheitskonzept, Richtlinien oder Untersuchungsergebnisse\ + \ von Sicherheitsvorf\xE4llen SOLLTEN ausreichend dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a13 + ref_id: ISMS.1.A13.3 + description: "Es SOLLTE eine geregelte Vorgehensweise f\xFCr die Erstellung\ + \ und Archivierung von Dokumentationen im Rahmen des Sicherheitsprozesses\ + \ geben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a13.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a13 + ref_id: ISMS.1.A13.4 + description: "Regelungen SOLLTEN existieren, um die Aktualit\xE4t und Vertraulichkeit\ + \ der Dokumentationen zu wahren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a13.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a13 + ref_id: ISMS.1.A13.5 + description: "Von den vorhandenen Dokumenten SOLLTE die jeweils aktuelle Version\ + \ kurzfristig zug\xE4nglich sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a13.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a13 + ref_id: ISMS.1.A13.6 + description: "Au\xDFerdem SOLLTEN alle Vorg\xE4ngerversionen zentral archiviert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1 + ref_id: ISMS.1.A15 + name: "Wirtschaftlicher Einsatz von Ressourcen f\xFCr Informationssicherheit" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a15 + ref_id: ISMS.1.A15.1 + description: "Die Sicherheitsstrategie SOLLTE wirtschaftliche Aspekte ber\xFC\ + cksichtigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a15 + ref_id: ISMS.1.A15.2 + description: "Werden Sicherheitsma\xDFnahmen festgelegt, SOLLTEN die daf\xFC\ + r erforderlichen Ressourcen beziffert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a15 + ref_id: ISMS.1.A15.3 + description: "Die f\xFCr Informationssicherheit eingeplanten Ressourcen SOLLTEN\ + \ termingerecht bereitgestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a15.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a15 + ref_id: ISMS.1.A15.4 + description: "Bei Arbeitsspitzen oder besonderen Aufgaben SOLLTEN zus\xE4tzliche\ + \ interne Mitarbeitenden eingesetzt oder externe Expertise hinzugezogen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1 + ref_id: ISMS.1.A16 + name: Erstellung von zielgruppengerechten Sicherheitsrichtlinien + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a16 + ref_id: ISMS.1.A16.1 + description: Neben den allgemeinen SOLLTE es auch zielgruppenorientierte Sicherheitsrichtlinien + geben, die jeweils bedarfsgerecht die relevanten Sicherheitsthemen abbilden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1 + ref_id: ISMS.1.A17 + name: "Abschlie\xDFen von Versicherungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a17 + ref_id: ISMS.1.A17.1 + description: "Es SOLLTE gepr\xFCft werden, ob f\xFCr Restrisiken Versicherungen\ + \ abgeschlossen werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:isms.1.a17 + ref_id: ISMS.1.A17.2 + description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die bestehenden\ + \ Versicherungen der aktuellen Lage entsprechen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net + assessable: false + depth: 1 + ref_id: NET + name: Netze und Kommunikation + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net + ref_id: NET.1.1 + name: Netzarchitektur und -design + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A1 + name: "Sicherheitsrichtlinie f\xFCr das Netz" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1 + ref_id: NET.1.1.A1.1 + description: "Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution\ + \ MUSS eine spezifische Sicherheitsrichtlinie f\xFCr das Netz erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1 + ref_id: NET.1.1.A1.2 + description: "Darin M\xDCSSEN nachvollziehbar Anforderungen und Vorgaben beschrieben\ + \ werden, wie Netze sicher konzipiert und aufgebaut werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1 + ref_id: NET.1.1.A1.3 + description: In der Richtlinie MUSS unter anderem festgelegt werden, + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1 + ref_id: NET.1.1.A1.4 + description: "\u2022 in welchen F\xE4llen die Zonen zu segmentieren sind und\ + \ in welchen F\xE4llen Benutzendengruppen bzw. Mandanten und Mandantinnen\ + \ logisch oder sogar physisch zu trennen sind," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1 + ref_id: NET.1.1.A1.5 + description: "\u2022 welche Kommunikationsbeziehungen und welche Netz- und Anwendungsprotokolle\ + \ jeweils zugelassen werden," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1 + ref_id: NET.1.1.A1.6 + description: "\u2022 wie der Datenverkehr f\xFCr Administration und \xDCberwachung\ + \ netztechnisch zu trennen ist," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1 + ref_id: NET.1.1.A1.7 + description: "\u2022 welche institutionsinterne, standort\xFCbergreifende Kommunikation\ + \ (WAN, Funknetze) erlaubt und welche Verschl\xFCsselung im WAN, LAN oder\ + \ auf Funkstrecken erforderlich ist sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1 + ref_id: NET.1.1.A1.8 + description: "\u2022 welche institutions\xFCbergreifende Kommunikation zugelassen\ + \ ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1 + ref_id: NET.1.1.A1.9 + description: "Die Richtlinie MUSS allen im Bereich Netzdesign zust\xE4ndigen\ + \ Mitarbeitenden bekannt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1 + ref_id: NET.1.1.A1.10 + description: "Sie MUSS zudem grundlegend f\xFCr ihre Arbeit sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1 + ref_id: NET.1.1.A1.11 + description: "Wird die Richtlinie ver\xE4ndert oder wird von den Anforderungen\ + \ abgewichen, MUSS dies dokumentiert und mit dem oder der verantwortlichen\ + \ ISB abgestimmt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1 + ref_id: NET.1.1.A1.12 + description: "Es MUSS regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Richtlinie\ + \ noch korrekt umgesetzt ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1.13 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a1 + ref_id: NET.1.1.A1.13 + description: "Die Ergebnisse M\xDCSSEN sinnvoll dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A2 + name: Dokumentation des Netzes + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a2 + ref_id: NET.1.1.A2.1 + description: "Es MUSS eine vollst\xE4ndige Dokumentation des Netzes erstellt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a2 + ref_id: NET.1.1.A2.2 + description: Sie MUSS einen Netzplan beinhalten. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a2 + ref_id: NET.1.1.A2.3 + description: Die Dokumentation MUSS nachhaltig gepflegt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a2 + ref_id: NET.1.1.A2.4 + description: "Die initiale Ist-Aufnahme, einschlie\xDFlich der Netzperformance,\ + \ sowie alle durchgef\xFChrten \xC4nderungen im Netz M\xDCSSEN in der Dokumentation\ + \ enthalten sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a2 + ref_id: NET.1.1.A2.5 + description: Die logische Struktur des Netzes MUSS dokumentiert werden, insbesondere, + wie die Subnetze zugeordnet und wie das Netz zoniert und segmentiert wird. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A3 + name: "Anforderungsspezifikation f\xFCr das Netz" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a3 + ref_id: NET.1.1.A3.1 + description: "Ausgehend von der Sicherheitsrichtlinie f\xFCr das Netz MUSS eine\ + \ Anforderungsspezifikation erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a3 + ref_id: NET.1.1.A3.2 + description: Diese MUSS nachhaltig gepflegt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a3 + ref_id: NET.1.1.A3.3 + description: "Aus den Anforderungen M\xDCSSEN sich alle wesentlichen Elemente\ + \ f\xFCr Netzarchitektur und -design ableiten lassen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A4 + name: Netztrennung in Zonen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a4 + ref_id: NET.1.1.A4.1 + description: "Das Gesamtnetz MUSS mindestens in folgende drei Zonen physisch\ + \ separiert sein: internes Netz, demilitarisierte Zone (DMZ) und Au\xDFenanbindungen\ + \ (inklusive Internetanbindung sowie Anbindung an andere nicht vertrauensw\xFC\ + rdige Netze)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a4 + ref_id: NET.1.1.A4.2 + description: "Die Zonen\xFCberg\xE4nge M\xDCSSEN durch eine Firewall abgesichert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a4 + ref_id: NET.1.1.A4.3 + description: "Diese Kontrolle MUSS dem Prinzip der lokalen Kommunikation folgen,\ + \ sodass von Firewalls ausschlie\xDFlich erlaubte Kommunikation weitergeleitet\ + \ wird (Allowlist)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a4 + ref_id: NET.1.1.A4.4 + description: "Nicht vertrauensw\xFCrdige Netze (z. B. Internet) und vertrauensw\xFC\ + rdige Netze (z. B. Intranet) M\xDCSSEN mindestens durch eine zweistufige Firewall-Struktur,\ + \ bestehend aus zustandsbehafteten Paketfiltern (Firewall), getrennt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a4 + ref_id: NET.1.1.A4.5 + description: Um Internet und externe DMZ netztechnisch zu trennen, MUSS mindestens + ein zustandsbehafteter Paketfilter eingesetzt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a4.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a4 + ref_id: NET.1.1.A4.6 + description: "In der zweistufigen Firewall-Architektur MUSS jeder ein- und ausgehende\ + \ Datenverkehr durch den \xE4u\xDFeren Paketfilter bzw. den internen Paketfilter\ + \ kontrolliert und gefiltert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a4.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a4 + ref_id: NET.1.1.A4.7 + description: Eine P-A-P-Struktur, die aus Paketfilter, Application-Layer-Gateway + bzw. Sicherheits-Proxies und Paketfilter besteht, MUSS immer realisiert werden, + wenn die Sicherheitsrichtlinie oder die Anforderungsspezifikation dies fordern. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A5 + name: Client-Server-Segmentierung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a5 + ref_id: NET.1.1.A5.1 + description: "Clients und Server M\xDCSSEN in unterschiedlichen Netzsegmenten\ + \ platziert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a5 + ref_id: NET.1.1.A5.2 + description: Die Kommunikation zwischen diesen Netzsegmenten MUSS mindestens + durch einen zustandsbehafteten Paketfilter kontrolliert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a5 + ref_id: NET.1.1.A5.3 + description: "Es SOLLTE beachtet werden, dass m\xF6gliche Ausnahmen, die es\ + \ erlauben, Clients und Server in einem gemeinsamen Netzsegment zu positionieren,\ + \ in den entsprechenden anwendungs- und systemspezifischen Bausteinen geregelt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a5 + ref_id: NET.1.1.A5.4 + description: "F\xFCr Gastzug\xE4nge und f\xFCr Netzbereiche, in denen keine\ + \ ausreichende interne Kontrolle \xFCber die Endger\xE4te gegeben ist, M\xDC\ + SSEN dedizierte Netzsegmente eingerichtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A6 + name: "Endger\xE4te-Segmentierung im internen Netz" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a6 + ref_id: NET.1.1.A6.1 + description: "Es D\xDCRFEN NUR Endger\xE4te in einem Netzsegment positioniert\ + \ werden, die einem \xE4hnlichen Sicherheitsniveau entsprechen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A7 + name: "Absicherung von sch\xFCtzenswerten Informationen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a7 + ref_id: NET.1.1.A7.1 + description: "Sch\xFCtzenswerte Informationen M\xDCSSEN \xFCber nach dem derzeitigen\ + \ Stand der Technik sichere Protokolle \xFCbertragen werden, falls nicht \xFC\ + ber vertrauensw\xFCrdige dedizierte Netzsegmente (z. B. innerhalb des Managementnetzes)\ + \ kommuniziert wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a7 + ref_id: NET.1.1.A7.2 + description: "K\xF6nnen solche Protokolle nicht genutzt werden, MUSS nach Stand\ + \ der Technik angemessen verschl\xFCsselt und authentisiert werden (siehe\ + \ NET.3.3 VPN)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A8 + name: Grundlegende Absicherung des Internetzugangs + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a8 + ref_id: NET.1.1.A8.1 + description: "Der Internetverkehr MUSS \xFCber die Firewall-Struktur gef\xFC\ + hrt werden (siehe NET.1.1.A4 Netztrennung in Zonen)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a8 + ref_id: NET.1.1.A8.2 + description: "Die Datenfl\xFCsse M\xDCSSEN durch die Firewall-Struktur auf die\ + \ ben\xF6tigten Protokolle und Kommunikationsbeziehungen eingeschr\xE4nkt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A9 + name: "Grundlegende Absicherung der Kommunikation mit nicht vertrauensw\xFC\ + rdigen Netzen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a9 + ref_id: NET.1.1.A9.1 + description: "F\xFCr jedes Netz MUSS festgelegt werden, inwieweit es als vertrauensw\xFC\ + rdig einzustufen ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a9 + ref_id: NET.1.1.A9.2 + description: "Netze, die nicht vertrauensw\xFCrdig sind, M\xDCSSEN wie das Internet\ + \ behandelt und entsprechend abgesichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A10 + name: "DMZ-Segmentierung f\xFCr Zugriffe aus dem Internet" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a10 + ref_id: NET.1.1.A10.1 + description: "Die Firewall-Strukur MUSS f\xFCr alle Dienste bzw. Anwendungen,\ + \ die aus dem Internet erreichbar sind, um eine sogenannte externe DMZ erg\xE4\ + nzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a10 + ref_id: NET.1.1.A10.2 + description: Es SOLLTE ein Konzept zur DMZ-Segmentierung erstellt werden, das + die Sicherheitsrichtlinie und die Anforderungsspezifikation nachvollziehbar + umsetzt. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a10 + ref_id: NET.1.1.A10.3 + description: "Abh\xE4ngig vom Sicherheitsniveau der IT-Systeme M\xDCSSEN die\ + \ DMZ-Segmente weitergehend unterteilt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a10 + ref_id: NET.1.1.A10.4 + description: "Eine externe DMZ MUSS am \xE4u\xDFeren Paketfilter angeschlossen\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A11 + name: Absicherung eingehender Kommunikation vom Internet in das interne Netz + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a11 + ref_id: NET.1.1.A11.1 + description: "Ein IP-basierter Zugriff auf das interne Netz MUSS \xFCber einen\ + \ sicheren Kommunikationskanal erfolgen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a11 + ref_id: NET.1.1.A11.2 + description: "Der Zugriff MUSS auf vertrauensw\xFCrdige IT-Systeme und Benutzende\ + \ beschr\xE4nkt werden (siehe NET.3.3 VPN)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a11 + ref_id: NET.1.1.A11.3 + description: Derartige VPN-Gateways SOLLTEN in einer externen DMZ platziert + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a11.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a11 + ref_id: NET.1.1.A11.4 + description: "Es SOLLTE beachtet werden, dass hinreichend geh\xE4rtete VPN-Gateways\ + \ direkt aus dem Internet erreichbar sein k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a11.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a11 + ref_id: NET.1.1.A11.5 + description: "Die \xFCber das VPN-Gateway authentisierten Zugriffe ins interne\ + \ Netz M\xDCSSEN mindestens die interne Firewall durchlaufen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a11.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a11 + ref_id: NET.1.1.A11.6 + description: "IT-Systeme D\xDCRFEN NICHT via Internet oder externer DMZ auf\ + \ das interne Netz zugreifen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a11.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a11 + ref_id: NET.1.1.A11.7 + description: Es SOLLTE beachtet werden, dass etwaige Ausnahmen zu dieser Anforderung + in den entsprechenden anwendungs- und systemspezifischen Bausteinen geregelt + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A12 + name: Absicherung ausgehender interner Kommunikation zum Internet + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a12 + ref_id: NET.1.1.A12.1 + description: Ausgehende Kommunikation aus dem internen Netz zum Internet MUSS + an einem Sicherheits-Proxy entkoppelt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a12 + ref_id: NET.1.1.A12.2 + description: "Die Entkoppelung MUSS au\xDFerhalb des internen Netzes erfolgen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a12 + ref_id: NET.1.1.A12.3 + description: Wird eine P-A-P-Struktur eingesetzt, SOLLTE die ausgehende Kommunikation + immer durch die Sicherheits-Proxies der P-A-P-Struktur entkoppelt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A13 + name: Netzplanung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13 + ref_id: NET.1.1.A13.1 + description: "Jede Netzimplementierung MUSS geeignet, vollst\xE4ndig und nachvollziehbar\ + \ geplant werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13 + ref_id: NET.1.1.A13.2 + description: "Dabei M\xDCSSEN die Sicherheitsrichtlinie sowie die Anforderungsspezifikation\ + \ beachtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13 + ref_id: NET.1.1.A13.3 + description: "Dar\xFCber hinaus M\xDCSSEN in der Planung mindestens die folgenden\ + \ Punkte bedarfsgerecht ber\xFCcksichtigt werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13 + ref_id: NET.1.1.A13.4 + description: "\u2022 Anbindung von Internet und, sofern vorhanden, Standortnetz\ + \ und Extranet," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13 + ref_id: NET.1.1.A13.5 + description: "\u2022 Topologie des Gesamtnetzes und der Netzbereiche, d. h.\ + \ Zonen und Netzsegmente," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13 + ref_id: NET.1.1.A13.6 + description: "\u2022 Dimensionierung und Redundanz der Netz- und Sicherheitskomponenten,\ + \ \xDCbertragungsstrecken und Au\xDFenanbindungen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13 + ref_id: NET.1.1.A13.7 + description: "\u2022 zu nutzende Protokolle und deren grunds\xE4tzliche Konfiguration\ + \ und Adressierung, insbesondere IPv4/IPv6-Subnetze von Endger\xE4tegruppen\ + \ sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13 + ref_id: NET.1.1.A13.8 + description: "\u2022 Administration und \xDCberwachung (siehe NET.1.2 Netzmanagement)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a13 + ref_id: NET.1.1.A13.9 + description: "Die Netzplanung MUSS regelm\xE4\xDFig \xFCberpr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A14 + name: Umsetzung der Netzplanung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a14 + ref_id: NET.1.1.A14.1 + description: Das geplante Netz MUSS fachgerecht umgesetzt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a14 + ref_id: NET.1.1.A14.2 + description: "Dies MUSS w\xE4hrend der Abnahme gepr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A15 + name: "Regelm\xE4\xDFiger Soll-Ist-Vergleich" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a15 + ref_id: NET.1.1.A15.1 + description: "Es MUSS regelm\xE4\xDFig gepr\xFCft werden, ob das bestehende\ + \ Netz dem Soll-Zustand entspricht." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a15 + ref_id: NET.1.1.A15.2 + description: "Dabei MUSS mindestens gepr\xFCft werden, inwieweit es die Sicherheitsrichtlinie\ + \ und Anforderungsspezifikation erf\xFCllt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a15 + ref_id: NET.1.1.A15.3 + description: "Es MUSS auch gepr\xFCft werden, inwiefern die umgesetzte Netzstruktur\ + \ dem aktuellen Stand der Netzplanung entspricht." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a15.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a15 + ref_id: NET.1.1.A15.4 + description: "Daf\xFCr M\xDCSSEN zust\xE4ndige Personen sowie Pr\xFCfkriterien\ + \ bzw. Vorgaben festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A16 + name: Spezifikation der Netzarchitektur + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16 + ref_id: NET.1.1.A16.1 + description: "Auf Basis der Sicherheitsrichtlinie und der Anforderungsspezifikation\ + \ SOLLTE eine Architektur f\xFCr die Zonen inklusive internem Netz, DMZ-Bereich\ + \ und Au\xDFenanbindungen entwickelt und nachhaltig gepflegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16 + ref_id: NET.1.1.A16.2 + description: 'Dabei SOLLTEN je nach spezifischer Situation der Institution alle + relevanten Architekturelemente betrachtet werden, mindestens jedoch:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16 + ref_id: NET.1.1.A16.3 + description: "\u2022 Netzarchitektur des internen Netzes mit Festlegungen dazu,\ + \ wie Netzvirtualisierungstechniken, Layer-2- und Layer-3-Kommunikation sowie\ + \ Redundanzverfahren einzusetzen sind," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16 + ref_id: NET.1.1.A16.4 + description: "\u2022 Netzarchitektur f\xFCr Au\xDFenanbindungen, inklusive Firewall-Architekturen,\ + \ sowie DMZ- und Extranet-Design und Vorgaben an die Standortkopplung," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16 + ref_id: NET.1.1.A16.5 + description: "\u2022 Festlegung, an welchen Stellen des Netzes welche Sicherheitskomponenten\ + \ wie Firewalls oder IDS/IPS zu platzieren sind und welche Sicherheitsfunktionen\ + \ diese realisieren m\xFCssen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16 + ref_id: NET.1.1.A16.6 + description: "\u2022 Vorgaben f\xFCr die Netzanbindung der verschiedenen IT-Systeme," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16 + ref_id: NET.1.1.A16.7 + description: "\u2022 Netzarchitektur in Virtualisierungs-Hosts, wobei insbesondere\ + \ Network Virtualization Overlay (NVO) und die Architektur in Vertikal integrierten\ + \ Systemen (ViS) zu ber\xFCcksichtigen sind," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16 + ref_id: NET.1.1.A16.8 + description: "\u2022 Festlegungen der grunds\xE4tzlichen Architektur-Elemente\ + \ f\xFCr eine Private Cloud sowie Absicherung der Anbindungen zu Virtual Private\ + \ Clouds, Hybrid Clouds und Public Clouds sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a16 + ref_id: NET.1.1.A16.9 + description: "\u2022 Architektur zur sicheren Administration und \xDCberwachung\ + \ der IT-Infrastruktur." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A17 + name: Spezifikation des Netzdesigns + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17 + ref_id: NET.1.1.A17.1 + description: "Basierend auf der Netzarchitektur SOLLTE das Netzdesign f\xFC\ + r die Zonen inklusive internem Netz, DMZ-Bereich und Au\xDFenanbindungen entwickelt\ + \ und nachhaltig gepflegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17 + ref_id: NET.1.1.A17.2 + description: "Daf\xFCr SOLLTEN die relevanten Architekturelemente detailliert\ + \ betrachtet werden, mindestens jedoch:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17 + ref_id: NET.1.1.A17.3 + description: "\u2022 zul\xE4ssige Formen von Netzkomponenten inklusive virtualisierter\ + \ Netzkomponenten," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17 + ref_id: NET.1.1.A17.4 + description: "\u2022 Festlegungen dar\xFCber, wie WAN- und Funkverbindungen\ + \ abzusichern sind," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17 + ref_id: NET.1.1.A17.5 + description: "\u2022 Anbindung von Endger\xE4ten an Switching-Komponenten, Verbindungen\ + \ zwischen Netzelementen sowie Verwendung von Kommunikationsprotokollen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17 + ref_id: NET.1.1.A17.6 + description: "\u2022 Redundanzmechanismen f\xFCr alle Netzelemente," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17 + ref_id: NET.1.1.A17.7 + description: "\u2022 Adresskonzept f\xFCr IPv4 und IPv6 sowie zugeh\xF6rige\ + \ Routing- und Switching-Konzepte," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17 + ref_id: NET.1.1.A17.8 + description: "\u2022 virtualisierte Netze in Virtualisierungs-Hosts inklusive\ + \ NVO," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17 + ref_id: NET.1.1.A17.9 + description: "\u2022 Aufbau, Anbindung und Absicherung von Private Clouds sowie\ + \ sichere Anbindung von Virtual Private Clouds, Hybrid Clouds und Public Clouds\ + \ sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a17 + ref_id: NET.1.1.A17.10 + description: "\u2022 Festlegungen zum Netzdesign f\xFCr die sichere Administration\ + \ und \xDCberwachung der IT-Infrastruktur." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A18 + name: "P-A-P-Struktur f\xFCr die Internet-Anbindung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18 + ref_id: NET.1.1.A18.1 + description: "Das Netz der Institution SOLLTE \xFCber eine Firewall mit P-A-P-Struktur\ + \ an das Internet angeschlossen werden (siehe NET.1.1.A4 Netztrennung in Zonen)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18 + ref_id: NET.1.1.A18.2 + description: Zwischen den beiden Firewall-Stufen MUSS ein proxy-basiertes Application-Layer-Gateway + (ALG) realisiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18 + ref_id: NET.1.1.A18.3 + description: "Das ALG MUSS \xFCber ein eigenes Transfernetz (dual-homed) sowohl\ + \ zum \xE4u\xDFeren Paketfilter als auch zum internen Paketfilter angebunden\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18 + ref_id: NET.1.1.A18.4 + description: "Das Transfernetz DARF NICHT mit anderen Aufgaben als denjenigen\ + \ f\xFCr das ALG belegt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18 + ref_id: NET.1.1.A18.5 + description: "Falls kein ALG eingesetzt wird, dann M\xDCSSEN entsprechende Sicherheits-Proxies\ + \ realisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18 + ref_id: NET.1.1.A18.6 + description: "Die Sicherheits-Proxies M\xDCSSEN \xFCber ein eigenes Transfernetz\ + \ (dual-homed) angebunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18 + ref_id: NET.1.1.A18.7 + description: "Das Transfernetz DARF NICHT mit anderen Aufgaben als denjenigen\ + \ f\xFCr die Sicherheits-Proxies belegt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18 + ref_id: NET.1.1.A18.8 + description: "Es MUSS gepr\xFCft werden, ob \xFCber die Sicherheits-Proxies\ + \ gegenseitige Angriffe m\xF6glich sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18 + ref_id: NET.1.1.A18.9 + description: Ist dies der Fall, MUSS das Transfernetz geeignet segmentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18 + ref_id: NET.1.1.A18.10 + description: "Jeglicher Datenverkehr MUSS \xFCber das ALG oder entsprechende\ + \ Sicherheits-Proxies entkoppelt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18 + ref_id: NET.1.1.A18.11 + description: Ein Transfernetz, das beide Firewall-Stufen direkt miteinander + verbindet, DARF NICHT konfiguriert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18 + ref_id: NET.1.1.A18.12 + description: "Die interne Firewall MUSS zudem die Angriffsfl\xE4che des ALGs\ + \ oder der Sicherheits-Proxies gegen\xFCber Innent\xE4tern und Innent\xE4\ + terinnen oder IT-Systemen im internen Netz reduzieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18.13 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a18 + ref_id: NET.1.1.A18.13 + description: "Authentisierte und vertrauensw\xFCrdige Netzzugriffe vom VPN-Gateway\ + \ ins interne Netz SOLLTEN NICHT das ALG oder die Sicherheits-Proxies der\ + \ P-A-P-Struktur durchlaufen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A19 + name: Separierung der Infrastrukturdienste + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a19 + ref_id: NET.1.1.A19.1 + description: "Server, die grundlegende Dienste f\xFCr die IT-Infrastruktur bereitstellen,\ + \ SOLLTEN in einem dedizierten Netzsegment positioniert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a19 + ref_id: NET.1.1.A19.2 + description: Die Kommunikation mit ihnen SOLLTE durch einen zustandsbehafteten + Paketfilter (Firewall) kontrolliert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A20 + name: "Zuweisung dedizierter Subnetze f\xFCr IPv4/IPv6-Endger\xE4tegruppen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a20 + ref_id: NET.1.1.A20.1 + description: "Unterschiedliche IPv4-/IPv6- Endger\xE4te SOLLTEN je nach verwendetem\ + \ Protokoll (IPv4-/IPv6- oder IPv4/IPv6-DualStack) dedizierten Subnetzen zugeordnet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A21 + name: Separierung des Management-Bereichs + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 + ref_id: NET.1.1.A21.1 + description: "Um die Infrastruktur zu managen, SOLLTE durchg\xE4ngig ein Out-of-Band-Management\ + \ genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 + ref_id: NET.1.1.A21.2 + description: "Dabei SOLLTEN alle Endger\xE4te, die f\xFCr das Management der\ + \ IT-Infrastruktur ben\xF6tigt werden, in dedizierten Netzsegmenten positioniert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 + ref_id: NET.1.1.A21.3 + description: "Die Kommunikation mit diesen Endger\xE4ten SOLLTE durch einen\ + \ zustandsbehafteten Paketfilter kontrolliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 + ref_id: NET.1.1.A21.4 + description: "Die Kommunikation von und zu diesen Management-Netzsegmenten SOLLTE\ + \ auf die notwendigen Management-Protokolle mit definierten Kommunikations-Endpunkten\ + \ beschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 + ref_id: NET.1.1.A21.5 + description: Der Management-Bereich SOLLTE mindestens die folgenden Netzsegmente + umfassen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 + ref_id: NET.1.1.A21.6 + description: "Diese SOLLTEN abh\xE4ngig von der Sicherheitsrichtlinie und der\ + \ Anforderungsspezifikation weiter unterteilt werden in" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 + ref_id: NET.1.1.A21.7 + description: "\u2022 Netzsegment(e) f\xFCr IT-Systeme, die f\xFCr die Authentisierung\ + \ und Autorisierung der administrativen Kommunikation zust\xE4ndig sind," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 + ref_id: NET.1.1.A21.8 + description: "\u2022 Netzsegment(e) f\xFCr die Administration der IT-Systeme," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 + ref_id: NET.1.1.A21.9 + description: "\u2022 Netzsegment(e) f\xFCr die \xDCberwachung und das Monitoring," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 + ref_id: NET.1.1.A21.10 + description: "\u2022 Netzsegment(e), die die zentrale Protokollierung inklusive\ + \ Syslog-Server und SIEM-Server enthalten," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 + ref_id: NET.1.1.A21.11 + description: "\u2022 Netzsegment(e) f\xFCr IT-Systeme, die f\xFCr grundlegende\ + \ Dienste des Management-Bereichs ben\xF6tigt werden sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 + ref_id: NET.1.1.A21.12 + description: "\u2022 Netzsegment(e) f\xFCr die Management-Interfaces der zu\ + \ administrierenden IT-Systeme." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.13 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 + ref_id: NET.1.1.A21.13 + description: "Die verschiedenen Management-Interfaces der IT-Systeme M\xDCSSEN\ + \ nach ihrem Einsatzzweck und ihrer Netzplatzierung \xFCber einen zustandsbehafteten\ + \ Paketfilter getrennt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.14 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 + ref_id: NET.1.1.A21.14 + description: "Dabei SOLLTEN die IT-Systeme (Management-Interfaces) zus\xE4tzlich\ + \ bei folgender Zugeh\xF6rigkeit \xFCber dedizierte Firewalls getrennt werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.15 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 + ref_id: NET.1.1.A21.15 + description: "\u2022 IT-Systeme, die aus dem Internet erreichbar sind," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.16 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 + ref_id: NET.1.1.A21.16 + description: "\u2022 IT-Systeme im internen Netz sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.17 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 + ref_id: NET.1.1.A21.17 + description: "\u2022 Sicherheitskomponenten, die sich zwischen den aus dem Internet\ + \ erreichbaren IT-Systemen und dem internen Netz befinden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.18 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 + ref_id: NET.1.1.A21.18 + description: Es MUSS sichergestellt werden, dass die Segmentierung nicht durch + die Management-Kommunikation unterlaufen werden kann. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21.19 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a21 + ref_id: NET.1.1.A21.19 + description: "Eine \xDCberbr\xFCckung von Netzsegmenten MUSS ausgeschlossen\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A22 + name: Spezifikation des Segmentierungskonzepts + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22 + ref_id: NET.1.1.A22.1 + description: "Auf Basis der Spezifikationen von Netzarchitektur und Netzdesign\ + \ SOLLTE ein umfassendes Segmentierungskonzept f\xFCr das interne Netz erstellt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22 + ref_id: NET.1.1.A22.2 + description: Dieses Segmentierungskonzept SOLLTE eventuell vorhandene virtualisierte + Netze in Virtualisierungs-Hosts beinhalten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22 + ref_id: NET.1.1.A22.3 + description: Das Segmentierunskonzept SOLLTE geplant, umgesetzt, betrieben und + nachhaltig gepflegt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22 + ref_id: NET.1.1.A22.4 + description: 'Das Konzept SOLLTE mindestens die folgenden Punkte umfassen, soweit + diese in der Zielumgebung vorgesehen sind:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22 + ref_id: NET.1.1.A22.5 + description: "\u2022 Initial anzulegende Netzsegmente und Vorgaben dazu, wie\ + \ neue Netzsegmente zu schaffen sind und wie Endger\xE4te in den Netzsegmenten\ + \ zu positionieren sind," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22 + ref_id: NET.1.1.A22.6 + description: "\u2022 Festlegung f\xFCr die Segmentierung von Entwicklungs- und\ + \ Testsystemen (Staging)," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22 + ref_id: NET.1.1.A22.7 + description: "\u2022 Netzzugangskontrolle f\xFCr Netzsegmente mit Clients," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22 + ref_id: NET.1.1.A22.8 + description: "\u2022 Anbindung von Netzbereichen, die \xFCber Funktechniken\ + \ oder Standleitung an die Netzsegmente angebunden sind," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22 + ref_id: NET.1.1.A22.9 + description: "\u2022 Anbindung der Virtualisierungs-Hosts und von virtuellen\ + \ Maschinen auf den Hosts an die Netzsegmente," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22 + ref_id: NET.1.1.A22.10 + description: "\u2022 Rechenzentrumsautomatisierung sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22 + ref_id: NET.1.1.A22.11 + description: "\u2022 Festlegungen dazu, wie Endger\xE4te einzubinden sind, die\ + \ mehrere Netzsegmente versorgen, z. B. Load Balancer, und Speicher- sowie\ + \ Datensicherungsl\xF6sungen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22 + ref_id: NET.1.1.A22.12 + description: "Abh\xE4ngig von der Sicherheitsrichtlinie und der Anforderungsspezifikation\ + \ SOLLTE f\xFCr jedes Netzsegment konzipiert werden, wie es netztechnisch\ + \ realisiert werden soll." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22.13 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a22 + ref_id: NET.1.1.A22.13 + description: "Dar\xFCber hinaus SOLLTE festgelegt werden, welche Sicherheitsfunktionen\ + \ die Koppelelemente zwischen den Netzsegmenten bereitstellen m\xFCssen (z.\ + \ B. Firewall als zustandsbehafteter Paketfilter oder IDS/IPS)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a23 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A23 + name: Trennung von Netzsegmenten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a23.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a23 + ref_id: NET.1.1.A23.1 + description: IT-Systeme mit unterschiedlichem Schutzbedarf SOLLTEN in verschiedenen + Netzsegmenten platziert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a23.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a23 + ref_id: NET.1.1.A23.2 + description: "Ist dies nicht m\xF6glich, SOLLTE sich der Schutzbedarf nach dem\ + \ h\xF6chsten vorkommenden Schutzbedarf im Netzsegment richten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a23.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a23 + ref_id: NET.1.1.A23.3 + description: "Dar\xFCber hinaus SOLLTEN die Netzsegmente abh\xE4ngig von ihrer\ + \ Gr\xF6\xDFe und den Anforderungen des Segmentierungskonzepts weiter unterteilt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a23.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a23 + ref_id: NET.1.1.A23.4 + description: "Es MUSS sichergestellt werden, dass keine \xDCberbr\xFCckung von\ + \ Netzsegmenten oder gar Zonen m\xF6glich ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a23.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a23 + ref_id: NET.1.1.A23.5 + description: "Geh\xF6ren die virtuellen LANs (VLANs) an einem Switch unterschiedlichen\ + \ Institutionen an, SOLLTE die Trennung physisch erfolgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a23.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a23 + ref_id: NET.1.1.A23.6 + description: "Alternativ SOLLTEN Daten verschl\xFCsselt werden, um die \xFC\ + bertragenen Informationen vor unbefugtem Zugriff zu sch\xFCtzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a24 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A24 + name: Sichere logische Trennung mittels VLAN + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a24.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a24 + ref_id: NET.1.1.A24.1 + description: Falls VLANs eingesetzt werden, dann DARF dadurch KEINE Verbindung + geschaffen werden zwischen dem internen Netz und einer Zone vor dem ALG oder + den Sicherheits-Proxies. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a24.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a24 + ref_id: NET.1.1.A24.2 + description: "Generell MUSS sichergestellt werden, dass VLANs nicht \xFCberwunden\ + \ werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a25 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A25 + name: Fein- und Umsetzungsplanung von Netzarchitektur und -design + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a25.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a25 + ref_id: NET.1.1.A25.1 + description: "Eine Fein- und Umsetzungsplanung f\xFCr die Netzarchitektur und\ + \ das Netzdesign SOLLTE durchgef\xFChrt, dokumentiert, gepr\xFCft und nachhaltig\ + \ gepflegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a26 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A26 + name: "Spezifikation von Betriebsprozessen f\xFCr das Netz" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a26.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a26 + ref_id: NET.1.1.A26.1 + description: Betriebsprozesse SOLLTEN bedarfsgerecht erzeugt oder angepasst + und dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a26.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a26 + ref_id: NET.1.1.A26.2 + description: "Dabei SOLLTE insbesondere ber\xFCcksichtigt werden, wie sich die\ + \ Zonierung sowie das Segmentierungskonzept auf den IT-Betrieb auswirken." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a27 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A27 + name: Einbindung der Netzarchitektur in die Notfallplanung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a27.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a27 + ref_id: NET.1.1.A27.1 + description: "Es SOLLTE initial und in regelm\xE4\xDFigen Abst\xE4nden nachvollziehbar\ + \ analysiert werden, wie sich die Netzarchitektur und die abgeleiteten Konzepte\ + \ auf die Notfallplanung auswirken." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a28 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A28 + name: "Hochverf\xFCgbare Netz- und Sicherheitskomponenten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a28.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a28 + ref_id: NET.1.1.A28.1 + description: "Zentrale Bereiche des internen Netzes sowie die Sicherheitskomponenten\ + \ SOLLTEN hochverf\xFCgbar ausgelegt sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a28.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a28 + ref_id: NET.1.1.A28.2 + description: "Dazu SOLLTEN die Komponenten redundant ausgelegt und auch intern\ + \ hochverf\xFCgbar realisiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a29 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A29 + name: "Hochverf\xFCgbare Realisierung von Netzanbindungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a29.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a29 + ref_id: NET.1.1.A29.1 + description: "Die Netzanbindungen, wie z. B. Internet-Anbindung und WAN-Verbindungen,\ + \ SOLLTEN vollst\xE4ndig redundant gestaltet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a29.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a29 + ref_id: NET.1.1.A29.2 + description: "Je nach Verf\xFCgbarkeitsanforderung SOLLTEN redundante Anbindungen\ + \ an Dienstleistende bedarfsabh\xE4ngig mit unterschiedlicher Technik und\ + \ Performance bedarfsgerecht umgesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a29.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a29 + ref_id: NET.1.1.A29.3 + description: "Auch SOLLTE Wegeredundanz innerhalb und au\xDFerhalb der eigenen\ + \ Zust\xE4ndigkeit bedarfsgerecht umgesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a29.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a29 + ref_id: NET.1.1.A29.4 + description: "Dabei SOLLTEN m\xF6gliche Single Points of Failures (SPoF) und\ + \ st\xF6rende Umgebungsbedingungen ber\xFCcksichtigt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a30 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A30 + name: Schutz vor Distributed-Denial-of-Service + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a30.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a30 + ref_id: NET.1.1.A30.1 + description: "Um DDoS-Angriffe abzuwehren, SOLLTE per Bandbreitenmanagement\ + \ die verf\xFCgbare Bandbreite gezielt zwischen verschiedenen Kommunikationspartnern\ + \ und -partnerinnen sowie Protokollen aufgeteilt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a30.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a30 + ref_id: NET.1.1.A30.2 + description: "Um DDoS-Angriffe mit sehr hohen Datenraten abwehren zu k\xF6nnen,\ + \ SOLLTEN Mitigation-Dienste \xFCber gr\xF6\xDFere Internet Service Provider\ + \ (ISPs) eingekauft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a30.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a30 + ref_id: NET.1.1.A30.3 + description: "Deren Nutzung SOLLTE in Vertr\xE4gen geregelt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a31 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A31 + name: Physische Trennung von Netzsegmenten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a31.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a31 + ref_id: NET.1.1.A31.1 + description: "Abh\xE4ngig von Sicherheitsrichtlinie und Anforderungsspezifikation\ + \ SOLLTEN Netzsegmente physisch durch separate Switches getrennt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a32 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A32 + name: Physische Trennung von Management-Netzsegmenten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a32.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a32 + ref_id: NET.1.1.A32.1 + description: "Abh\xE4ngig von Sicherheitsrichtlinie und Anforderungsspezifikation\ + \ SOLLTEN Netzsegmente des Management-Bereichs physisch voneinander getrennt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a33 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A33 + name: Mikrosegmentierung des Netzes + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a33.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a33 + ref_id: NET.1.1.A33.1 + description: "Das Netz SOLLTE in kleine Netzsegmente mit sehr \xE4hnlichem Anforderungsprofil\ + \ und selbem Schutzbedarf unterteilt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a33.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a33 + ref_id: NET.1.1.A33.2 + description: "Insbesondere SOLLTE dies f\xFCr die DMZ-Segmente ber\xFCcksichtigt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a34 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A34 + name: Einsatz kryptografischer Verfahren auf Netzebene + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a34.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a34 + ref_id: NET.1.1.A34.1 + description: Die Netzsegmente SOLLTEN im internen Netz, im Extranet und im DMZ-Bereich + mittels kryptografischer Techniken bereits auf Netzebene realisiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a34.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a34 + ref_id: NET.1.1.A34.2 + description: "Daf\xFCr SOLLTEN VPN-Techniken oder IEEE 802.1AE eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a34.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a34 + ref_id: NET.1.1.A34.3 + description: "Wenn innerhalb von internem Netz, Extranet oder DMZ \xFCber Verbindungsstrecken\ + \ kommuniziert wird, die f\xFCr einen erh\xF6hten Schutzbedarf nicht ausreichend\ + \ sicher sind, SOLLTE die Kommunikation angemessen auf Netzebene verschl\xFC\ + sselt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a35 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A35 + name: Einsatz von netzbasiertem DLP + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a35.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a35 + ref_id: NET.1.1.A35.1 + description: Auf Netzebene SOLLTEN Systeme zur Data Lost Prevention (DLP) eingesetzt + werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a36 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1 + ref_id: NET.1.1.A36 + name: Trennung mittels VLAN bei sehr hohem Schutzbedarf + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a36.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.1.a36 + ref_id: NET.1.1.A36.1 + description: Bei sehr hohem Schutzbedarf SOLLTEN KEINE VLANs eingesetzt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net + ref_id: NET.1.2 + name: Netzmanagement + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 + ref_id: NET.1.2.A1 + name: Planung des Netzmanagements + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1 + ref_id: NET.1.2.A1.1 + description: Die Netzmanagement-Infrastruktur MUSS geeignet geplant werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1 + ref_id: NET.1.2.A1.2 + description: "Dabei SOLLTEN alle in der Sicherheitsrichtlinie und Anforderungsspezifikation\ + \ f\xFCr das Netzmanagement genannten Punkte ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1 + ref_id: NET.1.2.A1.3 + description: "Es M\xDCSSEN mindestens folgende Themen ber\xFCcksichtigt werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1 + ref_id: NET.1.2.A1.4 + description: "\u2022 zu trennende Bereiche f\xFCr das Netzmanagement," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1 + ref_id: NET.1.2.A1.5 + description: "\u2022 Zugriffsm\xF6glichkeiten auf die Management-Server," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1 + ref_id: NET.1.2.A1.6 + description: "\u2022 Kommunikation f\xFCr den Managementzugriff," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1 + ref_id: NET.1.2.A1.7 + description: "\u2022 eingesetzte Protokolle, z. B. IPv4 und IPv6," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1 + ref_id: NET.1.2.A1.8 + description: "\u2022 Anforderungen an Management-Werkzeuge," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1 + ref_id: NET.1.2.A1.9 + description: "\u2022 Schnittstellen, um erfasste Ereignis- oder Alarmmeldungen\ + \ weiterzuleiten," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1 + ref_id: NET.1.2.A1.10 + description: "\u2022 Protokollierung, inklusive erforderlicher Schnittstellen\ + \ zu einer zentralen Protokollierungsl\xF6sung," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1 + ref_id: NET.1.2.A1.11 + description: "\u2022 Reporting und Schnittstellen zu \xFCbergreifenden L\xF6\ + sungen sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a1 + ref_id: NET.1.2.A1.12 + description: "\u2022 korrespondierende Anforderungen an die einzubindenden Netzkomponenten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 + ref_id: NET.1.2.A2 + name: "Anforderungsspezifikation f\xFCr das Netzmanagement" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a2 + ref_id: NET.1.2.A2.1 + description: "Ausgehend von NET.1.2.A1 Planung des Netzmanagements M\xDCSSEN\ + \ Anforderungen an die Netzmanagement-Infrastruktur und -Prozesse spezifiziert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a2 + ref_id: NET.1.2.A2.2 + description: "Dabei M\xDCSSEN alle wesentlichen Elemente f\xFCr das Netzmanagement\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a2 + ref_id: NET.1.2.A2.3 + description: "Auch SOLLTE die Richtlinie f\xFCr das Netzmanagement beachtet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 + ref_id: NET.1.2.A6 + name: "Regelm\xE4\xDFige Datensicherung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a6 + ref_id: NET.1.2.A6.1 + description: "Bei der Datensicherung des Netzmanagements M\xDCSSEN mindestens\ + \ die Systemdaten f\xFCr die Einbindung der zu verwaltenden Komponenten bzw.\ + \ Objekte, Ereignismeldungen, Statistikdaten sowie vorgehaltene Daten f\xFC\ + r das Konfigurationsmanagement gesichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 + ref_id: NET.1.2.A7 + name: Grundlegende Protokollierung von Ereignissen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a7 + ref_id: NET.1.2.A7.1 + description: "Mindestens folgende Ereignisse M\xDCSSEN protokolliert werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a7 + ref_id: NET.1.2.A7.2 + description: "\u2022 unerlaubte Zugriffe bzw. Zugriffsversuche," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a7 + ref_id: NET.1.2.A7.3 + description: "\u2022 Leistungs- oder Verf\xFCgbarkeitsschwankungen des Netzes," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a7 + ref_id: NET.1.2.A7.4 + description: "\u2022 Fehler in automatischen Prozessen (z. B. bei der Konfigurationsverteilung)\ + \ sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a7 + ref_id: NET.1.2.A7.5 + description: "\u2022 eingeschr\xE4nkte Erreichbarkeit von Netzkomponenten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 + ref_id: NET.1.2.A8 + name: Zeit-Synchronisation + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a8 + ref_id: NET.1.2.A8.1 + description: "Alle Komponenten des Netzmanagements, inklusive der eingebundenen\ + \ Netzkomponenten, M\xDCSSEN eine synchrone Uhrzeit nutzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a8 + ref_id: NET.1.2.A8.2 + description: Die Uhrzeit SOLLTE an jedem Standort innerhalb des lokalen Netzes + mittels NTP-Service synchronisiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a8 + ref_id: NET.1.2.A8.3 + description: Ist ein separates Managementnetz eingerichtet, SOLLTE eine NTP-Instanz + in diesem Managementnetz positioniert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 + ref_id: NET.1.2.A9 + name: Absicherung der Netzmanagement-Kommunikation und des Zugriffs auf Netz-Management-Werkzeuge + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a9 + ref_id: NET.1.2.A9.1 + description: "Erfolgt die Netzmanagement-Kommunikation \xFCber die produktive\ + \ Infrastruktur, M\xDCSSEN daf\xFCr sichere Protokolle verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a9 + ref_id: NET.1.2.A9.2 + description: "Ist dies nicht m\xF6glich, MUSS ein eigens daf\xFCr vorgesehenes\ + \ Administrationsnetz (Out-of-Band-Management) verwendet werden (siehe NET.1.1\ + \ Netzarchitektur und -design)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a9 + ref_id: NET.1.2.A9.3 + description: "Falls von einem Netz au\xDFerhalb der Managementnetze auf Netzmanagement-Werkzeuge\ + \ zugegriffen wird, M\xDCSSEN als sicher geltende Authentisierungs- und Verschl\xFC\ + sselungsmethoden realisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 + ref_id: NET.1.2.A10 + name: "Beschr\xE4nkung der SNMP-Kommunikation" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a10 + ref_id: NET.1.2.A10.1 + description: "Grunds\xE4tzlich D\xDCRFEN im Netzmanagement KEINE unsicheren\ + \ Versionen des Simple Network Management Protocol (SNMP) eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a10 + ref_id: NET.1.2.A10.2 + description: "Werden dennoch unsichere Protokolle verwendet und nicht \xFCber\ + \ andere sichere Netzprotokolle (z. B. VPN oder TLS) abgesichert, MUSS ein\ + \ separates Managementnetz genutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a10 + ref_id: NET.1.2.A10.3 + description: "Grunds\xE4tzlich SOLLTE \xFCber SNMP nur mit den minimal erforderlichen\ + \ Zugriffsrechten zugegriffen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a10 + ref_id: NET.1.2.A10.4 + description: "Die Zugangsberechtigung SOLLTE auf dedizierte Management-Server\ + \ eingeschr\xE4nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 + ref_id: NET.1.2.A11 + name: "Festlegung einer Sicherheitsrichtlinie f\xFCr das Netzmanagement" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11 + ref_id: NET.1.2.A11.1 + description: "F\xFCr das Netzmanagement SOLLTE eine Sicherheitsrichtlinie erstellt\ + \ und nachhaltig gepflegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11 + ref_id: NET.1.2.A11.2 + description: Die Sicherheitsrichtlinie SOLLTE allen Personen, die am Netzmanagement + beteiligt sind, bekannt sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11 + ref_id: NET.1.2.A11.3 + description: "Die Sicherheitsrichtlinie SOLLTE zudem grundlegend f\xFCr ihre\ + \ Arbeit sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11 + ref_id: NET.1.2.A11.4 + description: "Es SOLLTE regelm\xE4\xDFig und nachvollziehbar \xFCberpr\xFCft\ + \ werden, dass die in der Sicherheitsrichtlinie geforderten Inhalte umgesetzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11 + ref_id: NET.1.2.A11.5 + description: Die Ergebnisse SOLLTEN sinnvoll dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11 + ref_id: NET.1.2.A11.6 + description: "Die Sicherheitsrichtlinie SOLLTE festlegen, welche Bereiche des\ + \ Netzmanagements \xFCber zentrale Management-Werkzeuge und -Dienste realisiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11 + ref_id: NET.1.2.A11.7 + description: Auch SOLLTE sie definieren, inwieweit Aufgaben im Netzmanagement + der Institution automatisiert realisiert werden sollen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11 + ref_id: NET.1.2.A11.8 + description: "Dar\xFCber hinaus SOLLTEN Rahmenbedingungen und Vorgaben f\xFC\ + r die Netztrennung, die Zugriffskontrolle, die Protokollierung sowie f\xFC\ + r den Schutz der Kommunikation spezifiziert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a11 + ref_id: NET.1.2.A11.9 + description: "Auch f\xFCr das eingesetzte Netzmanagement-Werkzeug und f\xFC\ + r die operativen Grundregeln des Netzmanagements SOLLTEN Rahmenbedingungen\ + \ und Vorgaben spezifiziert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 + ref_id: NET.1.2.A12 + name: Ist-Aufnahme und Dokumentation des Netzmanagements + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a12 + ref_id: NET.1.2.A12.1 + description: Es SOLLTE eine Dokumentation erstellt werden, die beschreibt, wie + die Management-Infrastruktur des Netzes aufgebaut ist. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a12 + ref_id: NET.1.2.A12.2 + description: "Darin SOLLTEN die initiale Ist-Aufnahme sowie alle durchgef\xFC\ + hrten \xC4nderungen im Netzmanagement enthalten sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a12 + ref_id: NET.1.2.A12.3 + description: Insbesondere SOLLTE dokumentiert werden, welche Netzkomponenten + mit welchen Management-Werkzeugen verwaltet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a12 + ref_id: NET.1.2.A12.4 + description: "Au\xDFerdem SOLLTEN alle f\xFCr das Netzmanagement benutzten IT-Arbeitspl\xE4\ + tze und -Endger\xE4te sowie alle Informationsbest\xE4nde, Management-Daten\ + \ und Informationen \xFCber den Betrieb des Netzmanagements erfasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a12.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a12 + ref_id: NET.1.2.A12.5 + description: "Letztlich SOLLTEN s\xE4mtliche Schnittstellen zu Anwendungen und\ + \ Diensten au\xDFerhalb des Netzmanagements dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a12.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a12 + ref_id: NET.1.2.A12.6 + description: Der so dokumentierte Ist-Zustand der Management-Infrastruktur SOLLTE + mit der Dokumentation der Netz-Infrastruktur abgeglichen werden (siehe Baustein + NET.1.1 Netz-Architektur- und Design). + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a12.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a12 + ref_id: NET.1.2.A12.7 + description: "Die Dokumentation SOLLTE vollst\xE4ndig und immer aktuell sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 + ref_id: NET.1.2.A13 + name: Erstellung eines Netzmanagement-Konzepts + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13 + ref_id: NET.1.2.A13.1 + description: "Ausgehend von der Sicherheitsrichtlinie f\xFCr das Netzmanagement\ + \ SOLLTE ein Netzmanagement-Konzept erstellt und nachhaltig gepflegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13 + ref_id: NET.1.2.A13.2 + description: "Dabei SOLLTEN mindestens folgende Aspekte bedarfsgerecht ber\xFC\ + cksichtigt werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13 + ref_id: NET.1.2.A13.3 + description: "\u2022 Methoden, Techniken und Werkzeuge f\xFCr das Netzmanagement," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13 + ref_id: NET.1.2.A13.4 + description: "\u2022 Absicherung des Zugangs und der Kommunikation," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13 + ref_id: NET.1.2.A13.5 + description: "\u2022 Netztrennung, insbesondere Zuordnung von Netzmanagement-Komponenten\ + \ zu Zonen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13 + ref_id: NET.1.2.A13.6 + description: "\u2022 Umfang des Monitorings und der Alarmierung je Netzkomponente," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13 + ref_id: NET.1.2.A13.7 + description: "\u2022 Protokollierung," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13 + ref_id: NET.1.2.A13.8 + description: "\u2022 Automatisierung, insbesondere zentrale Verteilung von Konfigurationsdateien\ + \ auf Switches," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13 + ref_id: NET.1.2.A13.9 + description: "\u2022 Meldeketten bei St\xF6rungen und Sicherheitsvorf\xE4llen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13 + ref_id: NET.1.2.A13.10 + description: "\u2022 Bereitstellung von Netzmanagement-Informationen f\xFCr\ + \ andere Betriebsbereiche sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a13 + ref_id: NET.1.2.A13.11 + description: "\u2022 Einbindung des Netzmanagements in die Notfallplanung." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 + ref_id: NET.1.2.A14 + name: Fein- und Umsetzungsplanung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a14 + ref_id: NET.1.2.A14.1 + description: "Es SOLLTE eine Fein- und Umsetzungsplanung f\xFCr die Netzmanagement-Infrastruktur\ + \ erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a14 + ref_id: NET.1.2.A14.2 + description: "Dabei SOLLTEN alle in der Sicherheitsrichtlinie und im Netzmanagement-Konzept\ + \ adressierten Punkte ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 + ref_id: NET.1.2.A15 + name: "Konzept f\xFCr den sicheren Betrieb der Netzmanagement-Infrastruktur" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a15 + ref_id: NET.1.2.A15.1 + description: "Ausgehend von der Sicherheitsrichtlinie f\xFCr das Netzmanagement\ + \ und dem Netzmanagement-Konzept SOLLTE ein Konzept f\xFCr den sicheren Betrieb\ + \ der Netzmanagement-Infrastruktur erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a15 + ref_id: NET.1.2.A15.2 + description: "Darin SOLLTE der Anwendungs- und Systembetrieb f\xFCr die Netzmanagement-Werkzeuge\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a15 + ref_id: NET.1.2.A15.3 + description: "Auch SOLLTE gepr\xFCft werden, wie sich die Leistungen anderer\ + \ operativer Einheiten einbinden und steuern lassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 + ref_id: NET.1.2.A16 + name: "Einrichtung und Konfiguration von Netzmanagement-L\xF6sungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a16 + ref_id: NET.1.2.A16.1 + description: "L\xF6sungen f\xFCr das Netzmanagement SOLLTEN anhand der Sicherheitsrichtlinie,\ + \ der spezifizierten Anforderungen (siehe NET.1.2.A2 Anforderungsspezifikation\ + \ f\xFCr das Netzmanagement) und der Fein- und Umsetzungsplanung aufgebaut,\ + \ sicher konfiguriert und in Betrieb genommen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a16 + ref_id: NET.1.2.A16.2 + description: "Danach SOLLTEN die spezifischen Prozesse f\xFCr das Netzmanagement\ + \ eingerichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 + ref_id: NET.1.2.A17 + name: "Regelm\xE4\xDFiger Soll-Ist-Vergleich im Rahmen des Netzmanagements" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a17 + ref_id: NET.1.2.A17.1 + description: "Es SOLLTE regelm\xE4\xDFig und nachvollziehbar gepr\xFCft werden,\ + \ inwieweit die Netzmanagement-L\xF6sung dem Sollzustand entspricht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a17 + ref_id: NET.1.2.A17.2 + description: "Dabei SOLLTE gepr\xFCft werden, ob die bestehende L\xF6sung noch\ + \ die Sicherheitsrichtlinie und Anforderungsspezifikation erf\xFCllt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a17 + ref_id: NET.1.2.A17.3 + description: "Auch SOLLTE gepr\xFCft werden, inwieweit die umgesetzte Management-Struktur\ + \ und die genutzten Prozesse dem aktuellen Stand entsprechen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a17.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a17 + ref_id: NET.1.2.A17.4 + description: Weiter SOLLTE verglichen werden, ob die Management-Infrastruktur + aktuell ist. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 + ref_id: NET.1.2.A18 + name: "Schulungen f\xFCr Management-L\xF6sungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a18 + ref_id: NET.1.2.A18.1 + description: "F\xFCr die eingesetzten Netzmanagement-L\xF6sungen SOLLTEN Schulungs-\ + \ und Trainingsma\xDFnahmen konzipiert und durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a18 + ref_id: NET.1.2.A18.2 + description: "Die Ma\xDFnahmen SOLLTEN die individuellen Gegebenheiten im Configuration-,\ + \ Availability- und Capacity-Management sowie typische Situationen im Fehlermanagement\ + \ abdecken." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a18 + ref_id: NET.1.2.A18.3 + description: "Die Schulungen und Trainings SOLLTEN regelm\xE4\xDFig wiederholt\ + \ werden, mindestens jedoch, wenn sich gr\xF6\xDFere technische oder organisatorische\ + \ \xC4nderungen innerhalb der Netzmanagement-L\xF6sung ergeben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 + ref_id: NET.1.2.A21 + name: Entkopplung der Netzmanagement-Kommunikation + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a21 + ref_id: NET.1.2.A21.1 + description: "Direkte Management-Zugriffe von Administrierenden von einem IT-System\ + \ au\xDFerhalb der Managementnetze auf eine Netzkomponente SOLLTEN vermieden\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a21.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a21 + ref_id: NET.1.2.A21.2 + description: Ist ein solcher Zugriff ohne zentrales Management-Werkzeug notwendig, + SOLLTE die Kommunikation entkoppelt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a21.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a21 + ref_id: NET.1.2.A21.3 + description: Solche Sprungserver SOLLTEN im Management-Netz integriert und in + einem getrennten Zugangssegment positioniert sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 + ref_id: NET.1.2.A22 + name: "Beschr\xE4nkung der Management-Funktionen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a22 + ref_id: NET.1.2.A22.1 + description: "Es SOLLTEN NUR die ben\xF6tigten Management-Funktionen aktiviert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a24 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 + ref_id: NET.1.2.A24 + name: "Zentrale Konfigurationsverwaltung f\xFCr Netzkomponenten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a24.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a24 + ref_id: NET.1.2.A24.1 + description: "Software bzw. Firmware und Konfigurationsdaten f\xFCr Netzkomponenten\ + \ SOLLTEN automatisch \xFCber das Netz verteilt und ohne Betriebsunterbrechung\ + \ installiert und aktiviert werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a24.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a24 + ref_id: NET.1.2.A24.2 + description: "Die daf\xFCr ben\xF6tigten Informationen SOLLTEN an zentraler\ + \ Stelle sicher verf\xFCgbar sein sowie in die Versionsverwaltung und die\ + \ Datensicherung eingebunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a24.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a24 + ref_id: NET.1.2.A24.3 + description: "Die zentrale Konfigurationsverwaltung SOLLTE nachhaltig gepflegt\ + \ und regelm\xE4\xDFig auditiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a25 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 + ref_id: NET.1.2.A25 + name: "Status\xFCberwachung der Netzkomponenten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a25.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a25 + ref_id: NET.1.2.A25.1 + description: "Die grundlegenden Performance- und Verf\xFCgbarkeitsparameter\ + \ der zentralen Netzkomponenten SOLLTEN kontinuierlich \xFCberwacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a25.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a25 + ref_id: NET.1.2.A25.2 + description: "Daf\xFCr SOLLTEN vorab die jeweiligen Schwellwerte ermittelt werden\ + \ (Baselining)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 + ref_id: NET.1.2.A26 + name: Alarming und Logging + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26 + ref_id: NET.1.2.A26.1 + description: "Wichtige Ereignisse auf Netzkomponenten und auf den Netzmanagement-Werkzeugen\ + \ SOLLTEN automatisch an ein zentrales Management-System \xFCbermittelt und\ + \ dort protokolliert werden (siehe OPS.1.1.5 Protokollierung)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26 + ref_id: NET.1.2.A26.2 + description: "Das zust\xE4ndige Personal SOLLTE zus\xE4tzlich automatisch benachrichtigt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26 + ref_id: NET.1.2.A26.3 + description: 'Das Alarming und Logging SOLLTE mindestens folgende Punkte beinhalten:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26 + ref_id: NET.1.2.A26.4 + description: "\u2022 Ausfall bzw. Nichterreichbarkeit von Netz- oder Management-Komponenten," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26 + ref_id: NET.1.2.A26.5 + description: "\u2022 Hardware-Fehlfunktionen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26 + ref_id: NET.1.2.A26.6 + description: "\u2022 fehlerhafte Anmeldeversuche sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26 + ref_id: NET.1.2.A26.7 + description: "\u2022 kritische Zust\xE4nde oder \xDCberlastung von IT-Systemen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26 + ref_id: NET.1.2.A26.8 + description: "Ereignismeldungen bzw. Logging-Daten SOLLTEN einem zentralen Management-System\ + \ entweder kontinuierlich oder geb\xFCndelt \xFCbermittelt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a26 + ref_id: NET.1.2.A26.9 + description: "Alarmmeldungen SOLLTEN sofort wenn sie auftreten \xFCbermittelt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a27 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 + ref_id: NET.1.2.A27 + name: Einbindung des Netzmanagements in die Notfallplanung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a27.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a27 + ref_id: NET.1.2.A27.1 + description: "Die Netzmanagement-L\xF6sungen SOLLTEN in die Notfallplanung der\ + \ Institution eingebunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a27.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a27 + ref_id: NET.1.2.A27.2 + description: "Dazu SOLLTEN die Netzmanagement-Werkzeuge und die Konfigurationen\ + \ der Netzkomponenten gesichert und in die Wiederanlaufpl\xE4ne integriert\ + \ sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a28 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 + ref_id: NET.1.2.A28 + name: "Platzierung der Management-Clients f\xFCr das In-Band-Management" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a28.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a28 + ref_id: NET.1.2.A28.1 + description: "F\xFCr die Administration sowohl der internen als auch der externen\ + \ IT-Systeme SOLLTEN dedizierte Management-Clients eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a28.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a28 + ref_id: NET.1.2.A28.2 + description: "Daf\xFCr SOLLTE mindestens ein Management-Client am \xE4u\xDF\ + eren Netzbereich (f\xFCr die Administration am Internet anliegender IT-Systeme)\ + \ und ein weiterer im internen Bereich (f\xFCr die Administration interner\ + \ IT-Systeme) platziert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a29 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 + ref_id: NET.1.2.A29 + name: Einsatz von VLANs im Management-Netz + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a29.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a29 + ref_id: NET.1.2.A29.1 + description: "Werden Managementnetze durch VLANs getrennt, SOLLTE darauf geachtet\ + \ werden, dass der \xE4u\xDFere Paketfilter sowie die daran angeschlossenen\ + \ Ger\xE4te in einem eigenen Teilnetz stehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a29.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a29 + ref_id: NET.1.2.A29.2 + description: Zudem SOLLTE sichergestellt werden, dass das ALG dabei nicht umgangen + wird. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a30 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 + ref_id: NET.1.2.A30 + name: "Hochverf\xFCgbare Realisierung der Management-L\xF6sung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a30.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a30 + ref_id: NET.1.2.A30.1 + description: "Zentrale Management-L\xF6sungen SOLLTEN hochverf\xFCgbar betrieben\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a30.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a30 + ref_id: NET.1.2.A30.2 + description: Dazu SOLLTEN die Server bzw. Werkzeuge inklusive der Netzanbindungen + redundant ausgelegt sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a30.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a30 + ref_id: NET.1.2.A30.3 + description: "Auch die einzelnen Komponenten SOLLTEN hochverf\xFCgbar bereitgestellt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a31 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 + ref_id: NET.1.2.A31 + name: "Grunds\xE4tzliche Nutzung von sicheren Protokollen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a31.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a31 + ref_id: NET.1.2.A31.1 + description: "F\xFCr das Netzmanagement SOLLTEN ausschlie\xDFlich sichere Protokolle\ + \ benutzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a31.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a31 + ref_id: NET.1.2.A31.2 + description: Es SOLLTEN alle Sicherheitsfunktionen dieser Protokolle verwendet + werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a32 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 + ref_id: NET.1.2.A32 + name: Physische Trennung des Managementnetzes + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a32.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a32 + ref_id: NET.1.2.A32.1 + description: Das Managementnetz SOLLTE physisch von den produktiven Netzen getrennt + werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a33 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 + ref_id: NET.1.2.A33 + name: Physische Trennung von Management-Segmenten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a33.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a33 + ref_id: NET.1.2.A33.1 + description: "Es SOLLTEN physisch getrennte Zonen mindestens f\xFCr das Management\ + \ von LAN-Komponenten, Sicherheitskomponenten und Komponenten zur Au\xDFenanbindung\ + \ eingerichtet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a35 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 + ref_id: NET.1.2.A35 + name: Festlegungen zur Beweissicherung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a35.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a35 + ref_id: NET.1.2.A35.1 + description: "Die erhobenen Protokollierungsdaten SOLLTEN f\xFCr forensische\ + \ Analysen gesetzeskonform und revisionssicher archiviert werden (siehe auch\ + \ DER.2.2 Vorsorge f\xFCr die IT-Forensik)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a36 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 + ref_id: NET.1.2.A36 + name: "Einbindung der Protokollierung des Netzmanagements in eine SIEM-L\xF6\ + sung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a36.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a36 + ref_id: NET.1.2.A36.1 + description: "Die Protokollierung des Netzmanagements SOLLTE in eine Security-Information-and-Event-Management\ + \ (SIEM)-L\xF6sung eingebunden werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a36.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a36 + ref_id: NET.1.2.A36.2 + description: "Dazu SOLLTEN die Anforderungskataloge zur Auswahl von Netzmanagement-L\xF6\ + sungen hinsichtlich der erforderlichen Unterst\xFCtzung von Schnittstellen\ + \ und \xDCbergabeformaten angepasst werden (siehe NET.1.2.A2 Anforderungsspezifikation\ + \ f\xFCr das Netzmanagement)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a37 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 + ref_id: NET.1.2.A37 + name: "Standort\xFCbergreifende Zeitsynchronisation" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a37.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a37 + ref_id: NET.1.2.A37.1 + description: "Die Zeitsynchronisation SOLLTE \xFCber alle Standorte der Institution\ + \ sichergestellt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a37.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a37 + ref_id: NET.1.2.A37.2 + description: "Daf\xFCr SOLLTE eine gemeinsame Referenzzeit benutzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a38 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2 + ref_id: NET.1.2.A38 + name: "Festlegung von Notbetriebsformen f\xFCr die Netzmanagement-Infrastruktur" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a38.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.1.2.a38 + ref_id: NET.1.2.A38.1 + description: "F\xFCr eine schnelle Wiederherstellung der Sollzust\xE4nde von\ + \ Software bzw. Firmware sowie der Konfiguration der Komponenten in der Netzmanagement-Infrastruktur\ + \ SOLLTEN hinreichend gute Ersatzl\xF6sungen festgelegt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net + ref_id: NET.2.1 + name: WLAN-Betrieb + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 + ref_id: NET.2.1.A1 + name: "Festlegung einer Strategie f\xFCr den Einsatz von WLANs" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a1 + ref_id: NET.2.1.A1.1 + description: "Bevor in einer Institution WLANs eingesetzt werden, MUSS festgelegt\ + \ sein, welche generelle Strategie die Institution im Hinblick auf die Kommunikation\ + \ \xFCber WLANs plant." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a1 + ref_id: NET.2.1.A1.2 + description: "Insbesondere MUSS gekl\xE4rt und festgelegt werden, in welchen\ + \ Organisationseinheiten, f\xFCr welche Anwendungen und zu welchem Zweck WLANs\ + \ eingesetzt und welche Informationen dar\xFCber \xFCbertragen werden d\xFC\ + rfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a1 + ref_id: NET.2.1.A1.3 + description: Ebenso MUSS der Abdeckungsbereich des WLAN festgelegt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a1 + ref_id: NET.2.1.A1.4 + description: "Au\xDFerdem MUSS schon in der Planungsphase festgelegt sein, wer\ + \ f\xFCr die Administration der unterschiedlichen WLAN-Komponenten zust\xE4\ + ndig ist, welche Schnittstellen es zwischen den am Betrieb beteiligten Verantwortlichen\ + \ gibt und wann welche Informationen zwischen den Zust\xE4ndigen ausgetauscht\ + \ werden m\xFCssen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 + ref_id: NET.2.1.A2 + name: Auswahl eines geeigneten WLAN-Standards + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a2 + ref_id: NET.2.1.A2.1 + description: "Im Rahmen der WLAN-Planung MUSS zuerst ermittelt werden, welche\ + \ der von der Institution betriebenen Ger\xE4te (z. B. Mikrowellenger\xE4\ + te, Bluetooth-Ger\xE4te) in das ISM-Band bei 2,4 GHz sowie in das 5 GHz-Band\ + \ abstrahlen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a2 + ref_id: NET.2.1.A2.2 + description: "Au\xDFerdem M\xDCSSEN die vorhandenen Sicherheitsmechanismen der\ + \ einzelnen WLAN-Standards gegeneinander abgewogen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a2 + ref_id: NET.2.1.A2.3 + description: "Generell MUSS sichergestellt sein, dass nur als allgemein sicher\ + \ anerkannte Verfahren zur Authentisierung und Verschl\xFCsselung eingesetzt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a2 + ref_id: NET.2.1.A2.4 + description: "Die Entscheidungsgr\xFCnde M\xDCSSEN dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a2 + ref_id: NET.2.1.A2.5 + description: "Ger\xE4te, die von anerkannt sicheren Verfahren auf unsichere\ + \ zur\xFCckgreifen m\xFCssen, D\xDCRFEN NICHT mehr eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 + ref_id: NET.2.1.A3 + name: "Auswahl geeigneter Kryptoverfahren f\xFCr WLAN" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a3 + ref_id: NET.2.1.A3.1 + description: "Die Kommunikation \xFCber die Luftschnittstelle MUSS komplett\ + \ kryptografisch abgesichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a3 + ref_id: NET.2.1.A3.2 + description: "Kryptografische Verfahren, die unsicherer als WPA2 sind, D\xDC\ + RFEN NICHT mehr eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a3 + ref_id: NET.2.1.A3.3 + description: "Wird WPA2 mit Pre-Shared Keys (WPA2-PSK) verwendet, dann MUSS\ + \ ein komplexer Schl\xFCssel mit einer Mindestl\xE4nge von 20 Zeichen verwendet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 + ref_id: NET.2.1.A4 + name: Geeignete Aufstellung von Access Points + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a4 + ref_id: NET.2.1.A4.1 + description: "Access Points M\xDCSSEN zugriffs- und diebstahlsicher montiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a4 + ref_id: NET.2.1.A4.2 + description: "Wenn sie aufgestellt werden, M\xDCSSEN die erforderlichen Bereiche\ + \ ausreichend abgedeckt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a4 + ref_id: NET.2.1.A4.3 + description: "Dar\xFCber hinaus MUSS darauf geachtet werden, dass sich die Funkwellen\ + \ in Bereichen, die nicht durch das WLAN versorgt werden sollen, m\xF6glichst\ + \ nicht ausbreiten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a4 + ref_id: NET.2.1.A4.4 + description: "Au\xDFeninstallationen M\xDCSSEN vor Witterungseinfl\xFCssen und\ + \ elektrischen Entladungen geeignet gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 + ref_id: NET.2.1.A5 + name: Sichere Basis-Konfiguration der Access Points + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a5 + ref_id: NET.2.1.A5.1 + description: "Access Points D\xDCRFEN NICHT in der Konfiguration des Auslieferungszustandes\ + \ verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a5 + ref_id: NET.2.1.A5.2 + description: "Voreingestellte SSIDs (Service Set Identifiers), Zugangskennw\xF6\ + rter oder kryptografische Schl\xFCssel M\xDCSSEN vor dem produktiven Einsatz\ + \ ge\xE4ndert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a5 + ref_id: NET.2.1.A5.3 + description: "Au\xDFerdem M\xDCSSEN unsichere Administrationszug\xE4nge abgeschaltet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a5 + ref_id: NET.2.1.A5.4 + description: "Access Points D\xDCRFEN NUR \xFCber eine geeignet verschl\xFC\ + sselte Verbindung administriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 + ref_id: NET.2.1.A6 + name: Sichere Konfiguration der WLAN-Infrastruktur + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a6 + ref_id: NET.2.1.A6.1 + description: "Es MUSS sichergestellt sein, dass mittels der WLAN-Kommunikation\ + \ keine Sicherheitszonen gekoppelt werden und hierdurch etablierte Schutzma\xDF\ + nahmen umgangen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 + ref_id: NET.2.1.A7 + name: Aufbau eines Distribution Systems + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a7 + ref_id: NET.2.1.A7.1 + description: Bevor ein kabelgebundenes Distribution System aufgebaut wird, MUSS + prinzipiell entschieden werden, ob physisch oder logisch durch VLANs auf den + Access Switches des kabelbasierten LANs getrennt wird. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 + ref_id: NET.2.1.A8 + name: "Verhaltensregeln bei WLAN-Sicherheitsvorf\xE4llen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a8 + ref_id: NET.2.1.A8.1 + description: "Bei einem Sicherheitsvorfall MUSS der IT-Betrieb passende Gegenma\xDF\ + nahmen einleiten:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a8 + ref_id: NET.2.1.A8.2 + description: "\u2022 Am \xDCbergabepunkt der WLAN-Kommunikation ins interne\ + \ LAN SOLLTE bei einem Angriff auf das WLAN die Kommunikation selektiv pro\ + \ SSID, Access Point oder sogar f\xFCr die komplette WLAN-Infrastruktur gesperrt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a8 + ref_id: NET.2.1.A8.3 + description: "\u2022 Wurden Access Points gestohlen, M\xDCSSEN festgelegte Sicherheitsma\xDF\ + nahmen umgesetzt werden, damit der Access Point oder hierauf abgespeicherte\ + \ Informationen nicht missbraucht werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a8 + ref_id: NET.2.1.A8.4 + description: "\u2022 Wurden WLAN-Clients entwendet und wird eine zertifikatsbasierte\ + \ Authentisierung verwendet, M\xDCSSEN die Client-Zertifikate gesperrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a8.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a8 + ref_id: NET.2.1.A8.5 + description: "Es MUSS ausgeschlossen werden, dass entwendete Ger\xE4te unberechtigt\ + \ verwendet werden, um auf das Netz der Institution zuzugreifen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 + ref_id: NET.2.1.A9 + name: Sichere Anbindung von WLANs an ein LAN + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a9 + ref_id: NET.2.1.A9.1 + description: "Werden WLANs an ein LAN angebunden, SOLLTE der \xDCbergang zwischen\ + \ WLANs und LAN abgesichert werden, beispielsweise durch einen Paketfilter." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a9 + ref_id: NET.2.1.A9.2 + description: "Der Access Point SOLLTE unter Ber\xFCcksichtigung der Anforderung\ + \ NET.2.1.A7 Aufbau eines Distribution Systems eingebunden sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 + ref_id: NET.2.1.A10 + name: "Erstellung einer Sicherheitsrichtlinie f\xFCr den Betrieb von WLANs" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a10 + ref_id: NET.2.1.A10.1 + description: "Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution\ + \ SOLLTEN die wesentlichen Kernaspekte f\xFCr einen sicheren Einsatz von WLANs\ + \ konkretisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a10 + ref_id: NET.2.1.A10.2 + description: Die Richtlinie SOLLTE allen Verantwortlichen bekannt sein, die + an Aufbau und Betrieb von WLANs beteiligt sind. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a10 + ref_id: NET.2.1.A10.3 + description: "Sie SOLLTE zudem Grundlage f\xFCr ihre Arbeit sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a10 + ref_id: NET.2.1.A10.4 + description: "Die Umsetzung der in der Richtlinie geforderten Inhalte SOLLTE\ + \ regelm\xE4\xDFig \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a10.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a10 + ref_id: NET.2.1.A10.5 + description: Werden die Inhalte der Richtlinie nicht umgesetzt, MUSS geeignet + reagiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a10.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a10 + ref_id: NET.2.1.A10.6 + description: Die Ergebnisse SOLLTEN geeignet dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 + ref_id: NET.2.1.A11 + name: Geeignete Auswahl von WLAN-Komponenten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a11 + ref_id: NET.2.1.A11.1 + description: "Anhand der Ergebnisse der Planungsphase SOLLTE eine Anforderungsliste\ + \ erstellt werden, mithilfe derer die am Markt erh\xE4ltlichen Produkte bewertet\ + \ werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a11 + ref_id: NET.2.1.A11.2 + description: "Werden WLAN-Komponenten beschafft, SOLLTE neben Sicherheit auch\ + \ auf Datenschutz und Kompatibilit\xE4t der WLAN-Komponenten untereinander\ + \ geachtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 + ref_id: NET.2.1.A12 + name: "Einsatz einer geeigneten WLAN-Management-L\xF6sung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a12 + ref_id: NET.2.1.A12.1 + description: "Eine zentrale Managementl\xF6sung SOLLTE eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a12 + ref_id: NET.2.1.A12.2 + description: "Der Leistungsumfang der eingesetzten L\xF6sung SOLLTE im Einklang\ + \ mit den Anforderungen der WLAN-Strategie sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 + ref_id: NET.2.1.A13 + name: "Regelm\xE4\xDFige Sicherheitschecks in WLANs" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a13 + ref_id: NET.2.1.A13.1 + description: "WLANs SOLLTEN regelm\xE4\xDFig daraufhin \xFCberpr\xFCft werden,\ + \ ob eventuell Sicherheitsl\xFCcken existieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a13 + ref_id: NET.2.1.A13.2 + description: "Zus\xE4tzlich SOLLTE regelm\xE4\xDFig nach unbefugt installierten\ + \ Access Points innerhalb der bereitgestellten WLANs gesucht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a13 + ref_id: NET.2.1.A13.3 + description: Weiterhin SOLLTEN die Performance und Abdeckung gemessen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a13.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a13 + ref_id: NET.2.1.A13.4 + description: Die Ergebnisse von Sicherheitschecks SOLLTEN nachvollziehbar dokumentiert + und mit dem Soll-Zustand abgeglichen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a13.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a13 + ref_id: NET.2.1.A13.5 + description: Abweichungen SOLLTEN untersucht werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 + ref_id: NET.2.1.A14 + name: "Regelm\xE4\xDFige Audits der WLAN-Komponenten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a14 + ref_id: NET.2.1.A14.1 + description: "Bei allen Komponenten der WLAN-Infrastruktur SOLLTE regelm\xE4\ + \xDFig \xFCberpr\xFCft werden, ob alle festgelegten Sicherheitsma\xDFnahmen\ + \ umgesetzt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a14 + ref_id: NET.2.1.A14.2 + description: "Au\xDFerdem SOLLTE \xFCberpr\xFCft werden ob alle Komponenten\ + \ korrekt konfiguriert sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a14 + ref_id: NET.2.1.A14.3 + description: "\xD6ffentlich aufgestellte Access Points SOLLTEN regelm\xE4\xDF\ + ig stichprobenartig daraufhin gepr\xFCft werden, ob es gewaltsame \xD6ffnungs-\ + \ oder Manipulationsversuche gab." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a14.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a14 + ref_id: NET.2.1.A14.4 + description: Die Auditergebnisse SOLLTEN nachvollziehbar dokumentiert und mit + dem Soll-Zustand abgeglichen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a14.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a14 + ref_id: NET.2.1.A14.5 + description: Abweichungen SOLLTEN untersucht werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 + ref_id: NET.2.1.A15 + name: Verwendung eines VPN zur Absicherung von WLANs + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a15 + ref_id: NET.2.1.A15.1 + description: "Es SOLLTE ein VPN eingesetzt werden, um die Kommunikation \xFC\ + ber die WLAN-Infrastruktur zus\xE4tzlich abzusichern." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 + ref_id: NET.2.1.A16 + name: "Zus\xE4tzliche Absicherung bei der Anbindung von WLANs an ein LAN" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a16 + ref_id: NET.2.1.A16.1 + description: "Wird eine WLAN-Infrastruktur an ein LAN angebunden, SOLLTE der\ + \ \xDCbergang zwischen WLANs und LAN entsprechend des h\xF6heren Schutzbedarfs\ + \ zus\xE4tzlich abgesichert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 + ref_id: NET.2.1.A17 + name: Absicherung der Kommunikation zwischen Access Points + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a17 + ref_id: NET.2.1.A17.1 + description: "Die Kommunikation zwischen den Access Points \xFCber die Funkschnittstelle\ + \ und das LAN SOLLTE verschl\xFCsselt erfolgen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1 + ref_id: NET.2.1.A18 + name: Einsatz von Wireless Intrusion Detection/Wireless Intrusion Prevention + Systemen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.1.a18 + ref_id: NET.2.1.A18.1 + description: Es SOLLTEN Wireless Intrusion Detection Systeme bzw. Wireless Intrusion + Prevention Systeme eingesetzt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net + ref_id: NET.2.2 + name: WLAN-Nutzung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2 + ref_id: NET.2.2.A1 + name: "Erstellung einer Nutzungsrichtlinie f\xFCr WLAN" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1 + ref_id: NET.2.2.A1.1 + description: "Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution\ + \ M\xDCSSEN die wesentlichen Kernaspekte f\xFCr eine sichere WLAN-Nutzung\ + \ in einer WLAN-Nutzungsrichtlinie konkretisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1 + ref_id: NET.2.2.A1.2 + description: "In einer solchen Nutzungsrichtlinie M\xDCSSEN die Besonderheiten\ + \ bei der WLAN-Nutzung beschrieben sein, z. B. ob, wie und mit welchen Ger\xE4\ + ten Hotspots genutzt werden d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1 + ref_id: NET.2.2.A1.3 + description: "Die Richtlinie MUSS Angaben dazu enthalten, welche Daten im WLAN\ + \ genutzt und \xFCbertragen werden d\xFCrfen und welche nicht." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1 + ref_id: NET.2.2.A1.4 + description: "Es MUSS beschrieben sein, wie mit clientseitigen Sicherheitsl\xF6\ + sungen umzugehen ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1 + ref_id: NET.2.2.A1.5 + description: "Die Nutzungsrichtlinie MUSS ein klares Verbot enthalten, ungenehmigte\ + \ Access Points an das Netz der Institution anzuschlie\xDFen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1 + ref_id: NET.2.2.A1.6 + description: "Au\xDFerdem MUSS in der Richtlinie darauf hingewiesen werden,\ + \ dass die WLAN-Schnittstelle deaktiviert werden muss, wenn sie \xFCber einen\ + \ l\xE4ngeren Zeitraum nicht genutzt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1 + ref_id: NET.2.2.A1.7 + description: "Es MUSS regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die in der\ + \ Richtlinie geforderten Inhalte richtig umgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1 + ref_id: NET.2.2.A1.8 + description: Ist dies nicht der Fall, MUSS geeignet reagiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a1 + ref_id: NET.2.2.A1.9 + description: Die Ergebnisse SOLLTEN sinnvoll dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2 + ref_id: NET.2.2.A2 + name: Sensibilisierung und Schulung der WLAN-Benutzenden + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a2 + ref_id: NET.2.2.A2.1 + description: "Die Benutzenden von WLAN-Komponenten, vornehmlich von WLAN-Clients,\ + \ M\xDCSSEN sensibilisiert und zu den in der Nutzungsrichtlinie aufgef\xFC\ + hrten Ma\xDFnahmen geschult werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a2 + ref_id: NET.2.2.A2.2 + description: "Hierf\xFCr M\xDCSSEN geeignete Schulungsinhalte identifiziert\ + \ und festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a2 + ref_id: NET.2.2.A2.3 + description: "Den Benutzenden MUSS genau erl\xE4utert werden, was die WLAN-spezifischen\ + \ Sicherheitseinstellungen bedeuten und warum sie wichtig sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a2 + ref_id: NET.2.2.A2.4 + description: "Au\xDFerdem M\xDCSSEN die Benutzenden auf die Gefahren hingewiesen\ + \ werden, die drohen, wenn diese Sicherheitseinstellungen umgangen oder deaktiviert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a2 + ref_id: NET.2.2.A2.5 + description: "Die Schulungsinhalte M\xDCSSEN immer entsprechend den jeweiligen\ + \ Einsatzszenarien angepasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a2.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a2 + ref_id: NET.2.2.A2.6 + description: "Neben der reinen Schulung zu WLAN-Sicherheitsmechanismen M\xDC\ + SSEN den Benutzenden jedoch auch die WLAN-Sicherheitsrichtlinie ihrer Institution\ + \ und die darin enthaltenen Ma\xDFnahmen vorgestellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a2.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a2 + ref_id: NET.2.2.A2.7 + description: "Ebenso M\xDCSSEN die Benutzenden f\xFCr die m\xF6glichen Gefahren\ + \ sensibilisiert werden, die von fremden WLANs ausgehen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2 + ref_id: NET.2.2.A3 + name: Absicherung der WLAN-Nutzung an Hotspots + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3 + ref_id: NET.2.2.A3.1 + description: "D\xFCrfen Hotspots genutzt werden, MUSS Folgendes umgesetzt werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3 + ref_id: NET.2.2.A3.2 + description: "\u2022 Jede(r) Benutzende eines Hotspots MUSS seine oder ihre\ + \ Sicherheitsanforderungen kennen und danach entscheiden, ob und unter welchen\ + \ Bedingungen ihm oder ihr die Nutzung des Hotspots erlaubt ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3 + ref_id: NET.2.2.A3.3 + description: "\u2022 Werden Hotspots genutzt, dann SOLLTE sichergestellt werden,\ + \ dass die Verbindung zwischen Hotspot-Access Point und IT-Systemen der Benutzenden\ + \ nach dem Stand der Technik kryptografisch abgesichert wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3 + ref_id: NET.2.2.A3.4 + description: "\u2022 WLANs, die nur sporadisch genutzt werden, SOLLTEN von den\ + \ Benutzenden aus der Historie gel\xF6scht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3 + ref_id: NET.2.2.A3.5 + description: "\u2022 Die automatische Anmeldung an WLANs SOLLTE deaktiviert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3 + ref_id: NET.2.2.A3.6 + description: "\u2022 Wenn m\xF6glich, SOLLTEN separate Konten mit einer sicheren\ + \ Grundkonfiguration und restriktiven Berechtigungen verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3 + ref_id: NET.2.2.A3.7 + description: "\u2022 Es SOLLTE sichergestellt sein, dass sich keine Benutzenden\ + \ mit administrativen Berechtigungen von ihren Clients aus an externen WLANs\ + \ anmelden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3 + ref_id: NET.2.2.A3.8 + description: "\u2022 Sensible Daten D\xDCRFEN NUR \xFCbertragen werden, wenn\ + \ allen notwendigen Sicherheitsma\xDFnahmen auf den Clients, vor allem eine\ + \ geeignete Verschl\xFCsselung, aktiviert sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3 + ref_id: NET.2.2.A3.9 + description: "\u2022 Wird die WLAN-Schnittstelle \xFCber einen l\xE4ngeren Zeitraum\ + \ nicht genutzt, MUSS diese deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a3 + ref_id: NET.2.2.A3.10 + description: "\u2022 \xDCber \xF6ffentlich zug\xE4ngliche WLANs D\xDCRFEN die\ + \ Benutzenden NUR \xFCber ein Virtual Private Network (VPN) auf interne Ressourcen\ + \ der Institution zugreifen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2 + ref_id: NET.2.2.A4 + name: "Verhaltensregeln bei WLAN-Sicherheitsvorf\xE4llen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a4 + ref_id: NET.2.2.A4.1 + description: "Bei WLAN-Sicherheitsvorf\xE4llen SOLLTEN die Benutzenden Folgendes\ + \ umsetzen:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a4 + ref_id: NET.2.2.A4.2 + description: "\u2022 Sie SOLLTEN ihre Arbeitsergebnisse sichern." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a4 + ref_id: NET.2.2.A4.3 + description: "\u2022 Sie SOLLTEN den WLAN-Zugriff beenden und die WLAN-Schnittstelle\ + \ ihres Clients deaktivieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a4 + ref_id: NET.2.2.A4.4 + description: "\u2022 Fehlermeldungen und Abweichungen SOLLTEN durch sie genau\ + \ dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a4 + ref_id: NET.2.2.A4.5 + description: "Ebenso SOLLTEN sie dokumentieren, was sie gemacht haben, bevor\ + \ bzw. w\xE4hrend der Sicherheitsvorfall eingetreten ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a4.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.2.2.a4 + ref_id: NET.2.2.A4.6 + description: "\u2022 Sie SOLLTEN \xFCber eine geeignete Eskalationsstufe (z.\ + \ B. User Help Desk) den IT-Betrieb benachrichtigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net + ref_id: NET.3.1 + name: Router und Switches + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 + ref_id: NET.3.1.A1 + name: Sichere Grundkonfiguration eines Routers oder Switches + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1 + ref_id: NET.3.1.A1.1 + description: Bevor ein Router oder Switch eingesetzt wird, MUSS er sicher konfiguriert + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1 + ref_id: NET.3.1.A1.2 + description: "Alle Konfigurations\xE4nderungen SOLLTEN nachvollziehbar dokumentiert\ + \ sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1 + ref_id: NET.3.1.A1.3 + description: "Die Integrit\xE4t der Konfigurationsdateien MUSS in geeigneter\ + \ Weise gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1 + ref_id: NET.3.1.A1.4 + description: "Bevor Zugangspassw\xF6rter abgespeichert werden, M\xDCSSEN sie\ + \ mithilfe eines zeitgem\xE4\xDFen kryptografischen Verfahrens abgesichert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1 + ref_id: NET.3.1.A1.5 + description: "Router und Switches M\xDCSSEN so konfiguriert sein, dass nur zwingend\ + \ erforderliche Dienste, Protokolle und funktionale Erweiterungen genutzt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1 + ref_id: NET.3.1.A1.6 + description: "Nicht ben\xF6tigte Dienste, Protokolle und funktionale Erweiterungen\ + \ M\xDCSSEN deaktiviert oder ganz deinstalliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1 + ref_id: NET.3.1.A1.7 + description: "Ebenfalls M\xDCSSEN nicht benutzte Schnittstellen auf Routern\ + \ und Switches deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1 + ref_id: NET.3.1.A1.8 + description: "Unbenutzte Netzports M\xDCSSEN nach M\xF6glichkeit deaktiviert\ + \ oder zumindest einem daf\xFCr eingerichteten Unassigned-VLAN zugeordnet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1 + ref_id: NET.3.1.A1.9 + description: "Wenn funktionale Erweiterungen benutzt werden, M\xDCSSEN die Sicherheitsrichtlinien\ + \ der Institution weiterhin erf\xFCllt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1 + ref_id: NET.3.1.A1.10 + description: "Auch SOLLTE begr\xFCndet und dokumentiert werden, warum solche\ + \ Erweiterungen eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1 + ref_id: NET.3.1.A1.11 + description: "Informationen \xFCber den internen Konfigurations- und Betriebszustand\ + \ M\xDCSSEN nach au\xDFen verborgen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a1 + ref_id: NET.3.1.A1.12 + description: "Unn\xF6tige Auskunftsdienste M\xDCSSEN deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 + ref_id: NET.3.1.A4 + name: Schutz der Administrationsschnittstellen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a4 + ref_id: NET.3.1.A4.1 + description: "Alle Administrations- und Managementzug\xE4nge der Router und\ + \ Switches M\xDCSSEN auf einzelne Quell-IP-Adressen bzw. -Adressbereiche eingeschr\xE4\ + nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a4 + ref_id: NET.3.1.A4.2 + description: "Es MUSS sichergestellt sein, dass aus nicht vertrauensw\xFCrdigen\ + \ Netzen heraus nicht direkt auf die Administrationsschnittstellen zugegriffen\ + \ werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a4 + ref_id: NET.3.1.A4.3 + description: "Um Router und Switches zu administrieren bzw. zu \xFCberwachen,\ + \ SOLLTEN geeignet verschl\xFCsselte Protokolle eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a4 + ref_id: NET.3.1.A4.4 + description: "Sollte dennoch auf unverschl\xFCsselte Protokolle zur\xFCckgegriffen\ + \ werden, MUSS f\xFCr die Administration ein eigenes Administrationsnetz (Out-of-Band-Management)\ + \ genutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a4 + ref_id: NET.3.1.A4.5 + description: "Die Managementschnittstellen und die Administrationsverbindungen\ + \ M\xDCSSEN durch eine separate Firewall gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a4.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a4 + ref_id: NET.3.1.A4.6 + description: "F\xFCr die Schnittstellen M\xDCSSEN geeignete Zeitbeschr\xE4nkungen\ + \ f\xFCr z. B. Timeouts vorgegeben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a4.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a4 + ref_id: NET.3.1.A4.7 + description: "Alle f\xFCr das Management-Interface nicht ben\xF6tigten Dienste\ + \ M\xDCSSEN deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a4.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a4 + ref_id: NET.3.1.A4.8 + description: "Verf\xFCgt eine Netzkomponente \xFCber eine dedizierte Hardwareschnittstelle,\ + \ MUSS der unberechtigte Zugriff darauf in geeigneter Weise unterbunden werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 + ref_id: NET.3.1.A5 + name: Schutz vor Fragmentierungsangriffen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a5 + ref_id: NET.3.1.A5.1 + description: "Am Router und Layer-3-Switch M\xDCSSEN Schutzmechanismen aktiviert\ + \ sein, um IPv4- sowie IPv6-Fragmentierungsangriffe abzuwehren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 + ref_id: NET.3.1.A6 + name: Notfallzugriff auf Router und Switches + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a6 + ref_id: NET.3.1.A6.1 + description: "Es MUSS f\xFCr die Administrierenden immer m\xF6glich sein, direkt\ + \ auf Router und Switches zuzugreifen, sodass diese weiterhin lokal administriert\ + \ werden k\xF6nnen, auch wenn das gesamte Netz ausf\xE4llt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 + ref_id: NET.3.1.A7 + name: Protokollierung bei Routern und Switches + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a7 + ref_id: NET.3.1.A7.1 + description: 'Ein Router oder Switch MUSS so konfiguriert werden, dass er unter + anderem folgende Ereignisse protokolliert:' + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a7 + ref_id: NET.3.1.A7.2 + description: "\u2022 Konfigurations\xE4nderungen (m\xF6glichst automatisch)," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a7 + ref_id: NET.3.1.A7.3 + description: "\u2022 Reboot," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a7 + ref_id: NET.3.1.A7.4 + description: "\u2022 Systemfehler," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a7 + ref_id: NET.3.1.A7.5 + description: "\u2022 Status\xE4nderungen pro Interface, System und Netzsegment\ + \ sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a7.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a7 + ref_id: NET.3.1.A7.6 + description: "\u2022 Login-Fehler" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 + ref_id: NET.3.1.A8 + name: "Regelm\xE4\xDFige Datensicherung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a8 + ref_id: NET.3.1.A8.1 + description: "Die Konfigurationsdateien von Routern und Switches M\xDCSSEN regelm\xE4\ + \xDFig gesichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a8 + ref_id: NET.3.1.A8.2 + description: "Die Sicherungskopien M\xDCSSEN so abgelegt werden, dass im Notfall\ + \ darauf zugegriffen werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 + ref_id: NET.3.1.A9 + name: Betriebsdokumentationen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a9 + ref_id: NET.3.1.A9.1 + description: "Die wichtigsten betrieblichen Aufgaben eines Routers oder Switches\ + \ M\xDCSSEN geeignet dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a9 + ref_id: NET.3.1.A9.2 + description: "Es SOLLTEN alle Konfigurations\xE4nderungen sowie sicherheitsrelevante\ + \ Aufgaben dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a9 + ref_id: NET.3.1.A9.3 + description: "Die Dokumentation SOLLTEN vor unbefugten Zugriffen gesch\xFCtzt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 + ref_id: NET.3.1.A10 + name: Erstellung einer Sicherheitsrichtlinie + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a10 + ref_id: NET.3.1.A10.1 + description: Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution + SOLLTE eine spezifische Sicherheitsrichtlinie erstellt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a10 + ref_id: NET.3.1.A10.2 + description: "In der Sicherheitsrichtlinie SOLLTEN nachvollziehbar Anforderungen\ + \ und Vorgaben beschrieben sein, wie Router und Switches sicher betrieben\ + \ werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a10 + ref_id: NET.3.1.A10.3 + description: "Die Richtlinie SOLLTE allen Administrierenden bekannt und grundlegend\ + \ f\xFCr ihre Arbeit sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a10 + ref_id: NET.3.1.A10.4 + description: "Wird die Richtlinie ver\xE4ndert oder wird von den festgelegten\ + \ Anforderungen abgewichen, SOLLTE das mit dem oder der ISB abgestimmt und\ + \ dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a10.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a10 + ref_id: NET.3.1.A10.5 + description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Richtlinie\ + \ noch korrekt umgesetzt ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a10.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a10 + ref_id: NET.3.1.A10.6 + description: Die Ergebnisse SOLLTEN geeignet dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 + ref_id: NET.3.1.A11 + name: Beschaffung eines Routers oder Switches + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a11 + ref_id: NET.3.1.A11.1 + description: "Bevor Router oder Switches beschafft werden, SOLLTE basierend\ + \ auf der Sicherheitsrichtlinie eine Anforderungsliste erstellt werden, anhand\ + \ derer die am Markt erh\xE4ltlichen Produkte bewertet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a11 + ref_id: NET.3.1.A11.2 + description: "Es SOLLTE darauf geachtet werden, dass das von der Institution\ + \ angestrebte Sicherheitsniveau mit den zu beschaffenden Ger\xE4ten erreicht\ + \ werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a11 + ref_id: NET.3.1.A11.3 + description: "Grundlage f\xFCr die Beschaffung SOLLTEN daher die Anforderungen\ + \ aus der Sicherheitsrichtlinie sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 + ref_id: NET.3.1.A12 + name: "Erstellung einer Konfigurations-Checkliste f\xFCr Router und Switches" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a12 + ref_id: NET.3.1.A12.1 + description: "Es SOLLTE eine Konfigurations-Checkliste erstellt werden, anhand\ + \ derer die wichtigsten sicherheitsrelevanten Einstellungen auf Routern und\ + \ Switches gepr\xFCft werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a12 + ref_id: NET.3.1.A12.2 + description: "Da die sichere Konfiguration stark vom Einsatzzweck abh\xE4ngt,\ + \ SOLLTEN die unterschiedlichen Anforderungen der Ger\xE4te in der Konfigurations-Checkliste\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 + ref_id: NET.3.1.A13 + name: "Administration \xFCber ein gesondertes Managementnetz" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a13 + ref_id: NET.3.1.A13.1 + description: "Router und Switches SOLLTEN ausschlie\xDFlich \xFCber ein separates\ + \ Managementnetz (Out-of-Band-Management) administriert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a13 + ref_id: NET.3.1.A13.2 + description: "Eine eventuell vorhandene Administrationsschnittstelle \xFCber\ + \ das eigentliche Datennetz (In-Band) SOLLTE deaktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a13 + ref_id: NET.3.1.A13.3 + description: "Die verf\xFCgbaren Sicherheitsmechanismen der eingesetzten Managementprotokolle\ + \ zur Authentisierung, Integrit\xE4tssicherung und Verschl\xFCsselung SOLLTEN\ + \ aktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a13.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a13 + ref_id: NET.3.1.A13.4 + description: Alle unsicheren Managementprotokolle SOLLTEN deaktiviert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 + ref_id: NET.3.1.A14 + name: Schutz vor Missbrauch von ICMP-Nachrichten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a14 + ref_id: NET.3.1.A14.1 + description: Die Protokolle ICMP und ICMPv6 SOLLTEN restriktiv gefiltert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 + ref_id: NET.3.1.A15 + name: Bogon- und Spoofing-Filterung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a15 + ref_id: NET.3.1.A15.1 + description: "Es SOLLTE verhindert werden, dass Angreifende mithilfe gef\xE4\ + lschter, reservierter oder noch nicht zugewiesener IP-Adressen in die Router\ + \ und Switches eindringen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 + ref_id: NET.3.1.A16 + name: "Schutz vor \u201EIPv6 Routing Header Type-0\u201C-Angriffen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a16 + ref_id: NET.3.1.A16.1 + description: Beim Einsatz von IPv6 SOLLTEN Mechanismen eingesetzt werden, die + Angriffe auf den Routing-Header des Type-0 erkennen und verhindern. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 + ref_id: NET.3.1.A17 + name: Schutz vor DoS- und DDoS-Angriffen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a17 + ref_id: NET.3.1.A17.1 + description: Es SOLLTEN Mechanismen eingesetzt werden, die hochvolumige Angriffe + sowie TCP-State-Exhaustion-Angriffe erkennen und abwehren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 + ref_id: NET.3.1.A18 + name: Einrichtung von Access Control Lists + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a18 + ref_id: NET.3.1.A18.1 + description: Der Zugriff auf Router und Switches SOLLTE mithilfe von Access + Control Lists (ACLs) definiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a18 + ref_id: NET.3.1.A18.2 + description: "In der ACL SOLLTE anhand der Sicherheitsrichtlinie der Institution\ + \ festgelegt werden, \xFCber welche IT-Systeme oder Netze mit welcher Methode\ + \ auf einen Router oder Switch zugegriffen werden darf." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a18 + ref_id: NET.3.1.A18.3 + description: "F\xFCr den Fall, dass keine spezifischen Regeln existieren, SOLLTE\ + \ generell der restriktivere Allowlist-Ansatz bevorzugt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 + ref_id: NET.3.1.A19 + name: Sicherung von Switch-Ports + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a19 + ref_id: NET.3.1.A19.1 + description: "Die Ports eines Switches SOLLTEN vor unberechtigten Zugriffen\ + \ gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 + ref_id: NET.3.1.A20 + name: Sicherheitsaspekte von Routing-Protokollen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a20 + ref_id: NET.3.1.A20.1 + description: "Router SOLLTEN sich authentisieren, wenn sie Routing-Informationen\ + \ austauschen oder Updates f\xFCr Routing-Tabellen verschicken." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a20.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a20 + ref_id: NET.3.1.A20.2 + description: "Es SOLLTEN ausschlie\xDFlich Routing-Protokolle eingesetzt werden,\ + \ die dies unterst\xFCtzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a20.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a20 + ref_id: NET.3.1.A20.3 + description: "Dynamische Routing-Protokolle SOLLTEN ausschlie\xDFlich in sicheren\ + \ Netzen verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a20.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a20 + ref_id: NET.3.1.A20.4 + description: "Sie D\xDCRFEN NICHT in demilitarisierten Zonen (DMZs) eingesetzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a20.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a20 + ref_id: NET.3.1.A20.5 + description: In DMZs SOLLTEN stattdessen statische Routen eingetragen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 + ref_id: NET.3.1.A21 + name: "Identit\xE4ts- und Berechtigungsmanagement in der Netzinfrastruktur" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a21 + ref_id: NET.3.1.A21.1 + description: "Router und Switches SOLLTEN an ein zentrales Identit\xE4ts- und\ + \ Berechtigungsmanagement angebunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 + ref_id: NET.3.1.A22 + name: Notfallvorsorge bei Routern und Switches + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a22 + ref_id: NET.3.1.A22.1 + description: "Es SOLLTE geplant und vorbereitet werden, welche Fehler bei Routern\ + \ oder Switches in einem Notfall diagnostiziert werden k\xF6nnten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a22.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a22 + ref_id: NET.3.1.A22.2 + description: "Au\xDFerdem SOLLTE geplant und vorbereitet werden, wie die identifizierten\ + \ Fehler behoben werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a22.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a22 + ref_id: NET.3.1.A22.3 + description: "F\xFCr typische Ausfallszenarien SOLLTEN entsprechende Handlungsanweisungen\ + \ definiert und in regelm\xE4\xDFigen Abst\xE4nden aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a22.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a22 + ref_id: NET.3.1.A22.4 + description: "Die Notfallplanungen f\xFCr Router und Switches SOLLTEN mit der\ + \ \xFCbergreifenden St\xF6rungs- und Notfallvorsorge abgestimmt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a22.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a22 + ref_id: NET.3.1.A22.5 + description: Die Notfallplanungen SOLLTEN sich am allgemeinen Notfallvorsorgekonzept + orientieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a22.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a22 + ref_id: NET.3.1.A22.6 + description: Es SOLLTE sichergestellt sein, dass die Dokumentationen zur Notfallvorsorge + und die darin enthaltenen Handlungsanweisungen in Papierform vorliegen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a22.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a22 + ref_id: NET.3.1.A22.7 + description: "Das im Rahmen der Notfallvorsorge beschriebene Vorgehen SOLLTE\ + \ regelm\xE4\xDFig geprobt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a23 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 + ref_id: NET.3.1.A23 + name: Revision und Penetrationstests + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a23.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a23 + ref_id: NET.3.1.A23.1 + description: "Router und Switches SOLLTEN regelm\xE4\xDFig auf bekannte Sicherheitsprobleme\ + \ hin \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a23.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a23 + ref_id: NET.3.1.A23.2 + description: "Auch SOLLTEN regelm\xE4\xDFig Revisionen durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a23.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a23 + ref_id: NET.3.1.A23.3 + description: "Dabei SOLLTE unter anderem gepr\xFCft werden, ob der Ist-Zustand\ + \ der festgelegten sicheren Grundkonfiguration entspricht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a23.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a23 + ref_id: NET.3.1.A23.4 + description: Die Ergebnisse SOLLTEN nachvollziehbar dokumentiert und mit dem + Soll-Zustand abgeglichen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a23.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a23 + ref_id: NET.3.1.A23.5 + description: Abweichungen SOLLTE nachgegangen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a24 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 + ref_id: NET.3.1.A24 + name: Einsatz von Netzzugangskontrollen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a24.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a24 + ref_id: NET.3.1.A24.1 + description: Eine Port-based Access Control SOLLTE nach IEEE 802.1x auf Basis + von EAP-TLS implementiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a24.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a24 + ref_id: NET.3.1.A24.2 + description: Es SOLLTE KEINE Implementierung nach den Standards IEEE 802.1x-2001 + und IEEE 802.1x-2004 erfolgen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a25 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 + ref_id: NET.3.1.A25 + name: "Erweiterter Integrit\xE4tsschutz f\xFCr die Konfigurationsdateien" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a25.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a25 + ref_id: NET.3.1.A25.1 + description: "St\xFCrzt ein Router oder Switch ab, SOLLTE sichergestellt werden,\ + \ dass bei der Wiederherstellung bzw. beim Neustart keine alten oder fehlerhaften\ + \ Konfigurationen (unter anderem ACLs) benutzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a26 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 + ref_id: NET.3.1.A26 + name: "Hochverf\xFCgbarkeit" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a26.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a26 + ref_id: NET.3.1.A26.1 + description: "Die Realisierung einer Hochverf\xFCgbarkeitsl\xF6sung SOLLTE den\ + \ Betrieb der Router und Switches bzw. deren Sicherheitsfunktionen NICHT behindern\ + \ oder das Sicherheitsniveau senken." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a26.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a26 + ref_id: NET.3.1.A26.2 + description: Router und Switches SOLLTEN redundant ausgelegt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a26.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a26 + ref_id: NET.3.1.A26.3 + description: Dabei SOLLTE darauf geachtet werden, dass die Sicherheitsrichtlinie + der Institution eingehalten wird. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a27 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 + ref_id: NET.3.1.A27 + name: "Bandbreitenmanagement f\xFCr kritische Anwendungen und Dienste" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a27.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a27 + ref_id: NET.3.1.A27.1 + description: Router und Switches SOLLTEN Funktionen enthalten und einsetzen, + mit denen sich die Applikationen erkennen und Bandbreiten priorisieren lassen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a28 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1 + ref_id: NET.3.1.A28 + name: Einsatz von zertifizierten Produkten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a28.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.1.a28 + ref_id: NET.3.1.A28.1 + description: Es SOLLTEN Router und Switches mit einer Sicherheitsevaluierung + nach Common Criteria eingesetzt werden, mindestens mit der Stufe EAL4. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net + ref_id: NET.3.2 + name: Firewall + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 + ref_id: NET.3.2.A1 + name: Erstellung einer Sicherheitsrichtlinie + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a1 + ref_id: NET.3.2.A1.1 + description: Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution + MUSS eine spezifische Sicherheitsrichtlinie erstellt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a1 + ref_id: NET.3.2.A1.2 + description: "In dieser M\xDCSSEN nachvollziehbar Anforderungen und Vorgaben\ + \ beschrieben sein, wie Firewalls sicher betrieben werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a1 + ref_id: NET.3.2.A1.3 + description: "Die Richtlinie MUSS allen im Bereich Firewalls zust\xE4ndigen\ + \ Mitarbeitenden bekannt und grundlegend f\xFCr ihre Arbeit sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a1 + ref_id: NET.3.2.A1.4 + description: "Wird die Richtlinie ver\xE4ndert oder wird von den Anforderungen\ + \ abgewichen, MUSS dies mit dem oder der ISB abgestimmt und dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a1 + ref_id: NET.3.2.A1.5 + description: "Es MUSS regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Richtlinie\ + \ noch korrekt umgesetzt ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a1 + ref_id: NET.3.2.A1.6 + description: "Die Ergebnisse M\xDCSSEN sinnvoll dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 + ref_id: NET.3.2.A2 + name: Festlegen der Firewall-Regeln + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2 + ref_id: NET.3.2.A2.1 + description: "Die gesamte Kommunikation zwischen den beteiligten Netzen MUSS\ + \ \xFCber die Firewall geleitet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2 + ref_id: NET.3.2.A2.2 + description: "Es MUSS sichergestellt sein, dass von au\xDFen keine unerlaubten\ + \ Verbindungen in das gesch\xFCtzte Netz aufgebaut werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2 + ref_id: NET.3.2.A2.3 + description: "Ebenso D\xDCRFEN KEINE unerlaubten Verbindungen aus dem gesch\xFC\ + tzten Netz heraus aufgebaut werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2 + ref_id: NET.3.2.A2.4 + description: "F\xFCr die Firewall M\xDCSSEN eindeutige Regeln definiert werden,\ + \ die festlegen, welche Kommunikationsverbindungen und Datenstr\xF6me zugelassen\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2 + ref_id: NET.3.2.A2.5 + description: "Alle anderen Verbindungen M\xDCSSEN durch die Firewall unterbunden\ + \ werden (Allowlist-Ansatz)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2 + ref_id: NET.3.2.A2.6 + description: "Die Kommunikationsbeziehungen mit angeschlossenen Dienst-Servern,\ + \ die \xFCber die Firewall gef\xFChrt werden, M\xDCSSEN in den Regeln ber\xFC\ + cksichtigt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2 + ref_id: NET.3.2.A2.7 + description: "Es M\xDCSSEN Zust\xE4ndige benannt werden, die Filterregeln entwerfen,\ + \ umsetzen und testen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2 + ref_id: NET.3.2.A2.8 + description: "Zudem MUSS gekl\xE4rt werden, wer Filterregeln ver\xE4ndern darf." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a2 + ref_id: NET.3.2.A2.9 + description: "Die getroffenen Entscheidungen sowie die relevanten Informationen\ + \ und Entscheidungsgr\xFCnde M\xDCSSEN dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 + ref_id: NET.3.2.A3 + name: Einrichten geeigneter Filterregeln am Paketfilter + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a3 + ref_id: NET.3.2.A3.1 + description: "Basierend auf den Firewall-Regeln aus NET.3.2.A2 Festlegen der\ + \ Firewall-Regeln M\xDCSSEN geeignete Filterregeln f\xFCr den Paketfilter\ + \ definiert und eingerichtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a3 + ref_id: NET.3.2.A3.2 + description: "Ein Paketfilter MUSS so eingestellt sein, dass er alle ung\xFC\ + ltigen TCP-Flag-Kombinationen verwirft." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a3 + ref_id: NET.3.2.A3.3 + description: "Grunds\xE4tzlich MUSS immer zustandsbehaftet gefiltert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a3 + ref_id: NET.3.2.A3.4 + description: "Auch f\xFCr die verbindungslosen Protokolle UDP und ICMP M\xDC\ + SSEN zustandsbehaftete Filterregeln konfiguriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a3 + ref_id: NET.3.2.A3.5 + description: Die Firewall MUSS die Protokolle ICMP und ICMPv6 restriktiv filtern. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 + ref_id: NET.3.2.A4 + name: Sichere Konfiguration der Firewall + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4 + ref_id: NET.3.2.A4.1 + description: Bevor eine Firewall eingesetzt wird, MUSS sie sicher konfiguriert + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4 + ref_id: NET.3.2.A4.2 + description: "Alle Konfigurations\xE4nderungen M\xDCSSEN nachvollziehbar dokumentiert\ + \ sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4 + ref_id: NET.3.2.A4.3 + description: "Die Integrit\xE4t der Konfigurationsdateien MUSS geeignet gesch\xFC\ + tzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4 + ref_id: NET.3.2.A4.4 + description: "Bevor Zugangspassw\xF6rter abgespeichert werden, M\xDCSSEN sie\ + \ mithilfe eines zeitgem\xE4\xDFen kryptografischen Verfahrens abgesichert\ + \ werden (siehe CON.1 Kryptokonzept)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4 + ref_id: NET.3.2.A4.5 + description: "Eine Firewall MUSS so konfiguriert sein, dass ausschlie\xDFlich\ + \ zwingend erforderliche Dienste verf\xFCgbar sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4 + ref_id: NET.3.2.A4.6 + description: "Wenn funktionale Erweiterungen benutzt werden, M\xDCSSEN die Sicherheitsrichtlinien\ + \ der Institution weiterhin erf\xFCllt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4 + ref_id: NET.3.2.A4.7 + description: "Auch MUSS begr\xFCndet und dokumentiert werden, warum solche Erweiterungen\ + \ eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4 + ref_id: NET.3.2.A4.8 + description: "Nicht ben\xF6tigte (Auskunfts-)Dienste sowie nicht ben\xF6tigte\ + \ funktionale Erweiterungen M\xDCSSEN deaktiviert oder ganz deinstalliert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a4 + ref_id: NET.3.2.A4.9 + description: "Informationen \xFCber den internen Konfigurations- und Betriebszustand\ + \ M\xDCSSEN nach au\xDFen bestm\xF6glich verborgen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 + ref_id: NET.3.2.A6 + name: Schutz der Administrationsschnittstellen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a6 + ref_id: NET.3.2.A6.1 + description: "Alle Administrations- und Managementzug\xE4nge der Firewall M\xDC\ + SSEN auf einzelne Quell-IP-Adressen bzw. -Adressbereiche eingeschr\xE4nkt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a6 + ref_id: NET.3.2.A6.2 + description: "Es MUSS sichergestellt sein, dass aus nicht vertrauensw\xFCrdigen\ + \ Netzen heraus nicht auf die Administrationsschnittstellen zugegriffen werden\ + \ kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a6 + ref_id: NET.3.2.A6.3 + description: "Um die Firewall zu administrieren bzw. zu \xFCberwachen, D\xDC\ + RFEN NUR sichere Protokolle eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a6 + ref_id: NET.3.2.A6.4 + description: "Alternativ MUSS ein eigens daf\xFCr vorgesehenes Administrationsnetz\ + \ (Out-of-Band-Management) verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a6 + ref_id: NET.3.2.A6.5 + description: "F\xFCr die Bedienschnittstellen M\xDCSSEN geeignete Zeitbeschr\xE4\ + nkungen vorgegeben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 + ref_id: NET.3.2.A7 + name: Notfallzugriff auf die Firewall + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a7 + ref_id: NET.3.2.A7.1 + description: "Es MUSS immer m\xF6glich sein, direkt auf die Firewall zugreifen\ + \ zu k\xF6nnen, sodass sie im Notfall auch dann lokal administriert werden\ + \ kann, wenn das gesamte Netz ausf\xE4llt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 + ref_id: NET.3.2.A8 + name: Unterbindung von dynamischem Routing + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a8 + ref_id: NET.3.2.A8.1 + description: In den Einstellungen der Firewall MUSS das dynamische Routing deaktiviert + sein, es sei denn, der Paketfilter wird entsprechend dem Baustein NET.3.1 + Router und Switches als Perimeter-Router eingesetzt. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 + ref_id: NET.3.2.A9 + name: Protokollierung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9 + ref_id: NET.3.2.A9.1 + description: 'Die Firewall MUSS so konfiguriert werden, dass sie mindestens + folgende sicherheitsrelevante Ereignisse protokolliert:' + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9 + ref_id: NET.3.2.A9.2 + description: "\u2022 abgewiesene Netzverbindungen (Quell- und Ziel-IP-Adressen,\ + \ Quell- und Zielport oder ICMP/ICMPv6-Typ, Datum, Uhrzeit)," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9 + ref_id: NET.3.2.A9.3 + description: "\u2022 fehlgeschlagene Zugriffe auf System-Ressourcen aufgrund\ + \ fehlerhafter Authentisierungen, mangelnder Berechtigung oder nicht vorhandener\ + \ Ressourcen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9 + ref_id: NET.3.2.A9.4 + description: "\u2022 Fehlermeldungen der Firewall-Dienste," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9 + ref_id: NET.3.2.A9.5 + description: "\u2022 allgemeine Systemfehlermeldungen und" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9 + ref_id: NET.3.2.A9.6 + description: "\u2022 Konfigurations\xE4nderungen (m\xF6glichst automatisch)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9 + ref_id: NET.3.2.A9.7 + description: "Werden Sicherheitsproxies eingesetzt, M\xDCSSEN Sicherheitsverletzungen\ + \ und Verst\xF6\xDFe gegen Access-Control-Listen (ACLs oder auch kurz Access-Listen)\ + \ in geeigneter Weise protokolliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9 + ref_id: NET.3.2.A9.8 + description: "Hierbei M\xDCSSEN mindestens die Art der Protokollverletzung bzw.\ + \ des ACL-Versto\xDFes, Quell- und Ziel-IP-Adresse, Quell- und Zielport, Dienst,\ + \ Datum und Zeit sowie, falls erforderlich, die Verbindungsdauer protokolliert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a9 + ref_id: NET.3.2.A9.9 + description: "Wenn sich Benutzende am Sicherheitsproxy authentisieren, M\xDC\ + SSEN auch Authentisierungsdaten oder ausschlie\xDFlich die Information \xFC\ + ber eine fehlgeschlagene Authentisierung protokolliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 + ref_id: NET.3.2.A10 + name: Abwehr von Fragmentierungsangriffen am Paketfilter + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a10 + ref_id: NET.3.2.A10.1 + description: "Am Paketfilter M\xDCSSEN Schutzmechanismen aktiviert sein, um\ + \ IPv4- sowie IPv6 Fragmentierungsangriffe abzuwehren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 + ref_id: NET.3.2.A14 + name: Betriebsdokumentationen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a14 + ref_id: NET.3.2.A14.1 + description: "Die betrieblichen Aufgaben einer Firewall M\xDCSSEN nachvollziehbar\ + \ dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a14 + ref_id: NET.3.2.A14.2 + description: "Es M\xDCSSEN alle Konfigurations\xE4nderungen sowie sicherheitsrelevante\ + \ Aufgaben dokumentiert werden, insbesondere \xC4nderungen an den Systemdiensten\ + \ und dem Regelwerk der Firewall." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a14 + ref_id: NET.3.2.A14.3 + description: "Die Dokumentation MUSS vor unbefugten Zugriffen gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 + ref_id: NET.3.2.A15 + name: Beschaffung einer Firewall + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a15 + ref_id: NET.3.2.A15.1 + description: "Bevor eine Firewall beschafft wird, MUSS eine Anforderungsliste\ + \ erstellt werden, anhand derer die am Markt erh\xE4ltlichen Produkte bewertet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a15 + ref_id: NET.3.2.A15.2 + description: Es MUSS darauf geachtet werden, dass das von der Institution angestrebte + Sicherheitsniveau mit der Firewall erreichbar ist. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a15 + ref_id: NET.3.2.A15.3 + description: "Grundlage f\xFCr die Beschaffung M\xDCSSEN daher die Anforderungen\ + \ aus der Sicherheitsrichtlinie sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a15.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a15 + ref_id: NET.3.2.A15.4 + description: "Wird IPv6 eingesetzt, MUSS der Paketfilter die IPv6-Erweiterungsheader\ + \ (Extension Header) \xFCberpr\xFCfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a15.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a15 + ref_id: NET.3.2.A15.5 + description: "Zudem MUSS sich IPv6 ad\xE4quat zu IPv4 konfigurieren lassen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 + ref_id: NET.3.2.A16 + name: "Aufbau einer \u201EP-A-P\u201C-Struktur" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a16 + ref_id: NET.3.2.A16.1 + description: "Eine \u201EPaketfilter - Application-Level-Gateway - Paketfilter\u201C\ + -(P-A-P)-Struktur SOLLTE eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a16 + ref_id: NET.3.2.A16.2 + description: "Sie MUSS aus mehreren Komponenten mit jeweils daf\xFCr geeigneter\ + \ Hard- und Software bestehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a16 + ref_id: NET.3.2.A16.3 + description: "F\xFCr die wichtigsten verwendeten Protokolle SOLLTEN Sicherheitsproxies\ + \ auf Anwendungsschicht vorhanden sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a16.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a16 + ref_id: NET.3.2.A16.4 + description: "F\xFCr andere Dienste SOLLTEN zumindest generische Sicherheitsproxies\ + \ f\xFCr TCP und UDP genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a16.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a16 + ref_id: NET.3.2.A16.5 + description: Die Sicherheitsproxies SOLLTEN zudem innerhalb einer abgesicherten + Laufzeitumgebung des Betriebssystems ablaufen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 + ref_id: NET.3.2.A17 + name: Deaktivierung von IPv4 oder IPv6 + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a17 + ref_id: NET.3.2.A17.1 + description: "Wenn das IPv4- oder IPv6-Protokoll in einem Netzsegment nicht\ + \ ben\xF6tigt wird, SOLLTE es am jeweiligen Firewall-Netzzugangspunkt (z.\ + \ B. am entsprechenden Firewall-Interface) deaktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a17 + ref_id: NET.3.2.A17.2 + description: "Falls das IPv4- oder IPv6-Protokoll nicht ben\xF6tigt bzw. eingesetzt\ + \ wird, SOLLTE es auf der Firewall komplett deaktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 + ref_id: NET.3.2.A18 + name: "Administration \xFCber ein gesondertes Managementnetz" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a18 + ref_id: NET.3.2.A18.1 + description: "Firewalls SOLLTEN ausschlie\xDFlich \xFCber ein separates Managementnetz\ + \ (Out-of-Band-Management) administriert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a18 + ref_id: NET.3.2.A18.2 + description: "Eine eventuell vorhandene Administrationsschnittstelle \xFCber\ + \ das eigentliche Datennetz (In-Band) SOLLTE deaktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a18 + ref_id: NET.3.2.A18.3 + description: "Die Kommunikation im Managementnetz SOLLTE \xFCber Management-Firewalls\ + \ (siehe NET.1.1 Netz-Architektur und -design) auf wenige Managementprotokolle\ + \ mit genau festgelegten Urspr\xFCngen und Zielen beschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a18.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a18 + ref_id: NET.3.2.A18.4 + description: "Die verf\xFCgbaren Sicherheitsmechanismen der eingesetzten Managementprotokolle\ + \ zur Authentisierung, Integrit\xE4tssicherung und Verschl\xFCsselung SOLLTEN\ + \ aktiviert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a18.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a18 + ref_id: NET.3.2.A18.5 + description: Alle unsicheren Managementprotokolle SOLLTEN deaktiviert werden + (siehe NET.1.2 Netzmanagement). + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 + ref_id: NET.3.2.A19 + name: Schutz vor TCP SYN Flooding, UDP Paket Storm und Sequence Number Guessing + am Paketfilter + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a19 + ref_id: NET.3.2.A19.1 + description: "Am Paketfilter, der Server-Dienste sch\xFCtzt, die aus nicht vertrauensw\xFC\ + rdigen Netzen erreichbar sind, SOLLTE ein geeignetes Limit f\xFCr halboffene\ + \ und offene Verbindungen gesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a19 + ref_id: NET.3.2.A19.2 + description: "Am Paketfilter, der Server-Dienste sch\xFCtzt, die aus weniger\ + \ oder nicht vertrauensw\xFCrdigen Netzen erreichbar sind, SOLLTEN die sogenannten\ + \ Rate Limits f\xFCr UDP-Datenstr\xF6me gesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a19.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a19 + ref_id: NET.3.2.A19.3 + description: "Am \xE4u\xDFeren Paketfilter SOLLTE bei ausgehenden Verbindungen\ + \ f\xFCr TCP eine zuf\xE4llige Generierung von Initial Sequence Numbers (ISN)\ + \ aktiviert werden, sofern dieses nicht bereits durch Sicherheitsproxies realisiert\ + \ wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 + ref_id: NET.3.2.A20 + name: Absicherung von grundlegenden Internetprotokollen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a20 + ref_id: NET.3.2.A20.1 + description: "Die Protokolle HTTP, SMTP und DNS inklusive ihrer verschl\xFC\ + sselten Versionen SOLLTEN \xFCber protokollspezifische Sicherheitsproxies\ + \ geleitet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 + ref_id: NET.3.2.A21 + name: "Tempor\xE4re Entschl\xFCsselung des Datenverkehrs" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a21 + ref_id: NET.3.2.A21.1 + description: "Verschl\xFCsselte Verbindungen in nicht vertrauensw\xFCrdige Netze\ + \ SOLLTEN tempor\xE4r entschl\xFCsselt werden, um das Protokoll zu verifizieren\ + \ und die Daten auf Schadsoftware zu pr\xFCfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a21.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a21 + ref_id: NET.3.2.A21.2 + description: Hierbei SOLLTEN die rechtlichen Rahmenbedingungen beachtet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a21.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a21 + ref_id: NET.3.2.A21.3 + description: "Die Komponente, die den Datenverkehr tempor\xE4r entschl\xFCsselt,\ + \ SOLLTE unterbinden, dass veraltete Verschl\xFCsselungsoptionen und kryptografische\ + \ Algorithmen benutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a21.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a21 + ref_id: NET.3.2.A21.4 + description: "Der eingesetzte TLS-Proxy SOLLTE pr\xFCfen k\xF6nnen, ob Zertifikate\ + \ vertrauensw\xFCrdig sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a21.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a21 + ref_id: NET.3.2.A21.5 + description: "Ist ein Zertifikat nicht vertrauensw\xFCrdig, SOLLTE es m\xF6\ + glich sein, die Verbindung abzuweisen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a21.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a21 + ref_id: NET.3.2.A21.6 + description: "Eigene Zertifikate SOLLTEN nachr\xFCstbar sein, um auch \u201E\ + interne\u201C Root-Zertifikate konfigurieren und pr\xFCfen zu k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a21.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a21 + ref_id: NET.3.2.A21.7 + description: "Vorkonfigurierte Zertifikate SOLLTEN \xFCberpr\xFCft und entfernt\ + \ werden, wenn sie nicht ben\xF6tigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 + ref_id: NET.3.2.A22 + name: Sichere Zeitsynchronisation + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a22 + ref_id: NET.3.2.A22.1 + description: Die Uhrzeit der Firewall SOLLTE mit einem Network-Time-Protocol + (NTP)-Server synchronisiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a22.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a22 + ref_id: NET.3.2.A22.2 + description: Die Firewall SOLLTE keine externe Zeitsynchronisation zulassen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a23 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 + ref_id: NET.3.2.A23 + name: "System\xFCberwachung und -Auswertung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a23.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a23 + ref_id: NET.3.2.A23.1 + description: "Firewalls SOLLTEN in ein geeignetes System\xFCberwachungs- bzw.\ + \ Monitoringkonzept eingebunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a23.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a23 + ref_id: NET.3.2.A23.2 + description: "Es SOLLTE st\xE4ndig \xFCberwacht werden, ob die Firewall selbst\ + \ sowie die darauf betriebenen Dienste korrekt funktionieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a23.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a23 + ref_id: NET.3.2.A23.3 + description: "Bei Fehlern oder wenn Grenzwerte \xFCberschritten werden, SOLLTE\ + \ das Betriebspersonal alarmiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a23.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a23 + ref_id: NET.3.2.A23.4 + description: "Zudem SOLLTEN automatische Alarmmeldungen generiert werden, die\ + \ bei festgelegten Ereignissen ausgel\xF6st werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a23.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a23 + ref_id: NET.3.2.A23.5 + description: "Protokolldaten oder Statusmeldungen SOLLTEN NUR \xFCber sichere\ + \ Kommunikationswege \xFCbertragen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a24 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 + ref_id: NET.3.2.A24 + name: Revision und Penetrationstests + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a24.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a24 + ref_id: NET.3.2.A24.1 + description: "Die Firewall-Struktur SOLLTE regelm\xE4\xDFig auf bekannte Sicherheitsprobleme\ + \ hin \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a24.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a24 + ref_id: NET.3.2.A24.2 + description: "Es SOLLTEN regelm\xE4\xDFige Penetrationstests und Revisionen\ + \ durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a25 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 + ref_id: NET.3.2.A25 + name: "Erweiterter Integrit\xE4tsschutz f\xFCr die Konfigurationsdateien" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a25.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a25 + ref_id: NET.3.2.A25.1 + description: "Um eine abgest\xFCrzte Firewall wiederherzustellen, SOLLTE sichergestellt\ + \ werden, dass keine alten oder fehlerhaften Konfigurationen (unter anderem\ + \ Access-Listen) benutzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a25.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a25 + ref_id: NET.3.2.A25.2 + description: Dies SOLLTE auch gelten, wenn es bei einem Angriff gelingt, die + Firewall neu zu starten. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a26 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 + ref_id: NET.3.2.A26 + name: Auslagerung von funktionalen Erweiterungen auf dedizierte Hardware + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a26.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a26 + ref_id: NET.3.2.A26.1 + description: Funktionale Erweiterungen der Firewall SOLLTEN auf dedizierte Hard- + und Software ausgelagert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a27 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 + ref_id: NET.3.2.A27 + name: Einsatz verschiedener Firewall-Betriebssysteme und -Produkte in einer + mehrstufigen Firewall-Architektur + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a27.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a27 + ref_id: NET.3.2.A27.1 + description: "In einer mehrstufigen Firewall-Architektur SOLLTEN unterschiedliche\ + \ Betriebssysteme und -Produkte f\xFCr die \xE4u\xDFeren und inneren Firewalls\ + \ eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a28 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 + ref_id: NET.3.2.A28 + name: Zentrale Filterung von aktiven Inhalten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a28.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a28 + ref_id: NET.3.2.A28.1 + description: "Aktive Inhalte SOLLTEN gem\xE4\xDF den Sicherheitszielen der Institution\ + \ zentral gefiltert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a28.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a28 + ref_id: NET.3.2.A28.2 + description: "Daf\xFCr SOLLTE auch der verschl\xFCsselte Datenverkehr entschl\xFC\ + sselt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a28.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a28 + ref_id: NET.3.2.A28.3 + description: "Die erforderlichen Sicherheitsproxies SOLLTEN es unterst\xFCtzen,\ + \ aktive Inhalte zu filtern." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a29 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 + ref_id: NET.3.2.A29 + name: "Einsatz von Hochverf\xFCgbarkeitsl\xF6sungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a29.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a29 + ref_id: NET.3.2.A29.1 + description: "Paketfilter und Application-Level-Gateway SOLLTEN hochverf\xFC\ + gbar ausgelegt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a29.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a29 + ref_id: NET.3.2.A29.2 + description: "Zudem SOLLTEN zwei voneinander unabh\xE4ngige Zugangsm\xF6glichkeiten\ + \ zum externen Netz bestehen, z. B. zwei Internetzug\xE4nge von unterschiedlichen\ + \ Providern." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a29.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a29 + ref_id: NET.3.2.A29.3 + description: "Interne und externe Router sowie alle weiteren beteiligten aktiven\ + \ Komponenten (z. B. Switches) SOLLTEN ebenfalls hochverf\xFCgbar ausgelegt\ + \ sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a29.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a29 + ref_id: NET.3.2.A29.4 + description: "Auch nach einem automatischen Failover SOLLTE die Firewall-Struktur\ + \ die Anforderungen der Sicherheitsrichtlinie erf\xFCllen (Fail safe bzw.\ + \ Fail secure)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a29.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a29 + ref_id: NET.3.2.A29.5 + description: "Die Funktion SOLLTE anhand von zahlreichen Parametern \xFCberwacht\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a29.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a29 + ref_id: NET.3.2.A29.6 + description: "Die Funktions\xFCberwachung SOLLTE sich nicht auf ein einzelnes\ + \ Kriterium st\xFCtzen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a29.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a29 + ref_id: NET.3.2.A29.7 + description: "Protokolldateien und Warnmeldungen der Hochverf\xFCgbarkeitsl\xF6\ + sung SOLLTEN regelm\xE4\xDFig kontrolliert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a30 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 + ref_id: NET.3.2.A30 + name: "Bandbreitenmanagement f\xFCr kritische Anwendungen und Dienste" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a30.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a30 + ref_id: NET.3.2.A30.1 + description: "Um Bandbreitenmanagement f\xFCr kritische Anwendungen und Dienste\ + \ zu gew\xE4hrleisten, SOLLTEN Paketfilter mit entsprechender Bandbreitenmanagementfunktion\ + \ an Netz\xFCberg\xE4ngen und am \xDCbergang zwischen verschiedenen Sicherheitszonen\ + \ eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a31 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 + ref_id: NET.3.2.A31 + name: Einsatz von zertifizierten Produkten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a31.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a31 + ref_id: NET.3.2.A31.1 + description: Firewalls mit einer Sicherheitsevaluierung nach Common Criteria + SOLLTEN eingesetzt werden, mindestens mit der Stufe EAL4. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a32 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2 + ref_id: NET.3.2.A32 + name: "Notfallvorsorge f\xFCr die Firewall" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a32.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a32 + ref_id: NET.3.2.A32.1 + description: Diagnose und Fehlerbehebungen SOLLTEN bereits im Vorfeld geplant + und vorbereitet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a32.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a32 + ref_id: NET.3.2.A32.2 + description: "F\xFCr typische Ausfallszenarien SOLLTEN entsprechende Handlungsanweisungen\ + \ definiert und in regelm\xE4\xDFigen Abst\xE4nden aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a32.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a32 + ref_id: NET.3.2.A32.3 + description: "Die Notfallplanungen f\xFCr die Firewall SOLLTEN mit der \xFC\ + bergreifenden St\xF6rungs- und Notfallvorsorge abgestimmt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a32.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a32 + ref_id: NET.3.2.A32.4 + description: Sie SOLLTEN sich am allgemeinen Notfallvorsorgekonzept orientieren + (siehe DER.4 Notfallmanagement). + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a32.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a32 + ref_id: NET.3.2.A32.5 + description: Es SOLLTE sichergestellt sein, dass die Dokumentationen zur Notfallvorsorge + und die darin enthaltenen Handlungsanweisungen in Papierform vorliegen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a32.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.2.a32 + ref_id: NET.3.2.A32.6 + description: "Das im Rahmen der Notfallvorsorge beschriebene Vorgehen SOLLTE\ + \ regelm\xE4\xDFig geprobt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net + ref_id: NET.3.3 + name: VPN + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3 + ref_id: NET.3.3.A1 + name: Planung des VPN-Einsatzes + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a1 + ref_id: NET.3.3.A1.1 + description: "Die Einf\xFChrung eines VPN MUSS sorgf\xE4ltig geplant werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a1 + ref_id: NET.3.3.A1.2 + description: "Dabei M\xDCSSEN die Verantwortlichkeiten f\xFCr den VPN-Betrieb\ + \ festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a1 + ref_id: NET.3.3.A1.3 + description: "Es M\xDCSSEN f\xFCr das VPN zudem Benutzendengruppen und deren\ + \ Berechtigungen geplant werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a1 + ref_id: NET.3.3.A1.4 + description: "Ebenso MUSS definiert werden, wie erteilte, ge\xE4nderte oder\ + \ entzogene Zugriffsberechtigungen zu dokumentieren sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3 + ref_id: NET.3.3.A2 + name: Auswahl von VPN-Dienstleistenden + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a2 + ref_id: NET.3.3.A2.1 + description: "Falls VPN-Dienstleistende eingesetzt werden, M\xDCSSEN mit diesen\ + \ Service Level Agreements (SLAs) ausgehandelt und schriftlich dokumentiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a2 + ref_id: NET.3.3.A2.2 + description: "Es MUSS regelm\xE4\xDFig kontrolliert werden, ob die VPN-Dienstleistenden\ + \ die vereinbarten SLAs einhalten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3 + ref_id: NET.3.3.A3 + name: "Sichere Installation von VPN-Endger\xE4ten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a3 + ref_id: NET.3.3.A3.1 + description: "Wird eine Appliance eingesetzt, die eine Wartung ben\xF6tigt,\ + \ MUSS es daf\xFCr einen g\xFCltigen Wartungsvertrag geben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a3 + ref_id: NET.3.3.A3.2 + description: Es MUSS sichergestellt werden, dass nur qualifiziertes Personal + VPN-Komponenten installiert. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a3 + ref_id: NET.3.3.A3.3 + description: Die Installation der VPN-Komponenten sowie eventuelle Abweichungen + von den Planungsvorgaben SOLLTEN dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a3 + ref_id: NET.3.3.A3.4 + description: "Die Funktionalit\xE4t und die gew\xE4hlten Sicherheitsmechanismen\ + \ des VPN M\xDCSSEN vor Inbetriebnahme gepr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3 + ref_id: NET.3.3.A4 + name: Sichere Konfiguration eines VPN + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a4 + ref_id: NET.3.3.A4.1 + description: "F\xFCr alle VPN-Komponenten MUSS eine sichere Konfiguration festgelegt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a4 + ref_id: NET.3.3.A4.2 + description: Diese SOLLTE geeignet dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a4 + ref_id: NET.3.3.A4.3 + description: "Auch MUSS die f\xFCr die Administration zust\xE4ndige Person regelm\xE4\ + \xDFig kontrollieren, ob die Konfiguration noch sicher ist und sie eventuell\ + \ f\xFCr alle IT-Systeme anpassen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3 + ref_id: NET.3.3.A5 + name: "Sperrung nicht mehr ben\xF6tigter VPN-Zug\xE4nge" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a5 + ref_id: NET.3.3.A5.1 + description: "Es MUSS regelm\xE4\xDFig gepr\xFCft werden, ob ausschlie\xDFlich\ + \ berechtigte IT-Systeme und Benutzende auf das VPN zugreifen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a5 + ref_id: NET.3.3.A5.2 + description: "Nicht mehr ben\xF6tigte VPN-Zug\xE4nge M\xDCSSEN zeitnah deaktiviert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a5 + ref_id: NET.3.3.A5.3 + description: "Der VPN-Zugriff MUSS auf die ben\xF6tigten Benutzungszeiten beschr\xE4\ + nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3 + ref_id: NET.3.3.A6 + name: "Durchf\xFChrung einer VPN-Anforderungsanalyse" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a6 + ref_id: NET.3.3.A6.1 + description: "Eine Anforderungsanalyse SOLLTE durchgef\xFChrt werden, um f\xFC\ + r das jeweilige VPN die Einsatzszenarien zu bestimmen und daraus Anforderungen\ + \ an die ben\xF6tigten Hard- und Software-Komponenten ableiten zu k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a6 + ref_id: NET.3.3.A6.2 + description: 'In der Anforderungsanalyse SOLLTEN folgende Punkte betrachtet + werden:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a6 + ref_id: NET.3.3.A6.3 + description: "\u2022 Gesch\xE4ftsprozesse beziehungsweise Fachaufgaben," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a6 + ref_id: NET.3.3.A6.4 + description: "\u2022 Zugriffswege," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a6 + ref_id: NET.3.3.A6.5 + description: "\u2022 Identifikations- und Authentisierungsverfahren," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a6.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a6 + ref_id: NET.3.3.A6.6 + description: "\u2022 Benutzende und ihre Berechtigungen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a6.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a6 + ref_id: NET.3.3.A6.7 + description: "\u2022 Zust\xE4ndigkeiten sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a6.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a6 + ref_id: NET.3.3.A6.8 + description: "\u2022 Meldewege." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3 + ref_id: NET.3.3.A7 + name: Planung der technischen VPN-Realisierung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a7 + ref_id: NET.3.3.A7.1 + description: "Neben der allgemeinen Planung (siehe NET.3.3.A1 Planung des VPN-Einsatzes)\ + \ SOLLTEN die technischen Aspekte eines VPN sorgf\xE4ltig geplant werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a7 + ref_id: NET.3.3.A7.2 + description: "So SOLLTEN f\xFCr das VPN die Verschl\xFCsselungsverfahren, VPN-Endpunkte,\ + \ erlaubten Zugangsprotokolle, Dienste und Ressourcen festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a7 + ref_id: NET.3.3.A7.3 + description: "Zudem SOLLTEN die Teilnetze definiert werden, die \xFCber das\ + \ VPN erreichbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a7 + ref_id: NET.3.3.A7.4 + description: (siehe NET.1.1 Netzarchitektur und -design). + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3 + ref_id: NET.3.3.A8 + name: Erstellung einer Sicherheitsrichtlinie zur VPN-Nutzung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a8 + ref_id: NET.3.3.A8.1 + description: Eine Sicherheitsrichtlinie zur VPN-Nutzung SOLLTE erstellt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a8 + ref_id: NET.3.3.A8.2 + description: Diese SOLLTE allen Mitarbeitenden bekannt gegeben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a8 + ref_id: NET.3.3.A8.3 + description: "Die in der Sicherheitsrichtlinie beschriebenen Sicherheitsma\xDF\ + nahmen SOLLTEN im Rahmen von Schulungen erl\xE4utert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a8 + ref_id: NET.3.3.A8.4 + description: "Wird f\xFCr Mitarbeitende ein VPN-Zugang eingerichtet, SOLLTE\ + \ diesen ein Merkblatt mit den wichtigsten VPN-Sicherheitsmechanismen ausgeh\xE4\ + ndigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a8.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a8 + ref_id: NET.3.3.A8.5 + description: Alle VPN-Benutzende SOLLTEN verpflichtet werden, die Sicherheitsrichtlinien + einzuhalten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3 + ref_id: NET.3.3.A9 + name: Geeignete Auswahl von VPN-Produkten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a9 + ref_id: NET.3.3.A9.1 + description: "Bei der Auswahl von VPN-Produkten SOLLTEN die Anforderungen der\ + \ Institutionen an die Vernetzung unterschiedlicher Standorte und die Anbindung\ + \ von mobilen Mitarbeitenden oder Telearbeitspl\xE4tzen ber\xFCcksichtigt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3 + ref_id: NET.3.3.A10 + name: Sicherer Betrieb eines VPN + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a10 + ref_id: NET.3.3.A10.1 + description: "F\xFCr VPNs SOLLTE ein Betriebskonzept erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a10 + ref_id: NET.3.3.A10.2 + description: "Darin SOLLTEN die Aspekte Qualit\xE4tsmanagement, \xDCberwachung,\ + \ Wartung, Schulung und Autorisierung beachtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3 + ref_id: NET.3.3.A11 + name: Sichere Anbindung eines externen Netzes + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a11 + ref_id: NET.3.3.A11.1 + description: "Es SOLLTE sichergestellt werden, dass VPN-Verbindungen NUR zwischen\ + \ den daf\xFCr vorgesehenen IT-Systemen und Diensten aufgebaut werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a11 + ref_id: NET.3.3.A11.2 + description: "Die dabei eingesetzten Tunnel-Protokolle SOLLTEN f\xFCr den Einsatz\ + \ geeignet sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3 + ref_id: NET.3.3.A12 + name: Konten- und Zugriffsverwaltung bei Fernzugriff-VPNs + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a12 + ref_id: NET.3.3.A12.1 + description: "F\xFCr Fernzugriff-VPNs SOLLTE eine zentrale und konsistente Konten-\ + \ und Zugriffsverwaltung gew\xE4hrleistet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3 + ref_id: NET.3.3.A13 + name: Integration von VPN-Komponenten in eine Firewall + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a13 + ref_id: NET.3.3.A13.1 + description: Die VPN-Komponenten SOLLTEN in die Firewall integriert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.3.a13 + ref_id: NET.3.3.A13.2 + description: Dies SOLLTE dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net + ref_id: NET.3.4 + name: 'Network Access Control ' + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 + ref_id: NET.3.4.A1 + name: "Begr\xFCndete Entscheidung f\xFCr den Einsatz von NAC" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a1 + ref_id: NET.3.4.A1.1 + description: "Die Institution MUSS grunds\xE4tzlich entscheiden, ob und in welchem\ + \ Umfang NAC eingesetzt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a1 + ref_id: NET.3.4.A1.2 + description: "Die getroffene Entscheidung MUSS zusammen mit einer Begr\xFCndung\ + \ an geeigneter Stelle dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a1 + ref_id: NET.3.4.A1.3 + description: "Wird NAC eingesetzt, M\xDCSSEN folgende Punkte geeignet thematisiert\ + \ werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a1 + ref_id: NET.3.4.A1.4 + description: "\u2022 Netzbereiche und Netzkomponenten, f\xFCr die NAC realisiert\ + \ werden soll" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a1 + ref_id: NET.3.4.A1.5 + description: "\u2022 Umgang mit internen Endger\xE4ten und Fremdendger\xE4ten" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a1 + ref_id: NET.3.4.A1.6 + description: "\u2022 Ber\xFCcksichtigung von NAC bei der Beschaffung von neuen\ + \ IT-Systemen" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 + ref_id: NET.3.4.A2 + name: Planung des Einsatzes von NAC + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2 + ref_id: NET.3.4.A2.1 + description: Der Einsatz von NAC SOLLTE umfassend und detailliert geplant werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2 + ref_id: NET.3.4.A2.2 + description: 'Die Planung SOLLTE dabei mindestens folgende Aspekte beinhalten:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2 + ref_id: NET.3.4.A2.3 + description: "\u2022 Erstellung von Anforderungskatalogen f\xFCr Endger\xE4\ + te, Access-Switches und RADIUS-Server" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2 + ref_id: NET.3.4.A2.4 + description: "\u2022 Pr\xFCfung und gegebenenfalls Erg\xE4nzung des IT-Asset-Managements" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2 + ref_id: NET.3.4.A2.5 + description: "\u2022 Erstellung eines spezifischen NAC-Konzepts" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2 + ref_id: NET.3.4.A2.6 + description: "\u2022 Festlegung von Beschaffungs-, Betriebs-, und Incident-Prozessen\ + \ f\xFCr NAC-Komponenten" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2 + ref_id: NET.3.4.A2.7 + description: "\u2022 Migrationsplanung" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2 + ref_id: NET.3.4.A2.8 + description: "\u2022 Monitoring und Logging der NAC-L\xF6sung" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2 + ref_id: NET.3.4.A2.9 + description: "\u2022 Anbindung an sicherheitsrelevante Komponenten (z. B. Firewalls,\ + \ Virenschutz, Schwachstellen-Scanner, System zur zentralen Detektion und\ + \ automatisierten Echtzeit\xFCberpr\xFCfung von Ereignismeldungen)" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a2 + ref_id: NET.3.4.A2.10 + description: "\u2022 Zusatzfunktionen wie Profiling, Endger\xE4tekonformit\xE4\ + tspr\xFCfung und Integrit\xE4tspr\xFCfung sowie Verschl\xFCsselung auf Layer\ + \ 2 mit MACsec" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 + ref_id: NET.3.4.A3 + name: "Erstellung eines Anforderungskatalogs f\xFCr NAC" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a3 + ref_id: NET.3.4.A3.1 + description: "Die Anforderungen an die NAC-L\xF6sung SOLLTEN in einem Anforderungskatalog\ + \ erhoben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a3 + ref_id: NET.3.4.A3.2 + description: "Der Anforderungskatalog SOLLTE dabei die grundlegenden funktionalen\ + \ Anforderungen umfassen und alle NAC-Komponenten (z. B. Endger\xE4te, Access-Switches\ + \ und RADIUS-Server) adressieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a3 + ref_id: NET.3.4.A3.3 + description: "Der Anforderungskatalog SOLLTE mit allen betroffenen Fachabteilungen,\ + \ den zust\xE4ndigen Gremien und den Richtlinien der Institution abgestimmt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a3 + ref_id: NET.3.4.A3.4 + description: "Der Anforderungskatalog SOLLTE regelm\xE4\xDFig und bei Bedarf\ + \ aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a3 + ref_id: NET.3.4.A3.5 + description: "Wenn NAC-Komponenten beschafft werden, SOLLTEN zugeh\xF6rige Anforderungen\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a3.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a3 + ref_id: NET.3.4.A3.6 + description: "Die NAC-L\xF6sung SOLLTE auf Basis des Anforderungskatalogs getestet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 + ref_id: NET.3.4.A4 + name: Erstellung eines NAC-Konzepts + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4 + ref_id: NET.3.4.A4.1 + description: "Ausgehend von der Entscheidung aus NET.3.4.A1 Begr\xFCndete Entscheidung\ + \ f\xFCr den Einsatz von NAC und den Anforderungen an die NAC-L\xF6sung SOLLTE\ + \ ein NAC-Konzept erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4 + ref_id: NET.3.4.A4.2 + description: "Das NAC-Konzept SOLLTE mit dem Segmentierungskonzept gem\xE4\xDF\ + \ NET.1.1 Netzarchitektur und -design abgestimmt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4 + ref_id: NET.3.4.A4.3 + description: "Dar\xFCber hinaus SOLLTEN im NAC-Konzept mindestens folgende Aspekte\ + \ festgelegt werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4 + ref_id: NET.3.4.A4.4 + description: "\u2022 Netzbereiche, in denen NAC eingef\xFChrt wird" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4 + ref_id: NET.3.4.A4.5 + description: "\u2022 Authentisierung und Autorisierung" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4 + ref_id: NET.3.4.A4.6 + description: "\u2022 Nutzung von Zusatzfunktionen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4 + ref_id: NET.3.4.A4.7 + description: "\u2022 Konfigurationsvorgaben f\xFCr betroffene Endger\xE4tetypen,\ + \ Access-Switches und WLAN Access Points sowie WLAN Controller" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4 + ref_id: NET.3.4.A4.8 + description: "\u2022 Aufbau der RADIUS-Infrastruktur und das grundlegende Regelwerk\ + \ f\xFCr NAC" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4 + ref_id: NET.3.4.A4.9 + description: "\u2022 Anbindung an externe Sicherheitskomponenten wie Firewalls\ + \ oder Virenschutz" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4 + ref_id: NET.3.4.A4.10 + description: "\u2022 Anbindung an Verzeichnisdienste Das NAC-Konzept SOLLTE\ + \ alle technischen und organisatorischen Vorgaben beschreiben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4 + ref_id: NET.3.4.A4.11 + description: Insbesondere SOLLTEN alle relevanten Prozesse und die Migration + thematisiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a4 + ref_id: NET.3.4.A4.12 + description: "Das NAC-Konzept SOLLTE regelm\xE4\xDFig gepr\xFCft und bei Bedarf\ + \ aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 + ref_id: NET.3.4.A5 + name: "Anpassung von Prozessen f\xFCr Endger\xE4te bez\xFCglich NAC" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a5 + ref_id: NET.3.4.A5.1 + description: "F\xFCr die Endger\xE4te, die in die NAC-L\xF6sung eingebunden\ + \ werden, SOLLTE NAC in allen relevanten Prozessen angemessen ber\xFCcksichtigt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a5 + ref_id: NET.3.4.A5.2 + description: "Insbesondere SOLLTEN die Prozesse zu Inbetriebnahme, Austausch,\ + \ \xC4nderungen und St\xF6rungen angepasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a5 + ref_id: NET.3.4.A5.3 + description: "F\xFCr Supplicant-Software, Konfiguration und Identit\xE4tsmerkmale\ + \ (z. B. Zertifikate), die f\xFCr NAC auf den Endger\xE4ten erforderlich sind,\ + \ SOLLTE ein Prozess festgelegt werden, um die Endger\xE4te zentral zu verwalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 + ref_id: NET.3.4.A6 + name: "Festlegung von Notfallprozessen f\xFCr NAC" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a6 + ref_id: NET.3.4.A6.1 + description: "Wird die Wirkkette bei NAC gest\xF6rt, SOLLTE erwogen werden,\ + \ die Sicherheitsmechanismen von NAC tempor\xE4r in angemessenem Umfang zu\ + \ deaktivieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a6 + ref_id: NET.3.4.A6.2 + description: "Bei den Notfallma\xDFnahmen, die im Notfallprozess festgelegt\ + \ werden, SOLLTEN Produktivit\xE4t und Informationssicherheit gegeneinander\ + \ abgewogen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a6 + ref_id: NET.3.4.A6.3 + description: "Dabei SOLLTEN die folgenden Optionen von Notfallma\xDFnahmen (RADIUS-down-Policies)\ + \ betrachtet werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a6 + ref_id: NET.3.4.A6.4 + description: "\u2022 Die bestehenden Verbindungen werden durch Mechanismen wie\ + \ tempor\xE4re Aussetzung der Reauthentisierung beibehalten, jedoch werden\ + \ alle neuen Anmeldeversuche abgelehnt, so dass das vorgesehene Sicherheitsniveau\ + \ erhalten bleibt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a6 + ref_id: NET.3.4.A6.5 + description: "\u2022 Die dynamische Zuordnung wird f\xFCr neue Anmeldeversuche\ + \ ausgesetzt und stattdessen eine feste, vordefinierte Zuweisung von Netzsegmenten\ + \ durch Access-Switches vorgenommen, so dass zumindest grundlegend kommuniziert\ + \ werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a6.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a6 + ref_id: NET.3.4.A6.6 + description: "\u2022 NAC wird auf den Access-Switches oder auf einzelnen Ports\ + \ eines Access-Switches deaktiviert, so dass weiterhin uneingeschr\xE4nkt\ + \ kommuniziert werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a6.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a6 + ref_id: NET.3.4.A6.7 + description: RADIUS-down-Policies SOLLTEN mit den relevanten Sicherheitsrichtlinien + der Institution abgestimmt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 + ref_id: NET.3.4.A7 + name: Nutzung sicherer Authentisierungsverfahren + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a7 + ref_id: NET.3.4.A7.1 + description: "Endger\xE4te SOLLTEN sichere Authentisierungsverfahren nach dem\ + \ Stand der Technik verwenden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a7 + ref_id: NET.3.4.A7.2 + description: "Endger\xE4te SOLLTEN automatisiert auf Basis von Zertifikaten\ + \ oder Zugangskonten authentisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a7 + ref_id: NET.3.4.A7.3 + description: "Unsichere Authentisierungsverfahren SOLLTEN nur in begr\xFCndeten\ + \ Ausnahmef\xE4llen genutzt und die Entscheidung dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 + ref_id: NET.3.4.A8 + name: "Festlegung der NAC-spezifischen Rollen und Berechtigungen f\xFCr den\ + \ RADIUS-Server" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a8 + ref_id: NET.3.4.A8.1 + description: "Im Rollen- und Berechtigungskonzept f\xFCr den RADIUS-Server SOLLTEN\ + \ die verschiedenen Gruppen ber\xFCcksichtigt werden, die wegen NAC auf einen\ + \ RADIUS-Server zugreifen m\xFCssen, um diesen zu administrieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a8 + ref_id: NET.3.4.A8.2 + description: "Dies SOLLTE insbesondere dann sorgf\xE4ltig geplant werden, wenn\ + \ ein zentraler RADIUS-Server f\xFCr die gesamte Institution bereitgestellt\ + \ wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a8 + ref_id: NET.3.4.A8.3 + description: "Mindestens SOLLTEN die folgenden Gruppen mit NAC-spezifischem\ + \ Zugriff auf den RADIUS-Server zus\xE4tzlich zum allgemeinen IT-Betrieb ber\xFC\ + cksichtigt werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a8 + ref_id: NET.3.4.A8.4 + description: "\u2022 die jeweiligen Organisationseinheiten, die Access-Switches\ + \ (RADIUS-Clients) f\xFCr ihren Netzbereich administrieren" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a8.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a8 + ref_id: NET.3.4.A8.5 + description: "\u2022 die jeweiligen Zust\xE4ndigen f\xFCr Endger\xE4tegruppen,\ + \ die Identit\xE4ten (z. B. MAC-Adressen) ihrer entsprechenden Gruppen verwalten" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a8.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a8 + ref_id: NET.3.4.A8.6 + description: "\u2022 der First-Level-Support, der fehlerhafte RADIUS-Freigaben\ + \ analysiert und gegebenenfalls die entsprechenden Freischaltungen anpasst" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 + ref_id: NET.3.4.A9 + name: Festlegung eines angepassten NAC-Regelwerkes + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a9 + ref_id: NET.3.4.A9.1 + description: "F\xFCr die NAC-L\xF6sung SOLLTE ein NAC-Regelwerk definiert werden,\ + \ das das NAC-Konzept umsetzt und festlegt, wie die Endger\xE4te auf das Netz\ + \ zugreifen d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a9 + ref_id: NET.3.4.A9.2 + description: "Hierin SOLLTE f\xFCr jedes Endger\xE4t bzw. f\xFCr jede Endger\xE4\ + tegruppe festgelegt werden, ob uneingeschr\xE4nkt auf das Netz zugegriffen\ + \ werden darf, ob der Zugriff verweigert wird oder ob nur Segmente mit eingeschr\xE4\ + nkten Kommunikationsm\xF6glichkeiten erreichbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a9 + ref_id: NET.3.4.A9.3 + description: Im NAC-Regelwerk SOLLTE auch festgelegt werden, auf welcher Basis + die Zugangskontrolle erfolgt. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a9 + ref_id: NET.3.4.A9.4 + description: "Hierf\xFCr SOLLTEN f\xFCr alle Endger\xE4te die genutzten Authentisierungsmethoden\ + \ und die Bedingungen f\xFCr eine erfolgreiche Authentisierung festgelegt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 + ref_id: NET.3.4.A10 + name: "Sichere Nutzung von Identit\xE4ten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a10 + ref_id: NET.3.4.A10.1 + description: "F\xFCr die NAC-Authentisierung SOLLTEN individuelle Identit\xE4\ + ten genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a10 + ref_id: NET.3.4.A10.2 + description: "Identit\xE4ten, die von mehr als einem Endger\xE4t verwendet werden,\ + \ SOLLTEN nur in begr\xFCndeten Ausnahmef\xE4llen genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a10 + ref_id: NET.3.4.A10.3 + description: "Alle Informationen, die f\xFCr eine erfolgreiche Authentisierung\ + \ ben\xF6tigt werden, SOLLTEN nach aktuellem Stand der Technik vor unberechtigtem\ + \ Zugriff abgesichert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 + ref_id: NET.3.4.A11 + name: "Sichere Konfiguration der NAC-L\xF6sung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a11 + ref_id: NET.3.4.A11.1 + description: "Alle Komponenten der NAC-L\xF6sung SOLLTEN sicher nach dem Stand\ + \ der Technik konfiguriert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a11 + ref_id: NET.3.4.A11.2 + description: "Hierf\xFCr SOLLTEN entsprechende Standard-Konfigurationen und\ + \ Betriebshandb\xFCcher entwickelt und bereitgestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a11 + ref_id: NET.3.4.A11.3 + description: "Die vorgegebenen und umgesetzten Konfigurationen f\xFCr die Komponenten\ + \ der NAC-L\xF6sung SOLLTEN regelm\xE4\xDFig \xFCberpr\xFCft und gegebenenfalls\ + \ angepasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a11.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a11 + ref_id: NET.3.4.A11.4 + description: "Auf Endger\xE4ten SOLLTEN die Berechtigungen f\xFCr die Benutzenden\ + \ derart eingeschr\xE4nkt werden, dass diese die Konfigurationsparameter f\xFC\ + r den Supplicant nicht manipulieren, den Supplicant nicht deaktivieren und\ + \ die Schl\xFCssel oder Passw\xF6rter f\xFCr NAC nicht auslesen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a11.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a11 + ref_id: NET.3.4.A11.5 + description: "F\xFCr Access-Switches oder f\xFCr einzelne Ports von Access-Switches\ + \ SOLLTE die NAC-Authentisierung nur in begr\xFCndeten und zuvor festgelegten\ + \ Ausnahmef\xE4llen deaktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a11.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a11 + ref_id: NET.3.4.A11.6 + description: "Hierf\xFCr SOLLTEN technische Ma\xDFnahmen genutzt werden, die\ + \ gegebenenfalls durch organisatorische Ma\xDFnahmen erg\xE4nzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 + ref_id: NET.3.4.A12 + name: "Monitoring der NAC-L\xF6sung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a12 + ref_id: NET.3.4.A12.1 + description: "Die zentralen RADIUS-Server und alle Access-Switches mit Authenticator\ + \ sowie alle weiteren zentralen Dienste, die f\xFCr die NAC-L\xF6sung essentiell\ + \ sind, SOLLTEN in ein m\xF6glichst umfassendes und einheitliches Monitoring\ + \ eingebunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a12 + ref_id: NET.3.4.A12.2 + description: "Erg\xE4nzend zum allgemeinen Monitoring gem\xE4\xDF OPS.1.1.1\ + \ Allgemeiner IT-Betrieb SOLLTEN alle NAC-spezifischen Parameter \xFCberwacht\ + \ werden, die die Funktionalit\xE4t der NAC-L\xF6sung oder der entsprechenden\ + \ Dienste sicherstellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a12 + ref_id: NET.3.4.A12.3 + description: "Insbesondere SOLLTE die Verf\xFCgbarkeit des RADIUS-Protokolls\ + \ \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a12 + ref_id: NET.3.4.A12.4 + description: "Hierf\xFCr SOLLTEN RADIUS-Anfragen an aktive Konten erzeugt werden,\ + \ um die gesamte NAC-Wirkkette inklusive der externen Verzeichnisdienste zu\ + \ pr\xFCfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a12.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a12 + ref_id: NET.3.4.A12.5 + description: "F\xFCr die Access-Switches SOLLTE der Status von NAC in das Monitoring\ + \ einbezogen werden, um ein Deaktivieren von NAC zu erkennen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a12.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a12 + ref_id: NET.3.4.A12.6 + description: "Abweichungen von definierten Zust\xE4nden und Grenzwerten SOLLTEN\ + \ dem IT-Betrieb gemeldet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 + ref_id: NET.3.4.A13 + name: "Erstellung von Validierungsvorgaben f\xFCr die NAC-Konfiguration" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a13 + ref_id: NET.3.4.A13.1 + description: "F\xFCr die NAC-L\xF6sung SOLLTEN Validierungsvorgaben erstellt\ + \ werden, um sicherzustellen, dass die NAC-Komponenten das NAC-Konzept angemessen\ + \ umsetzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a13 + ref_id: NET.3.4.A13.2 + description: "Die Validierungsvorgaben SOLLTEN insbesondere die unterschiedlichen\ + \ Funktionsdetails f\xFCr die verschiedenen NAC-Komponenten ber\xFCcksichtigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a13 + ref_id: NET.3.4.A13.3 + description: "Die Validierung SOLLTE als Soll-Ist-Vergleich regelm\xE4\xDFig\ + \ sowie bei Bedarf f\xFCr die zentralen NAC-Komponenten und die Access-Switches\ + \ durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 + ref_id: NET.3.4.A14 + name: "Umsetzung weiterer Ma\xDFnahmen bei Verwendung von MAC-Adress-Authentisierung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a14 + ref_id: NET.3.4.A14.1 + description: "Endger\xE4te, die nicht \xFCber eine sichere EAP-Methode authentisiert\ + \ werden k\xF6nnen und anhand ihrer MAC-Adresse identifiziert werden, SOLLTEN\ + \ NICHT als vertrauensw\xFCrdige Endger\xE4te eingestuft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a14 + ref_id: NET.3.4.A14.2 + description: "Der Netzzugang SOLLTE auf das notwendige Minimum beschr\xE4nkt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a14 + ref_id: NET.3.4.A14.3 + description: "Hierf\xFCr SOLLTEN weitere Ma\xDFnahmen wie Nutzung von Kommunikationsbeschr\xE4\ + nkungen oder nachgelagertes Endger\xE4te-Profiling der Endger\xE4te-Aktivit\xE4\ + ten umgesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 + ref_id: NET.3.4.A15 + name: "Anbindung Virenschutz an NAC-L\xF6sung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a15 + ref_id: NET.3.4.A15.1 + description: "Jedes Endger\xE4t SOLLTE auf Schadsoftware gepr\xFCft werden,\ + \ bevor es an das Netz der Institution angebunden wird und bevor es auf IT-Systeme\ + \ der Institution zugreift." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a15 + ref_id: NET.3.4.A15.2 + description: "Hierf\xFCr SOLLTE f\xFCr die NAC-Endger\xE4te ein geeigneter Virenschutz\ + \ mit der NAC-Authentisierung und Autorisierung gekoppelt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a15 + ref_id: NET.3.4.A15.3 + description: "Falls das Virenschutzprogramm Schadsoftware meldet, SOLLTE die\ + \ NAC-L\xF6sung mit geeigneten Ma\xDFnahmen reagieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 + ref_id: NET.3.4.A16 + name: Protokollierung der Ereignisse + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a16 + ref_id: NET.3.4.A16.1 + description: "Erg\xE4nzend zu OPS.1.1.5 Protokollierung SOLLTEN Status\xE4nderungen\ + \ an NAC-Komponenten sowie alle relevanten NAC-spezifischen, gegebenenfalls\ + \ sicherheitskritischen Ereignisse protokolliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a16 + ref_id: NET.3.4.A16.2 + description: "Zus\xE4tzlich SOLLTEN alle schreibenden Konfigurationszugriffe\ + \ auf die zentralen NAC-Komponenten protokolliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a16 + ref_id: NET.3.4.A16.3 + description: "Es SOLLTE festgelegt werden, welche Protokollierungsdaten mit\ + \ welchen Details erfasst und welche Daten auf einer zentralen Protokollierungsinstanz\ + \ zusammengef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a16.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a16 + ref_id: NET.3.4.A16.4 + description: "Protokollierungsdaten SOLLTEN NUR \xFCber sichere Kommunikationswege\ + \ \xFCbertragen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a16.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a16 + ref_id: NET.3.4.A16.5 + description: "Sicherheitskritische Ereignisse wie RADIUS-down oder eine ungew\xF6\ + hnliche Anzahl von RADIUS-Anfragen SOLLTEN zu einem automatischen Alarm f\xFC\ + hren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 + ref_id: NET.3.4.A17 + name: Positionierung des RADIUS-Servers im Management-Bereich + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a17 + ref_id: NET.3.4.A17.1 + description: "Der RADIUS-Server SOLLTE in einem gesch\xFCtzten Netzsegment innerhalb\ + \ des Management-Bereichs (siehe NET.1.1 Netzarchitektur und -design) positioniert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a17 + ref_id: NET.3.4.A17.2 + description: "Kommunikationsanfragen an den RADIUS-Server SOLLTEN nur von vertrauensw\xFC\ + rdigen Quellen zugelassen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a17 + ref_id: NET.3.4.A17.3 + description: "Diese SOLLTEN auf ein Minimum eingeschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a17.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a17 + ref_id: NET.3.4.A17.4 + description: "Der RADIUS-Server SOLLTE NICHT direkt mit Endger\xE4ten kommunizieren,\ + \ sondern ausschlie\xDFlich \xFCber den Authenticator auf den Access-Switches." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a17.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a17 + ref_id: NET.3.4.A17.5 + description: Anfragen der Access-Switches SOLLTEN nur aus dem gemeinsamen Management-Netzsegment + akzeptiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 + ref_id: NET.3.4.A18 + name: "Dokumentation der NAC-L\xF6sung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a18 + ref_id: NET.3.4.A18.1 + description: "Die NAC-L\xF6sung mit allen NAC-Komponenten SOLLTE geeignet dokumentiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a18 + ref_id: NET.3.4.A18.2 + description: "Aus der Dokumentation SOLLTE mindestens hervorgehen, auf welchen\ + \ Komponenten und Endger\xE4ten NAC mit welchen Parametern genutzt wird und\ + \ welche Abh\xE4ngigkeiten zwischen den Komponenten existieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a18 + ref_id: NET.3.4.A18.3 + description: "Auch SOLLTE das Regelwerk f\xFCr Authentisierung und Autorisierung,\ + \ das in Software-Code vorliegt, erg\xE4nzend in vereinfachter, verst\xE4\ + ndlicher Form dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a18.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a18 + ref_id: NET.3.4.A18.4 + description: "Dar\xFCber hinaus SOLLTE die Konfiguration aller NAC-Komponenten,\ + \ gegebenenfalls kategorisiert, umfassend dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a18.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a18 + ref_id: NET.3.4.A18.5 + description: "Die Dokumentation SOLLTE bei jeder \xC4nderung fortgeschrieben\ + \ und stets aktuell gehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a18.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a18 + ref_id: NET.3.4.A18.6 + description: "Die Aktualit\xE4t der Dokumentation SOLLTE regelm\xE4\xDFig und\ + \ bei Bedarf gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 + ref_id: NET.3.4.A19 + name: "Ordnungsgem\xE4\xDFe Verwaltung von Identit\xE4ten zur Authentisierung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a19 + ref_id: NET.3.4.A19.1 + description: "Alle Identit\xE4ten, die via NAC einen Zugang zum Netz der Institution\ + \ erm\xF6glichen, SOLLTEN geeignet gesch\xFCtzt und verwaltet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a19 + ref_id: NET.3.4.A19.2 + description: 'Hierzu SOLLTEN mindestens die folgenden Punkte festgelegt werden:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a19.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a19 + ref_id: NET.3.4.A19.3 + description: "\u2022 Handhabung und Schutz von Zertifikaten" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a19.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a19 + ref_id: NET.3.4.A19.4 + description: "\u2022 Pr\xFCfen, Sperren und L\xF6schen von nicht mehr genutzten\ + \ Identit\xE4ten" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a19.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a19 + ref_id: NET.3.4.A19.5 + description: "\u2022 Prozess und Schnittstellen zur Sperrung einer Identit\xE4\ + t" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 + ref_id: NET.3.4.A20 + name: Einsatz von MACsec + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a20 + ref_id: NET.3.4.A20.1 + description: "F\xFCr jedes Datenpaket SOLLTE die Datenintegrit\xE4t gew\xE4\ + hrleistet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a20.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a20 + ref_id: NET.3.4.A20.2 + description: "Dar\xFCber hinaus SOLLTE erwogen werden, diese Daten zu verschl\xFC\ + sseln." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a20.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a20 + ref_id: NET.3.4.A20.3 + description: "Hierf\xFCr SOLLTE MACsec gem\xE4\xDF IEEE 802.1AE genutzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a20.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a20 + ref_id: NET.3.4.A20.4 + description: "Access-Switches und Endger\xE4te, die MACsec nicht unterst\xFC\ + tzen oder f\xFCr die MACsec nicht eingerichtet werden soll, SOLLTEN erfasst\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a20.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a20 + ref_id: NET.3.4.A20.5 + description: "F\xFCr diese SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob\ + \ die Ausschlussgr\xFCnde noch gelten." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 + ref_id: NET.3.4.A21 + name: "Einsatz von Endger\xE4tekonformit\xE4tspr\xFCfung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a21 + ref_id: NET.3.4.A21.1 + description: "Bevor ein Endger\xE4t an das Netz der Institution angebunden wird\ + \ und bevor es auf IT-Systeme der Institution zugreift, SOLLTE gepr\xFCft\ + \ werden, ob es den Konformit\xE4tsvorgaben der Institution gen\xFCgt (Compliance\ + \ Check)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a21.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a21 + ref_id: NET.3.4.A21.2 + description: "F\xFCr jedes Endger\xE4t SOLLTE festgelegt werden, welche Vorgaben\ + \ das Endger\xE4t einzuhalten hat." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a21.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a21 + ref_id: NET.3.4.A21.3 + description: "Endger\xE4te, die nicht den Konformit\xE4tsvorgaben der Institution\ + \ gen\xFCgen, SOLLTEN nur stark eingeschr\xE4nkt auf das Netz der Institution\ + \ zugreifen d\xFCrfen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a21.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a21 + ref_id: NET.3.4.A21.4 + description: "Die NAC-L\xF6sung SOLLTE mit einem Werkzeug zur Konformit\xE4\ + tspr\xFCfung verbunden werden, das eine Bewertung des Zustands der Endger\xE4\ + te vornimmt und an die NAC-L\xF6sung meldet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a21.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a21 + ref_id: NET.3.4.A21.5 + description: "Auf dieser Basis SOLLTE die NAC-L\xF6sung steuern, wie die Endger\xE4\ + te auf das Netz zugreifen d\xFCrfen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 + ref_id: NET.3.4.A22 + name: NAC-Autorisierung mit Mikrosegmenten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a22 + ref_id: NET.3.4.A22.1 + description: "Endger\xE4te mit \xE4hnlichem Anforderungsprofil und identischem\ + \ Schutzbedarf SOLLTEN via NAC getrennten Netzsegmenten zugewiesen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a22.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a22 + ref_id: NET.3.4.A22.2 + description: "Dar\xFCber hinaus SOLLTE erwogen werden, ob mit NAC eine Mikrosegmentierung\ + \ der zu autorisierenden Endger\xE4te umgesetzt wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a23 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 + ref_id: NET.3.4.A23 + name: "Einsatz von autarken RADIUS-Servern f\xFCr unterschiedliche Netzbereiche\ + \ und Funktionen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a23.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a23 + ref_id: NET.3.4.A23.1 + description: "F\xFCr NAC SOLLTEN dedizierte und autarke RADIUS-Server eingesetzt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a23.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a23 + ref_id: NET.3.4.A23.2 + description: Weitere Funktionen wie VPN-Zugriffsregelung SOLLTEN NICHT gemeinsam + mit NAC-Funktionen auf einem gemeinsamen RADIUS-Server realisiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a23.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a23 + ref_id: NET.3.4.A23.3 + description: "Zus\xE4tzlich SOLLTE erwogen werden, dedizierte und autarke RADIUS-Server\ + \ f\xFCr unterschiedliche Netze bereitzustellen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a23.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a23 + ref_id: NET.3.4.A23.4 + description: "Hier SOLLTEN insbesondere getrennte RADIUS-Server erwogen werden,\ + \ um Office- und Produktions-Endger\xE4te oder LAN- und WLAN-Endger\xE4te\ + \ getrennt abzusichern." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a23.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a23 + ref_id: NET.3.4.A23.5 + description: "Dar\xFCber hinaus SOLLTE erwogen werden, f\xFCr einzelne Netz-\ + \ oder Funktionsbereiche eigenst\xE4ndige RADIUS-Server einzurichten." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a24 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 + ref_id: NET.3.4.A24 + name: Nutzung sicherer Protokolle zwischen NAC-Komponenten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a24.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a24 + ref_id: NET.3.4.A24.1 + description: "F\xFCr die Kommunikation zwischen den zentralen NAC-Komponenten\ + \ SOLLTEN grunds\xE4tzlich Protokolle verwendet werden, die nach dem Stand\ + \ der Technik als sicher gelten." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a24.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a24 + ref_id: NET.3.4.A24.2 + description: "F\xFCr die Kommunikation zwischen dem RADIUS-Server und einem\ + \ gegebenenfalls genutzten Verzeichnisdienst SOLLTEN nur sichere Protokolle\ + \ eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a24.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a24 + ref_id: NET.3.4.A24.3 + description: "Dar\xFCber hinaus SOLLTE auch gepr\xFCft werden, ob f\xFCr die\ + \ Kommunikation zwischen dem RADIUS-Server und Access-Switches sichere Protokolle\ + \ eingesetzt werden sollen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a25 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 + ref_id: NET.3.4.A25 + name: "Einbindung der NAC-L\xF6sung in ein Sicherheitsmonitoring" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a25.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a25 + ref_id: NET.3.4.A25.1 + description: "Die NAC-L\xF6sung SOLLTE in ein Sicherheitsmonitoring eingebunden\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a25.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a25 + ref_id: NET.3.4.A25.2 + description: "Dies SOLLTE zumindest f\xFCr die zentralen NAC-Komponenten und\ + \ f\xFCr die weiteren zentralen Dienste, die von der NAC-L\xF6sung genutzt\ + \ werden, umgesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a25.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a25 + ref_id: NET.3.4.A25.3 + description: "NAC-spezifische Sicherheitsereignisse (z. B. h\xE4ufige Zur\xFC\ + ckweisung von Anfragen oder die Mehrfachverwendung von Identit\xE4ten) SOLLTEN\ + \ in eine Alarmierung \xFCbernommen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a25.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a25 + ref_id: NET.3.4.A25.4 + description: "Wird f\xFCr die IT der Institution ein System zur zentralen Detektion\ + \ und automatisierten Echtzeit\xFCberpr\xFCfung von Ereignismeldungen eingesetzt,\ + \ SOLLTEN die zentralen NAC-Komponenten sowie gegebenenfalls die weiteren\ + \ zentralen Dienste hierin eingebunden werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a26 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 + ref_id: NET.3.4.A26 + name: "Hochverf\xFCgbarkeit der zentralen NAC-Komponenten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a26.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a26 + ref_id: NET.3.4.A26.1 + description: Die zentralen NAC-Komponenten SOLLTEN redundant ausgelegt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a26.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a26 + ref_id: NET.3.4.A26.2 + description: "Alle weiteren zentralen Dienste, die f\xFCr die Funktionsf\xE4\ + higkeit der NAC-L\xF6sung essentiell sind, SOLLTEN auch hochverf\xFCgbar ausgelegt\ + \ sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a26.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a26 + ref_id: NET.3.4.A26.3 + description: "Die f\xFCr die Hochverf\xFCgbarkeit relevanten Parameter SOLLTEN\ + \ in Monitoring und Protokollierung integriert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a26.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a26 + ref_id: NET.3.4.A26.4 + description: "Status\xE4nderungen und Warnmeldungen SOLLTEN regelm\xE4\xDFig\ + \ kontrolliert und gegebenenfalls in eine Alarmierung einbezogen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a26.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a26 + ref_id: NET.3.4.A26.5 + description: "Die RADIUS-down-Policies, mit denen eine Kommunikation auch bei\ + \ ausgefallenem RADIUS-Dienst gew\xE4hrleistet wird, SOLLTEN das Sicherheitsniveau\ + \ des Netzes NICHT senken." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a27 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4 + ref_id: NET.3.4.A27 + name: "Pr\xFCfung der Notwendigkeit f\xFCr MAC-Adress-Authentisierung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a27.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a27 + ref_id: NET.3.4.A27.1 + description: "Eine Authentisierung \xFCber MAC-Adressen SOLLTE nur dort genutzt\ + \ werden, wo dies technisch unumg\xE4nglich ist und die Sicherheitsrichtlinien\ + \ dies zulassen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a27.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a27 + ref_id: NET.3.4.A27.2 + description: "Es SOLLTE im Vorfeld gepr\xFCft werden, ob solche Ausnahmef\xE4\ + lle notwendig sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a27.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a27 + ref_id: NET.3.4.A27.3 + description: "Ist dies der Fall, SOLLTEN die Ausnahmef\xE4lle auf den minimalen\ + \ Einsatzbereich eingeschr\xE4nkt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a27.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a27 + ref_id: NET.3.4.A27.4 + description: "Die Begr\xFCndung und das Ergebnis der Pr\xFCfung SOLLTEN dokumentiert\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a27.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.3.4.a27 + ref_id: NET.3.4.A27.5 + description: "Sie SOLLTEN regelm\xE4\xDFig und bei Bedarf nochmals verifiziert\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net + ref_id: NET.4.1 + name: TK-Anlagen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 + ref_id: NET.4.1.A1 + name: "Anforderungsanalyse und Planung f\xFCr TK-Anlagen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a1 + ref_id: NET.4.1.A1.1 + description: "Vor der Beschaffung oder Erweiterung einer TK-Anlage MUSS eine\ + \ Anforderungsanalyse durchgef\xFChrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a1 + ref_id: NET.4.1.A1.2 + description: Im Rahmen dieser Analyse MUSS festgelegt werden, welche Funktionen + die TK-Anlage bieten soll. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a1 + ref_id: NET.4.1.A1.3 + description: "Hierbei M\xDCSSEN neben der Auspr\xE4gung der TK-Anlage auch die\ + \ Anzahl der ben\xF6tigten Verbindungen und Anschl\xFCsse festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a1 + ref_id: NET.4.1.A1.4 + description: "Auch eine m\xF6gliche Erweiterbarkeit und grundlegenden Sicherheitsfunktionen\ + \ M\xDCSSEN bei der Planung betrachtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a1 + ref_id: NET.4.1.A1.5 + description: "Dar\xFCber hinaus M\xDCSSEN je nach Bedarf Support- und Wartungsvertr\xE4\ + ge f\xFCr die TK-Anlage ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a1 + ref_id: NET.4.1.A1.6 + description: "Basierend auf den ermittelten Anforderungen MUSS anschlie\xDF\ + end der Einsatz der TK-Anlage geplant und dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a1.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a1 + ref_id: NET.4.1.A1.7 + description: "Die zuvor ermittelten Anforderungen und die Planung M\xDCSSEN\ + \ mit den entsprechenden IT-Zust\xE4ndigen abgestimmt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 + ref_id: NET.4.1.A2 + name: Auswahl von TK-Diensteanbietenden + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a2 + ref_id: NET.4.1.A2.1 + description: "Um mit Personen telefonieren zu k\xF6nnen, deren Telefone nicht\ + \ an die institutionseigene TK-Anlage angeschlossen sind, MUSS ein TK-Diensteanbieter\ + \ oder TK-Diensteanbieterin beauftragt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a2 + ref_id: NET.4.1.A2.2 + description: "Dabei M\xDCSSEN die Anforderungen an die TK-Anlage, die Sicherheitsrichtlinie\ + \ sowie vertragliche und finanzielle Aspekte ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a2 + ref_id: NET.4.1.A2.3 + description: "Alle vereinbarten Leistungen M\xDCSSEN eindeutig schriftlich festgehalten\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 + ref_id: NET.4.1.A5 + name: Protokollierung bei TK-Anlagen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a5 + ref_id: NET.4.1.A5.1 + description: "Bei TK-Anlagen M\xDCSSEN geeignete Daten erfasst und bei Bedarf\ + \ ausgewertet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a5 + ref_id: NET.4.1.A5.2 + description: "Protokolliert werden M\xDCSSEN zus\xE4tzlich alle systemtechnischen\ + \ Eingriffe, die Programmver\xE4nderungen beinhalten, sowie Auswertungsl\xE4\ + ufe, Daten\xFCbermittlungen und Datenzugriffe." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a5 + ref_id: NET.4.1.A5.3 + description: "Alle Administrationsarbeiten an der TK-Anlage M\xDCSSEN ebenfalls\ + \ protokolliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a5 + ref_id: NET.4.1.A5.4 + description: "Die protokollierten Informationen SOLLTEN regelm\xE4\xDFig kontrolliert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 + ref_id: NET.4.1.A6 + name: "Erstellung einer Sicherheitsrichtlinie f\xFCr TK-Anlagen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a6 + ref_id: NET.4.1.A6.1 + description: "Basierend auf der institutionsweiten Sicherheitsrichtlinie SOLLTE\ + \ eine eigene Sicherheitsrichtlinie f\xFCr die TK-Anlage erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a6 + ref_id: NET.4.1.A6.2 + description: "Diese Sicherheitsrichtlinie f\xFCr die TK-Anlage SOLLTE grundlegende\ + \ Aussagen zur Vertraulichkeit, Verf\xFCgbarkeit und Integrit\xE4t beinhalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a6 + ref_id: NET.4.1.A6.3 + description: "Sie SOLLTE allen Personen, die an der Beschaffung, dem Aufbau,\ + \ der Umsetzung und dem Betrieb der TK-Anlage beteiligt sind, bekannt sein\ + \ und die Grundlage f\xFCr deren Arbeit darstellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a6 + ref_id: NET.4.1.A6.4 + description: Die zentralen sicherheitstechnischen Anforderungen an die TK-Anlage + sowie das zu erreichende Sicherheitsniveau SOLLTEN in der institutionsweite + Sicherheitsrichtlinie aufgenommen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 + ref_id: NET.4.1.A7 + name: Geeignete Aufstellung der TK-Anlage + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a7 + ref_id: NET.4.1.A7.1 + description: Die TK-Anlage SOLLTE in einem geeigneten Raum untergebracht sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a7 + ref_id: NET.4.1.A7.2 + description: "Die Schnittstellen an der TK-Anlage, besonders nicht genutzte\ + \ Schnittstellen, SOLLTEN geeignet gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 + ref_id: NET.4.1.A8 + name: "Einschr\xE4nkung und Sperrung nicht ben\xF6tigter oder sicherheitskritischer\ + \ Leistungsmerkmale" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a8 + ref_id: NET.4.1.A8.1 + description: "Der Umfang der verf\xFCgbaren Leistungsmerkmale SOLLTE auf das\ + \ notwendige Minimum beschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a8 + ref_id: NET.4.1.A8.2 + description: "Nur die ben\xF6tigten Leistungsmerkmale SOLLTEN freigeschaltet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a8 + ref_id: NET.4.1.A8.3 + description: "Die nicht ben\xF6tigten oder wegen ihres Missbrauchspotenzials\ + \ als kritisch eingestuften Leistungsmerkmale SOLLTEN so weit wie m\xF6glich\ + \ an der zentralen Anlage abgeschaltet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a8 + ref_id: NET.4.1.A8.4 + description: "Zus\xE4tzliche Schutzma\xDFnahmen SOLLTEN f\xFCr die auf den Endger\xE4\ + ten gespeicherten und abrufbaren vertraulichen Daten ergriffen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 + ref_id: NET.4.1.A9 + name: Schulung zur sicheren Nutzung von TK-Anlagen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a9 + ref_id: NET.4.1.A9.1 + description: "Die Benutzenden der TK-Anlage SOLLTEN in die korrekte Verwendung\ + \ von Diensten und Ger\xE4ten eingewiesen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a9 + ref_id: NET.4.1.A9.2 + description: "Den Benutzenden der TK-Anlage SOLLTEN alle notwendigen Unterlagen\ + \ zur Bedienung der entsprechenden Endger\xE4te zur Verf\xFCgung gestellt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a9 + ref_id: NET.4.1.A9.3 + description: "S\xE4mtliche Auff\xE4lligkeiten und Unregelm\xE4\xDFigkeiten der\ + \ TK-Anlage SOLLTEN den entsprechenden Verantwortlichen gemeldet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 + ref_id: NET.4.1.A10 + name: Dokumentation und Revision der TK-Anlagenkonfiguration + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a10 + ref_id: NET.4.1.A10.1 + description: Die TK-Anlagenkonfiguration SOLLTE geeignet dokumentiert und fortgeschrieben + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a10 + ref_id: NET.4.1.A10.2 + description: "Die TK-Anlagenkonfiguration SOLLTE in regelm\xE4\xDFigen Abst\xE4\ + nden \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a10 + ref_id: NET.4.1.A10.3 + description: "Das Ergebnis der Pr\xFCfung SOLLTE zumindest den Informationssicherheitsbeauftragten,\ + \ den Fachverantwortlichen und anderen verantwortlichen Mitarbeitenden vorgelegt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 + ref_id: NET.4.1.A11 + name: "Au\xDFerbetriebnahme von TK-Anlagen und -ger\xE4ten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a11 + ref_id: NET.4.1.A11.1 + description: "Die Aussonderung von TK-Anlagen und angeschlossenen TK-Ger\xE4\ + ten SOLLTE in der Sicherheitsrichtlinie ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a11 + ref_id: NET.4.1.A11.2 + description: "Alle Daten, die auf TK-Anlagen oder Endger\xE4ten gespeichert\ + \ sind, SOLLTEN vor der Aussonderung sicher gel\xF6scht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 + ref_id: NET.4.1.A12 + name: Datensicherung der Konfigurationsdateien + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a12 + ref_id: NET.4.1.A12.1 + description: "Die Konfigurations- und Anwendungsdaten der eingesetzten TK-Anlage\ + \ SOLLTEN bei der Ersteinrichtung und anschlie\xDFend regelm\xE4\xDFig gesichert\ + \ werden, insbesondere nachdem sich diese ge\xE4ndert haben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a12 + ref_id: NET.4.1.A12.2 + description: "Es SOLLTE regelm\xE4\xDFig gepr\xFCft und dokumentiert werden,\ + \ ob die Sicherungen der TK-Anlagen auch tats\xE4chlich als Basis f\xFCr eine\ + \ Systemwiederherstellung genutzt werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a12 + ref_id: NET.4.1.A12.3 + description: "Es SOLLTE ein Datensicherungskonzept f\xFCr TK-Anlagen erstellt\ + \ und mit den allgemeinen Konzepten der Datensicherung f\xFCr Server und Netzkomponenten\ + \ abgestimmt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 + ref_id: NET.4.1.A13 + name: Beschaffung von TK-Anlagen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a13 + ref_id: NET.4.1.A13.1 + description: Bei der Beschaffung von TK-Anlagen SOLLTEN die Ergebnisse der Anforderungsanalyse + und der Planung miteinbezogen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a13 + ref_id: NET.4.1.A13.2 + description: "Bei der Beschaffung einer TK-Anlage SOLLTE beachtet werden, dass\ + \ sie neben digitalen auch analoge Teilnehmeranschl\xFCsse anbieten sollte." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a13 + ref_id: NET.4.1.A13.3 + description: "Dar\xFCber hinaus SOLLTEN vorhandene Kommunikationssysteme und\ + \ -komponenten bei der Beschaffung ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 + ref_id: NET.4.1.A14 + name: "Notfallvorsorge f\xFCr TK-Anlagen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a14 + ref_id: NET.4.1.A14.1 + description: "Es SOLLTE ein Notfallplan f\xFCr die TK-Anlage erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a14 + ref_id: NET.4.1.A14.2 + description: Dieser SOLLTE in das Notfallkonzept der Institution integriert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a14 + ref_id: NET.4.1.A14.3 + description: "Es SOLLTEN regelm\xE4\xDFig Notfall\xFCbungen bez\xFCglich der\ + \ TK-Anlagen durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 + ref_id: NET.4.1.A15 + name: Notrufe bei einem Ausfall der TK-Anlage + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a15 + ref_id: NET.4.1.A15.1 + description: "Es SOLLTE sichergestellt werden, dass auch bei einem Ausfall der\ + \ TK-Anlage Notrufe aus der Institution abgesetzt werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a15 + ref_id: NET.4.1.A15.2 + description: "Die Notrufm\xF6glichkeiten SOLLTEN von allen R\xE4umen aus auf\ + \ ausreichend kurzen Wegen erreichbar sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 + ref_id: NET.4.1.A16 + name: "Sicherung von Endger\xE4ten in frei zug\xE4nglichen R\xE4umen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a16 + ref_id: NET.4.1.A16.1 + description: "Der Funktionsumfang der Endger\xE4te, die in frei zug\xE4nglichen\ + \ R\xE4umen aufgestellt werden sollen, SOLLTE eingeschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a16 + ref_id: NET.4.1.A16.2 + description: "Ist dies nicht m\xF6glich, SOLLTE das Endger\xE4t in geeigneter\ + \ Weise vor unbefugtem Zugriff gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 + ref_id: NET.4.1.A17 + name: Wartung von TK-Anlagen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a17 + ref_id: NET.4.1.A17.1 + description: "Die Ger\xE4te zur Wartung und Konfiguration der TK-Anlage SOLLTEN\ + \ mit Passw\xF6rtern bzw. PINs abgesichert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 + ref_id: NET.4.1.A18 + name: "Erh\xF6hter Zugangsschutz" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a18 + ref_id: NET.4.1.A18.1 + description: Die TK-Anlage SOLLTE in einem separaten sowie geeignet gesicherten + Raum untergebracht sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a18 + ref_id: NET.4.1.A18.2 + description: "Der Zutritt und Zugang zur TK-Anlage SOLLTE nur einem eingeschr\xE4\ + nkten Personenkreis m\xF6glich sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a18 + ref_id: NET.4.1.A18.3 + description: Externe SOLLTEN NUR beaufsichtigt Zugang zur Anlage erhalten. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1 + ref_id: NET.4.1.A19 + name: Redundanter Anschluss + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a19 + ref_id: NET.4.1.A19.1 + description: Der Anschluss der TK-Anlage SOLLTE redundant ausgelegt sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.1.a19 + ref_id: NET.4.1.A19.2 + description: "Bei IP-basierten TK-Anlagen SOLLTE ein zus\xE4tzlicher PSTN-Anschluss\ + \ vorhanden sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net + ref_id: NET.4.2 + name: VoIP + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2 + ref_id: NET.4.2.A1 + name: Planung des VoIP-Einsatzes + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a1 + ref_id: NET.4.2.A1.1 + description: "Die Bedingungen, unter denen VoIP eingesetzt werden soll, M\xDC\ + SSEN festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a1 + ref_id: NET.4.2.A1.2 + description: "Es MUSS unter anderem entschieden werden, ob vollst\xE4ndig oder\ + \ partiell auf VoIP umgestiegen werden soll." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a1 + ref_id: NET.4.2.A1.3 + description: "Besondere Anforderungen an die Verf\xFCgbarkeit von VoIP oder\ + \ an die Vertraulichkeit und Integrit\xE4t der Telefonate bzw. der Signalisierungsinformationen\ + \ SOLLTEN vorab ermittelt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a1 + ref_id: NET.4.2.A1.4 + description: "Geeignete Signalisierungs- und Medientransportprotokolle M\xDC\ + SSEN vor dem Einsatz ausgew\xE4hlt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a1 + ref_id: NET.4.2.A1.5 + description: "Es SOLLTE entschieden werden, ob und wie die VoIP-Infrastruktur\ + \ an \xF6ffentliche (Daten-)Netze angebunden werden soll." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a1 + ref_id: NET.4.2.A1.6 + description: "Die Kapazit\xE4ten und das Design von vorhandenen Datennetzen\ + \ SOLLTEN bei der Planung ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2 + ref_id: NET.4.2.A3 + name: "Sichere Administration und Konfiguration von VoIP-Endger\xE4ten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a3 + ref_id: NET.4.2.A3.1 + description: "Nicht ben\xF6tigte Funktionen der Endger\xE4te M\xDCSSEN deaktiviert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a3 + ref_id: NET.4.2.A3.2 + description: "Die Konfigurationseinstellungen D\xDCRFEN NICHT unberechtigt ge\xE4\ + ndert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a3 + ref_id: NET.4.2.A3.3 + description: "Alle Sicherheitsfunktionen der Endger\xE4te SOLLTEN vor dem produktiven\ + \ Einsatz getestet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a3 + ref_id: NET.4.2.A3.4 + description: Die eingesetzten Sicherheitsmechanismen und die verwendeten Parameter + SOLLTEN dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2 + ref_id: NET.4.2.A4 + name: "Einschr\xE4nkung der Erreichbarkeit \xFCber VoIP" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a4 + ref_id: NET.4.2.A4.1 + description: "Es MUSS entschieden werden, wie externe Gespr\xE4chspartner und\ + \ -partnerinnen auf die VoIP-Architektur zugreifen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a4 + ref_id: NET.4.2.A4.2 + description: "Es MUSS verhindert werden, dass IT-Systeme aus unsicheren Netzen\ + \ direkte Datenverbindungen auf die VoIP-Komponenten der Institution aufbauen\ + \ k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a4 + ref_id: NET.4.2.A4.3 + description: "Wenn alle ein- und ausgehenden Verbindungen \xFCber ein zentrales\ + \ IT-System abgewickelt werden sollen, SOLLTE sichergestellt werden, dass\ + \ alle Signalisierungs- und Sprachinformationen zwischen dem \xF6ffentlichen\ + \ und dem privaten Datennetz nur \xFCber dieses autorisierte IT-System ausgetauscht\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2 + ref_id: NET.4.2.A5 + name: Sichere Konfiguration der VoIP-Middleware + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a5 + ref_id: NET.4.2.A5.1 + description: "Die VoIP-Komponenten M\xDCSSEN so konfiguriert sein, dass sie\ + \ den Schutzbedarf angemessen erf\xFCllen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a5 + ref_id: NET.4.2.A5.2 + description: "Die Default-Konfigurationen der VoIP-Middleware M\xDCSSEN vor\ + \ der produktiven Inbetriebnahme angepasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a5 + ref_id: NET.4.2.A5.3 + description: "Alle Installations- und Konfigurationsschritte SOLLTEN so dokumentiert\ + \ werden, dass die Installation und Konfiguration durch sachkundige Dritte\ + \ anhand der Dokumentation nachvollzogen und wiederholt werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a5 + ref_id: NET.4.2.A5.4 + description: "Alle nicht ben\xF6tigten Dienste der VoIP-Middleware M\xDCSSEN\ + \ deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2 + ref_id: NET.4.2.A7 + name: "Erstellung einer Sicherheitsrichtlinie f\xFCr VoIP" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a7 + ref_id: NET.4.2.A7.1 + description: Die zentralen sicherheitstechnischen Anforderungen an VoIP sowie + das zu erreichende Sicherheitsniveau SOLLTEN in der institutionsweiten Sicherheitsrichtlinie + aufgenommen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a7 + ref_id: NET.4.2.A7.2 + description: In dieser Sicherheitsrichtlinie SOLLTEN alle allgemeinen sicherheitstechnischen + Vorgaben konkretisiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a7 + ref_id: NET.4.2.A7.3 + description: "Au\xDFerdem SOLLTEN in der Richtlinie die Vorgaben f\xFCr den\ + \ Betrieb und die Nutzung der VoIP-Komponenten geregelt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a7 + ref_id: NET.4.2.A7.4 + description: Hierbei SOLLTEN auch die verschiedenen VoIP-Funktionen, wie zum + Beispiel Voicemails, betrachtet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a7 + ref_id: NET.4.2.A7.5 + description: "Die VoIP-Sicherheitsrichtlinie SOLLTE allen beteiligten Personen\ + \ und Gruppen zug\xE4nglich und bekannt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2 + ref_id: NET.4.2.A8 + name: "Verschl\xFCsselung von VoIP" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a8 + ref_id: NET.4.2.A8.1 + description: "Es SOLLTE entschieden werden, ob und welche Sprach- und Signalisierungsinformationen\ + \ verschl\xFCsselt werden sollen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a8 + ref_id: NET.4.2.A8.2 + description: "Generell SOLLTEN alle VoIP-Datenpakete, die das gesicherte LAN\ + \ verlassen, durch geeignete Sicherheitsmechanismen gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a8 + ref_id: NET.4.2.A8.3 + description: "Die Benutzenden SOLLTEN \xFCber die Nutzung der VoIP-Verschl\xFC\ + sselung informiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2 + ref_id: NET.4.2.A9 + name: Geeignete Auswahl von VoIP-Komponenten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a9 + ref_id: NET.4.2.A9.1 + description: Bevor VoIP-Komponenten beschafft werden, SOLLTE eine Anforderungsliste + erstellt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a9 + ref_id: NET.4.2.A9.2 + description: "Anhand der Anforderungsliste SOLLTEN die am Markt erh\xE4ltlichen\ + \ Produkte bewertet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a9 + ref_id: NET.4.2.A9.3 + description: Diese Anforderungsliste SOLLTE alle Merkmale zur Erreichung des + angestrebten Sicherheitsniveaus umfassen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a9 + ref_id: NET.4.2.A9.4 + description: "Es SOLLTE geregelt werden, wie die am Markt erh\xE4ltlichen Produkte\ + \ gem\xE4\xDF der Anforderungsliste bewertet werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2 + ref_id: NET.4.2.A11 + name: "Sicherer Umgang mit VoIP-Endger\xE4ten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a11 + ref_id: NET.4.2.A11.1 + description: "Benutzende, die VoIP-Endger\xE4te einsetzen, SOLLTEN \xFCber die\ + \ grundlegenden VoIP-Gef\xE4hrdungen und Sicherheitsma\xDFnahmen informiert\ + \ sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a11 + ref_id: NET.4.2.A11.2 + description: "Au\xDFerdem SOLLTEN sie geeignete Passw\xF6rter zur Absicherung\ + \ von Voicemails ausw\xE4hlen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2 + ref_id: NET.4.2.A12 + name: "Sichere Au\xDFerbetriebnahme von VoIP-Komponenten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a12 + ref_id: NET.4.2.A12.1 + description: "Wenn VoIP-Komponenten au\xDFer Betrieb genommen oder ersetzt werden,\ + \ SOLLTEN alle sicherheitsrelevanten Informationen von den Ger\xE4ten gel\xF6\ + scht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a12 + ref_id: NET.4.2.A12.2 + description: "Nach dem L\xF6schvorgang SOLLTE \xFCberpr\xFCft werden, ob die\ + \ Daten auch tats\xE4chlich erfolgreich entfernt wurden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a12 + ref_id: NET.4.2.A12.3 + description: "Vertrauliche Informationen SOLLTEN auch von Backup-Medien gel\xF6\ + scht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a12 + ref_id: NET.4.2.A12.4 + description: "Alle Beschriftungen, insbesondere der Endger\xE4te, SOLLTEN vor\ + \ der Entsorgung entfernt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a12.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a12 + ref_id: NET.4.2.A12.5 + description: "Es SOLLTE fr\xFChzeitig mit Herstellenden, Vertreibenden beziehungsweise\ + \ Service-Unternehmen gekl\xE4rt werden, welche Ma\xDFnahmen zur L\xF6schung\ + \ sicherheitsrelevanter Informationen mit den Vertrags- und Garantiebedingungen\ + \ vereinbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2 + ref_id: NET.4.2.A13 + name: "Anforderungen an eine Firewall f\xFCr den Einsatz von VoIP" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a13 + ref_id: NET.4.2.A13.1 + description: "Es SOLLTE \xFCberpr\xFCft werden, ob die bestehende Firewall f\xFC\ + r den Einsatz von VoIP angepasst werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a13 + ref_id: NET.4.2.A13.2 + description: "Ist dies nicht der Fall, SOLLTE eine zus\xE4tzliche Firewall hierf\xFC\ + r beschafft und installiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2 + ref_id: NET.4.2.A14 + name: "Verschl\xFCsselung der Signalisierung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a14 + ref_id: NET.4.2.A14.1 + description: "Die Integrit\xE4t und Vertraulichkeit der Signalisierungsinformationen\ + \ SOLLTE durch geeignete kryptografische Verfahren gew\xE4hrleistet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a14 + ref_id: NET.4.2.A14.2 + description: "Nicht nur die Nutzdaten, sondern auch die Authentisierungsdaten\ + \ SOLLTEN durchg\xE4ngig verschl\xFCsselt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a14 + ref_id: NET.4.2.A14.3 + description: "Der Zugriff auf das VoIP-Gateway SOLLTE durch VoIP-Adressen und\ + \ H.323-Identit\xE4ten so weit wie m\xF6glich eingeschr\xE4nkt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a14.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a14 + ref_id: NET.4.2.A14.4 + description: "Es SOLLTEN zus\xE4tzlich Ende-zu-Ende-Sicherheitsmechanismen f\xFC\ + r den Medientransport und die Signalisierung benutzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a14.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a14 + ref_id: NET.4.2.A14.5 + description: "Es SOLLTE dokumentiert werden, wie die Signalisierung gesch\xFC\ + tzt wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2 + ref_id: NET.4.2.A15 + name: Sicherer Medientransport mit SRTP + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a15 + ref_id: NET.4.2.A15.1 + description: "Mediendaten und Informationen zur Steuerung dieser Daten, die\ + \ \xFCber das Real-Time Transport Protocol (RTP) \xFCbertragen werden, SOLLTEN\ + \ in geeigneter Weise gesch\xFCtzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a15 + ref_id: NET.4.2.A15.2 + description: "Die Nutzdaten SOLLTEN durch den Einsatz von Secure Real-Time Transport\ + \ Protocol (SRTP) beziehungsweise Secure Real-Time Control Protocol (SRTCP)\ + \ gesch\xFCtzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a15 + ref_id: NET.4.2.A15.3 + description: Die sicherheitsrelevanten Optionen der Implementierung des Protokolls + SOLLTEN dokumentiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2 + ref_id: NET.4.2.A16 + name: Trennung des Daten- und VoIP-Netzes + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a16 + ref_id: NET.4.2.A16.1 + description: Das VoIP-Netz SOLLTE in geeigneter Weise vom Datennetz getrennt + werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a16 + ref_id: NET.4.2.A16.2 + description: "Es SOLLTE geregelt werden, wie mit Ger\xE4ten umzugehen ist, die\ + \ auf das VoIP- und Datennetz zugreifen m\xFCssen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.2.a16 + ref_id: NET.4.2.A16.3 + description: "VoIP-Endger\xE4te in einem VoIP-Netz SOLLTEN NUR die vorgesehenen\ + \ VoIP-Verbindungen zu anderen IT-Systemen aufbauen k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net + ref_id: NET.4.3 + name: "Faxger\xE4te und Faxserver" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3 + ref_id: NET.4.3.A1 + name: "Geeignete Aufstellung eines Faxger\xE4tes" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a1 + ref_id: NET.4.3.A1.1 + description: "Faxger\xE4te M\xDCSSEN so aufgestellt werden, dass eingegangene\ + \ Faxsendungen nicht von Unberechtigten eingesehen oder entnommen werden k\xF6\ + nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a1 + ref_id: NET.4.3.A1.2 + description: "Der Aufstellungsort SOLLTE zudem danach ausgew\xE4hlt werden,\ + \ dass ausreichend dimensionierte Telekommunikationsleitungen bzw. -kan\xE4\ + le vorhanden sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a1 + ref_id: NET.4.3.A1.3 + description: "Der Aufstellungsort MUSS \xFCber einen geeigneten Netzanschluss\ + \ f\xFCr das Faxger\xE4t verf\xFCgen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a1 + ref_id: NET.4.3.A1.4 + description: "Faxger\xE4te D\xDCRFTEN NICHT an nicht daf\xFCr vorgesehene Netzanschl\xFC\ + sse angeschlossen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3 + ref_id: NET.4.3.A2 + name: "Informationen f\xFCr Mitarbeitende \xFCber die Faxnutzung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a2 + ref_id: NET.4.3.A2.1 + description: "Alle Mitarbeitenden M\xDCSSEN auf die Besonderheiten der Informations\xFC\ + bermittlung per Fax hingewiesen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a2 + ref_id: NET.4.3.A2.2 + description: "Sie M\xDCSSEN auch dar\xFCber informiert sein, dass die Rechtsverbindlichkeit\ + \ einer Faxsendung stark eingeschr\xE4nkt ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a2 + ref_id: NET.4.3.A2.3 + description: "Eine verst\xE4ndliche Bedienungsanleitung MUSS am Faxger\xE4t\ + \ ausliegen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a2 + ref_id: NET.4.3.A2.4 + description: Die Benutzenden SOLLTEN mindestens eine Kurzanleitung zur eingesetzten + Faxclient-Software des Faxservers erhalten. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a2 + ref_id: NET.4.3.A2.5 + description: "Au\xDFerdem MUSS eine Anweisung zur korrekten Faxnutzung ausliegen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3 + ref_id: NET.4.3.A3 + name: Sicherer Betrieb eines Faxservers + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a3 + ref_id: NET.4.3.A3.1 + description: Bevor ein Faxserver in Betrieb genommen wird, SOLLTE eine Testphase + erfolgen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a3 + ref_id: NET.4.3.A3.2 + description: "Konfigurationsparameter sowie alle \xC4nderungen an der Konfiguration\ + \ eines Faxservers SOLLTEN dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a3 + ref_id: NET.4.3.A3.3 + description: "Die Archivierung und L\xF6schung von Faxdaten SOLLTEN geregelt\ + \ sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a3 + ref_id: NET.4.3.A3.4 + description: "Au\xDFerdem MUSS regelm\xE4\xDFig die Verbindung vom Faxserver\ + \ zur TK-Anlage beziehungsweise zum \xF6ffentlichen Telefonnetz auf ihre Funktion\ + \ gepr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a3 + ref_id: NET.4.3.A3.5 + description: "Es MUSS au\xDFerdem sichergestellt werden, dass der Faxserver\ + \ ausschlie\xDFlich Fax-Dienste anbietet und nicht f\xFCr weitere Dienste\ + \ genutzt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a3.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a3 + ref_id: NET.4.3.A3.6 + description: "Alle nicht ben\xF6tigten Leistungsmerkmale und Zug\xE4nge der\ + \ eingesetzten Kommunikationsschnittstellen M\xDCSSEN deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3 + ref_id: NET.4.3.A4 + name: "Erstellung einer Sicherheitsrichtlinie f\xFCr die Faxnutzung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a4 + ref_id: NET.4.3.A4.1 + description: "Vor der Freigabe eines Ger\xE4tes SOLLTE eine Sicherheitsrichtlinie\ + \ f\xFCr die Faxnutzung erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a4 + ref_id: NET.4.3.A4.2 + description: Dort SOLLTE die Einsatzart festgelegt sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a4 + ref_id: NET.4.3.A4.3 + description: "Au\xDFerdem SOLLTE geregelt werden, wie mit Faxeing\xE4ngen und\ + \ -ausg\xE4ngen umzugehen ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a4 + ref_id: NET.4.3.A4.4 + description: Zudem SOLLTE eine Regelung zur Behandlung von nicht zustellbaren + Faxsendungen erstellt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a4 + ref_id: NET.4.3.A4.5 + description: "Au\xDFerdem SOLLTE die Richtlinie Informationen und Anweisungen\ + \ zur Notfallvorsorge und Ausfallsicherheit des Faxbetriebes enthalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3 + ref_id: NET.4.3.A6 + name: "Beschaffung geeigneter Faxger\xE4te und Faxserver" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a6 + ref_id: NET.4.3.A6.1 + description: "Bevor Faxger\xE4te oder Faxserver beschafft werden, SOLLTE eine\ + \ Anforderungsliste erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a6 + ref_id: NET.4.3.A6.2 + description: Anhand dieser Liste SOLLTEN die infrage kommenden Systeme oder + Komponenten bewertet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a6 + ref_id: NET.4.3.A6.3 + description: "Die Anforderungsliste f\xFCr Faxger\xE4te SOLLTE auch sicherheitsrelevante\ + \ Aspekte umfassen, wie den Austausch einer Teilnehmererkennung, die Ausgabe\ + \ von Sendeberichten sowie eine Fehlerprotokollierung und Journalf\xFChrung." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a6 + ref_id: NET.4.3.A6.4 + description: "Zudem SOLLTEN angemessene zus\xE4tzliche Sicherheitsfunktionen\ + \ anhand des Schutzbedarfs ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a6 + ref_id: NET.4.3.A6.5 + description: "Bei einem Faxserver SOLLTEN alle Anforderungen an das IT-System\ + \ einschlie\xDFlich Betriebssystem, Kommunikationskomponenten und Applikationssoftware\ + \ erhoben und ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a6.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a6 + ref_id: NET.4.3.A6.6 + description: "Die M\xF6glichkeit, dass ein Faxserver in ein bestehendes Datennetz\ + \ und in ein Groupware-System integriert werden kann, SOLLTE bei Bedarf ber\xFC\ + cksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3 + ref_id: NET.4.3.A7 + name: Geeignete Kennzeichnung ausgehender Faxsendungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a7 + ref_id: NET.4.3.A7.1 + description: Quelle und Ziel jeder Faxsendung SOLLTEN auf allen ausgehenden + Faxsendungen ersichtlich sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a7 + ref_id: NET.4.3.A7.2 + description: "Wenn diese Informationen nicht aus dem versendeten Dokument ermittelt\ + \ werden k\xF6nnen, SOLLTE ein standardisiertes Faxdeckblatt benutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a7 + ref_id: NET.4.3.A7.3 + description: Generell SOLLTE das Faxdeckblatt mindestens den Namen der Institution + des Absendenden, den Namen des Ansprechpartners bzw. der Ansprechpartnerin, + das Datum, die Seitenanzahl sowie einen Dringlichkeitsvermerk auflisten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a7 + ref_id: NET.4.3.A7.4 + description: "Au\xDFerdem SOLLTE es die Namen und die Institution der Empfangenden\ + \ enthalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a7 + ref_id: NET.4.3.A7.5 + description: "Wenn notwendig, SOLLTE das Faxdeckblatt f\xFCr jedes ausgehende\ + \ Fax angepasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3 + ref_id: NET.4.3.A8 + name: "Geeignete Entsorgung von Fax-Verbrauchsg\xFCtern und - Ersatzteilen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a8 + ref_id: NET.4.3.A8.1 + description: "Alle Fax-Verbrauchsg\xFCter, aus denen Informationen \xFCber die\ + \ versendeten und empfangenen Fax-Dokumente gewonnen werden k\xF6nnen, SOLLTEN\ + \ vor der Entsorgung unkenntlich gemacht werden oder durch eine zuverl\xE4\ + ssige Fachfirma entsorgt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a8 + ref_id: NET.4.3.A8.2 + description: Die gleiche Vorgehensweise SOLLTE auch bei ausgetauschten informationstragenden + Ersatzteilen erfolgen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a8 + ref_id: NET.4.3.A8.3 + description: "Wartungsfirmen, die Faxger\xE4te \xFCberpr\xFCfen oder reparieren,\ + \ SOLLTEN zu einer entsprechenden Handhabung verpflichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a8 + ref_id: NET.4.3.A8.4 + description: "Es SOLLTE regelm\xE4\xDFig kontrolliert werden, ob diese Handhabung\ + \ eingehalten wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3 + ref_id: NET.4.3.A9 + name: Nutzung von Sende- und Empfangsprotokollen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a9 + ref_id: NET.4.3.A9.1 + description: "Die \xDCbertragungsvorg\xE4nge ein- und ausgehender Faxsendungen\ + \ SOLLTEN protokolliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a9 + ref_id: NET.4.3.A9.2 + description: "Dazu SOLLTEN die Kommunikationsjournale markt\xFCblicher Faxger\xE4\ + te genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a9 + ref_id: NET.4.3.A9.3 + description: "Verf\xFCgen die Faxger\xE4te \xFCber Protokollierungsfunktionen,\ + \ SOLLTEN diese aktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a9 + ref_id: NET.4.3.A9.4 + description: Bei einem Faxserver SOLLTE die Protokollierung ebenso aktiviert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a9.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a9 + ref_id: NET.4.3.A9.5 + description: Auch SOLLTE entschieden werden, welche Informationen protokolliert + werden sollen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a9.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a9 + ref_id: NET.4.3.A9.6 + description: "Die Kommunikationsjournale der Faxger\xE4te und die Protokollierungsdateien\ + \ SOLLTEN regelm\xE4\xDFig ausgewertet und archiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a9.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a9 + ref_id: NET.4.3.A9.7 + description: "Sie SOLLTEN stichprobenartig auf Unregelm\xE4\xDFigkeiten gepr\xFC\ + ft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a9.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a9 + ref_id: NET.4.3.A9.8 + description: "Unbefugte SOLLTEN nicht auf die Kommunikationsjournale sowie die\ + \ protokollierten Informationen zugreifen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3 + ref_id: NET.4.3.A10 + name: Kontrolle programmierbarer Zieladressen, Protokolle und Verteilerlisten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a10 + ref_id: NET.4.3.A10.1 + description: "Programmierbare Kurzwahltasten oder gespeicherte Zieladressen\ + \ SOLLTEN regelm\xE4\xDFig daraufhin \xFCberpr\xFCft werden, ob die gew\xFC\ + nschte Faxnummer mit der einprogrammierten Nummer \xFCbereinstimmt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a10 + ref_id: NET.4.3.A10.2 + description: "Nicht mehr ben\xF6tige Faxnummern SOLLTEN gel\xF6scht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a10 + ref_id: NET.4.3.A10.3 + description: "Es SOLLTE in geeigneter Weise dokumentiert werden, wenn ein neuer\ + \ Eintrag aufgenommen oder eine Zielnummer ge\xE4ndert wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3 + ref_id: NET.4.3.A11 + name: "Schutz vor \xDCberlastung des Faxger\xE4tes" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a11 + ref_id: NET.4.3.A11.1 + description: "Es SOLLTEN ausreichend Kommunikationsleitungen bzw. -kan\xE4le\ + \ verf\xFCgbar sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a11 + ref_id: NET.4.3.A11.2 + description: "Bei einem Faxserver SOLLTE das voraussichtliche Faxvolumen abgesch\xE4\ + tzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a11 + ref_id: NET.4.3.A11.3 + description: "Es SOLLTEN entsprechend leistungsf\xE4hige Komponenten ausgew\xE4\ + hlt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a11.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a11 + ref_id: NET.4.3.A11.4 + description: "Die Protokolle von Faxservern SOLLTEN regelm\xE4\xDFig kontrolliert\ + \ werden, um Engp\xE4ssen durch \xDCberlastungen rechtzeitig entgegenzuwirken." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a11.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a11 + ref_id: NET.4.3.A11.5 + description: "Nicht mehr ben\xF6tigte Faxdaten SOLLTEN zeitnah vom Faxserver\ + \ gel\xF6scht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3 + ref_id: NET.4.3.A12 + name: Sperren bestimmter Quell- und Ziel-Faxnummern + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a12 + ref_id: NET.4.3.A12.1 + description: "Unerw\xFCnschte Faxadressen, SOLLTEN blockiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a12 + ref_id: NET.4.3.A12.2 + description: Alternativ SOLLTEN nur bestimmte Rufnummern zugelassen werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a12 + ref_id: NET.4.3.A12.3 + description: "Es SOLLTE gepr\xFCft werden, welcher Ansatz in welcher Situation\ + \ geeignet ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3 + ref_id: NET.4.3.A13 + name: Festlegung berechtigter Faxbedienenden + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a13 + ref_id: NET.4.3.A13.1 + description: "Es SOLLTEN nur wenige Mitarbeitende ausgew\xE4hlt werden, die\ + \ auf das Faxger\xE4t zugreifen d\xFCrfen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a13 + ref_id: NET.4.3.A13.2 + description: Diese Mitarbeitenden SOLLTEN ankommende Faxsendungen an die Empfangenden + verteilen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a13 + ref_id: NET.4.3.A13.3 + description: "Den Mitarbeitenden SOLLTE vermittelt werden, wie sie mit dem Ger\xE4\ + t umgehen und wie sie die erforderlichen Sicherheitsma\xDFnahmen umsetzen\ + \ k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a13.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a13 + ref_id: NET.4.3.A13.4 + description: "Jeder berechtigte Benutzende SOLLTE dar\xFCber unterrichtet werden,\ + \ wer das Faxger\xE4t bedienen darf und wer f\xFCr das Ger\xE4t zust\xE4ndig\ + \ ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3 + ref_id: NET.4.3.A14 + name: Fertigung von Kopien eingehender Faxsendungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a14 + ref_id: NET.4.3.A14.1 + description: "Auf Thermopapier gedruckte Faxsendungen, die l\xE4nger ben\xF6\ + tigt werden, SOLLTEN auf Normalpapier kopiert oder eingescannt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a14 + ref_id: NET.4.3.A14.2 + description: "Es SOLLTE ber\xFCcksichtigt werden, dass auf Thermopapier die\ + \ Farbe schneller verblasst und somit unkenntlich wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a14 + ref_id: NET.4.3.A14.3 + description: Die Kopien oder eingescannten Faxsendungen SOLLTEN in geeigneter + Weise archiviert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3 + ref_id: NET.4.3.A15 + name: "Ank\xFCndigung und R\xFCckversicherung im Umgang mit Faxsendungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a15 + ref_id: NET.4.3.A15.1 + description: "Wichtige Faxsendungen SOLLTEN den Empfangenden angek\xFCndigt\ + \ werden, bevor sie versendet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a15 + ref_id: NET.4.3.A15.2 + description: Dazu SOLLTE festgelegt werden, welche Dokumente vorab angemeldet + werden sollen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a15 + ref_id: NET.4.3.A15.3 + description: "Mitarbeitende, die vertrauliche Fax-Dokumente versenden m\xF6\ + chten, SOLLTEN angewiesen werden, sich den vollst\xE4ndigen Erhalt von den\ + \ Empfangenden best\xE4tigen zu lassen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a15.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a15 + ref_id: NET.4.3.A15.4 + description: "Bei wichtigen oder ungew\xF6hnlichen Faxsendungen SOLLTEN sich\ + \ wiederum Empfangende von den Absendenden best\xE4tigen lassen, dass das\ + \ Fax-Dokument von ihnen stammt und nicht gef\xE4lscht wurde." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a15.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:net.4.3.a15 + ref_id: NET.4.3.A15.5 + description: "Es SOLLTE eine geeignete Kommunikationsform ausgew\xE4hlt werden,\ + \ mit dem die Fax-Dokumente angek\xFCndigt oder best\xE4tigt werden, beispielsweise\ + \ per Telefon." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops + assessable: false + depth: 1 + ref_id: OPS + name: Betrieb + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops + ref_id: OPS.1.1.1 + name: 'Allgemeiner IT-Betrieb ' + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 + ref_id: OPS.1.1.1.A1 + name: "Festlegung der Aufgaben und Zust\xE4ndigkeiten des IT-Betriebs" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a1 + ref_id: OPS.1.1.1.A1.1 + description: "F\xFCr alle betriebenen IT-Komponenten MUSS festgelegt werden,\ + \ welche Aufgaben f\xFCr den IT-Betrieb anfallen und wer daf\xFCr zust\xE4\ + ndig ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a1 + ref_id: OPS.1.1.1.A1.2 + description: "Hierf\xFCr M\xDCSSEN die entsprechenden Rechte, Pflichten, Aufgaben\ + \ mit den hierf\xFCr erforderlichen T\xE4tigkeiten, Befugnisse und zugeh\xF6\ + rigen Prozesse geregelt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a1 + ref_id: OPS.1.1.1.A1.3 + description: "Weiterhin M\xDCSSEN die Schnittstellen und Meldewege sowie das\ + \ Eskalationsmanagement zwischen verschiedenen Betriebseinheiten und gegen\xFC\ + ber anderen organisatorischen Einheiten der Institution festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 + ref_id: OPS.1.1.1.A2 + name: "Festlegung von Rollen und Berechtigungen f\xFCr den IT-Betrieb" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2 + ref_id: OPS.1.1.1.A2.1 + description: "F\xFCr alle betriebenen IT-Komponenten MUSS das jeweilige Rollen-\ + \ und Berechtigungskonzept auch Rollen und zugeh\xF6rige Berechtigungen f\xFC\ + r den IT-Betrieb festlegen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2 + ref_id: OPS.1.1.1.A2.2 + description: "F\xFCr die Betriebsmittel MUSS ebenfalls ein Rollen- und Berechtigungskonzept\ + \ erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2 + ref_id: OPS.1.1.1.A2.3 + description: "Das Rollen- und Berechtigungskonzept f\xFCr den IT-Betrieb MUSS\ + \ die IT-Nutzung von IT-Betriebsaufgaben trennen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2 + ref_id: OPS.1.1.1.A2.4 + description: "Administrationsaufgaben und sonstige Betriebsaufgaben M\xDCSSEN\ + \ durch unterschiedliche Rollen getrennt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2 + ref_id: OPS.1.1.1.A2.5 + description: "Grunds\xE4tzlich SOLLTE der IT-Betrieb f\xFCr unterschiedliche\ + \ Betriebst\xE4tigkeiten unterschiedliche Rollen festlegen, die f\xFCr die\ + \ jeweiligen T\xE4tigkeiten die erforderlichen Berechtigungen besitzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2 + ref_id: OPS.1.1.1.A2.6 + description: "Sammel-Accounts D\xDCRFEN NUR in begr\xFCndeten Ausnahmef\xE4\ + llen eingerichtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2 + ref_id: OPS.1.1.1.A2.7 + description: "Die Rollen und Berechtigungen M\xDCSSEN regelm\xE4\xDFig gepr\xFC\ + ft und auf die aktuellen Gegebenheiten angepasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2 + ref_id: OPS.1.1.1.A2.8 + description: "Insbesondere M\xDCSSEN die Berechtigungen von ausgeschiedenem\ + \ Personal auf den IT-Komponenten entfernt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a2 + ref_id: OPS.1.1.1.A2.9 + description: "Ebenso M\xDCSSEN die Rollen und Berechtigungen gel\xF6scht werden,\ + \ wenn IT-Komponenten au\xDFer Betrieb genommenen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 + ref_id: OPS.1.1.1.A3 + name: "Erstellen von Betriebshandb\xFCchern f\xFCr die betriebene IT" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3 + ref_id: OPS.1.1.1.A3.1 + description: "F\xFCr alle betriebenen IT-Komponenten SOLLTEN die Betriebsaufgaben\ + \ geplant und in Betriebshandb\xFCchern erfasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3 + ref_id: OPS.1.1.1.A3.2 + description: "Die Betriebshandb\xFCcher SOLLTEN stets verf\xFCgbar sein und\ + \ mindestens die folgenden Themen adressieren:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3 + ref_id: OPS.1.1.1.A3.3 + description: "\u2022 relevante System- und Kontaktinformationen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3 + ref_id: OPS.1.1.1.A3.4 + description: "\u2022 erforderliche und zul\xE4ssige Betriebsmittel" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3 + ref_id: OPS.1.1.1.A3.5 + description: "\u2022 allgemeine Konfigurationsvorgaben" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3 + ref_id: OPS.1.1.1.A3.6 + description: "\u2022 Konfigurationsvorgaben zur H\xE4rtung von Spezialsystemen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3 + ref_id: OPS.1.1.1.A3.7 + description: "\u2022 Rollen- und Berechtigungen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3 + ref_id: OPS.1.1.1.A3.8 + description: "\u2022 IT-Monitoring, Protokollierung und Alarmierung" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3 + ref_id: OPS.1.1.1.A3.9 + description: "\u2022 Datensicherung und Notfallkonzepte" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3 + ref_id: OPS.1.1.1.A3.10 + description: "\u2022 IT Incident Management" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a3 + ref_id: OPS.1.1.1.A3.11 + description: "\u2022 Vorgaben f\xFCr alle regelm\xE4\xDFigen und au\xDFerplanm\xE4\ + \xDFigen T\xE4tigkeiten Die Betriebshandb\xFCcher SOLLTEN regelm\xE4\xDFig\ + \ und anlassbezogen gepr\xFCft und angepasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 + ref_id: OPS.1.1.1.A4 + name: Bereitstellen ausreichender Personal- und Sachressourcen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a4 + ref_id: OPS.1.1.1.A4.1 + description: "Der IT-Betrieb SOLLTE \xFCber ausreichende Personal-Ressourcen\ + \ verf\xFCgen, um einen ordnungsgem\xE4\xDFen IT-Betrieb gew\xE4hrleisten\ + \ zu k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a4 + ref_id: OPS.1.1.1.A4.2 + description: "Hierf\xFCr SOLLTE der Aufwand f\xFCr alle T\xE4tigkeiten des IT-Betriebs\ + \ ermittelt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a4 + ref_id: OPS.1.1.1.A4.3 + description: "Die Personal-Ressourcen SOLLTEN mit angemessenen Redundanzen und\ + \ Reserven geplant werden und auch kurzfristige Personalausf\xE4lle sowie\ + \ tempor\xE4r erh\xF6hte Personalbedarfe ber\xFCcksichtigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a4 + ref_id: OPS.1.1.1.A4.4 + description: Ebenfalls SOLLTEN geeignete Sach-Ressourcen bereitstehen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a4 + ref_id: OPS.1.1.1.A4.5 + description: "Hierf\xFCr SOLLTE f\xFCr jede T\xE4tigkeit des IT-Betriebs identifiziert\ + \ werden, welche Betriebsmittel erforderlich sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a4.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a4 + ref_id: OPS.1.1.1.A4.6 + description: "Die Ressourcenplanung SOLLTE regelm\xE4\xDFig und anlassbezogen\ + \ \xFCberpr\xFCft und an die aktuellen Erfordernisse angepasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 + ref_id: OPS.1.1.1.A5 + name: "Festlegen von geh\xE4rteten Standardkonfigurationen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a5 + ref_id: OPS.1.1.1.A5.1 + description: "Der IT-Betrieb SOLLTE die betriebenen IT-Komponenten kategorisieren\ + \ und f\xFCr diese Kategorien geh\xE4rtete Standardkonfigurationen festlegen\ + \ und bereitstellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a5 + ref_id: OPS.1.1.1.A5.2 + description: "F\xFCr IT-Plattformen wie Virtualisierungshosts, auf denen weitere\ + \ IT-Komponenten bereitgestellt und betrieben werden, SOLLTE eine abgestimmte\ + \ H\xE4rtung entwickelt und umgesetzt werden, die alle Elemente der IT-Komponenten\ + \ ber\xFCcksichtigt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a5 + ref_id: OPS.1.1.1.A5.3 + description: "Hierbei SOLLTEN verschiedene Auspr\xE4gungen der IT-Komponenten\ + \ ber\xFCcksichtigt und erlaubte Abweichungen spezifiziert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a5 + ref_id: OPS.1.1.1.A5.4 + description: "Die Konfigurationsvorgaben SOLLTEN die Sicherheitsanforderungen\ + \ der Institution umsetzen und die Empfehlungen der jeweiligen Herstellenden\ + \ ber\xFCcksichtigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a5.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a5 + ref_id: OPS.1.1.1.A5.5 + description: "Die geh\xE4rteten Standard-Konfigurationen SOLLTEN in den jeweiligen\ + \ Betriebshandb\xFCchern dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a5.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a5 + ref_id: OPS.1.1.1.A5.6 + description: Jede Standardkonfiguration SOLLTE vor Bereitstellung getestet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a5.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a5 + ref_id: OPS.1.1.1.A5.7 + description: "Die geh\xE4rteten Standardkonfigurationen SOLLTEN regelm\xE4\xDF\ + ig und anlassbezogen gepr\xFCft und gem\xE4\xDF der verf\xFCgbaren Informationen\ + \ an den aktuellen Stand der Technik angepasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a5.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a5 + ref_id: OPS.1.1.1.A5.8 + description: "Der IT-Betrieb SOLLTE gew\xE4hrleisten, dass die aktuellen Konfigurationsvorgaben\ + \ stets verf\xFCgbar sind und \xFCber eine Versionierung und eine Beschreibung\ + \ identifizierbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 + ref_id: OPS.1.1.1.A6 + name: "Durchf\xFChrung des IT-Asset-Managements" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a6 + ref_id: OPS.1.1.1.A6.1 + description: "Der IT-Betrieb SOLLTE eine \xDCbersicht aller vorhandenen IT-Assets\ + \ erstellen, regelm\xE4\xDFig pr\xFCfen und aktuell halten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a6 + ref_id: OPS.1.1.1.A6.2 + description: Im IT-Asset-Management (ITAM) SOLLTEN alle produktiven IT-Komponenten, + Test-Instanzen und IT-Komponenten der Reservevorhaltung erfasst werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a6 + ref_id: OPS.1.1.1.A6.3 + description: Auch vorhandene, aber nicht mehr genutzte IT-Assets SOLLTEN erfasst + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a6 + ref_id: OPS.1.1.1.A6.4 + description: "Es SOLLTEN ITAM-Tools eingesetzt werden, die eine zentrale Verwaltung\ + \ der IT-Assets erm\xF6glichen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 + ref_id: OPS.1.1.1.A7 + name: "Sicherstellung eines ordnungsgem\xE4\xDFen IT-Betriebs" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7 + ref_id: OPS.1.1.1.A7.1 + description: "Der IT-Betrieb SOLLTE f\xFCr alle IT-Komponenten Betriebskonzepte\ + \ entwickeln." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7 + ref_id: OPS.1.1.1.A7.2 + description: "Diese Betriebskonzepte SOLLTEN regelm\xE4\xDFig gepr\xFCft und\ + \ angepasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7 + ref_id: OPS.1.1.1.A7.3 + description: Die sicherheitsrelevanten Vorgaben zur Konfiguration SOLLTEN umgesetzt + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7 + ref_id: OPS.1.1.1.A7.4 + description: "Daf\xFCr SOLLTEN die geh\xE4rteten Standard-Konfigurationen genutzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7 + ref_id: OPS.1.1.1.A7.5 + description: "Der IT-Betrieb SOLLTE f\xFCr alle T\xE4tigkeiten Pr\xFCfkriterien\ + \ festlegen, die in ihrer Gesamtheit als Leitfaden f\xFCr den ordnungsgem\xE4\ + \xDFen IT-Betrieb dienen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7 + ref_id: OPS.1.1.1.A7.6 + description: "Die Freigabe von installierten oder ge\xE4nderten IT-Komponenten\ + \ in den produktiven Betrieb SOLLTE \xFCber diese Pr\xFCfkriterien nachgewiesen\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7 + ref_id: OPS.1.1.1.A7.7 + description: "Bei Inbetriebnahme und nach Updates oder Umstrukturierungen SOLLTEN\ + \ Systemtests f\xFCr die IT-Komponenten durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7 + ref_id: OPS.1.1.1.A7.8 + description: "Der IT-Betrieb SOLLTE festlegen, in welcher Umgebung die jeweiligen\ + \ Systemtests mit welcher Testabdeckung und Testtiefe durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7 + ref_id: OPS.1.1.1.A7.9 + description: "Der IT-Betrieb SOLLTE Vorkehrungen f\xFCr die Ersatzbeschaffung\ + \ von IT-Komponenten treffen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7 + ref_id: OPS.1.1.1.A7.10 + description: "Hierf\xFCr SOLLTEN eine Reservevorhaltung oder Liefervertr\xE4\ + ge vorgesehen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7 + ref_id: OPS.1.1.1.A7.11 + description: "Alle T\xE4tigkeiten des IT-Betriebs SOLLTEN umfassend und nachvollziehbar\ + \ erfasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7 + ref_id: OPS.1.1.1.A7.12 + description: "Hierf\xFCr SOLLTE der IT-Betrieb ein geeignetes Werkzeug wie ein\ + \ Ticketsystem nutzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7.13 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7 + ref_id: OPS.1.1.1.A7.13 + description: "Der IT-Betrieb SOLLTE insbesondere die Qualit\xE4t der Betriebsprozesse,\ + \ die Einhaltung von SLAs und die Zufriedenheit der Benutzenden systematisch\ + \ erfassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7.14 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a7 + ref_id: OPS.1.1.1.A7.14 + description: "Es SOLLTEN regelm\xE4\xDFig Reports erstellt werden, die dem Nachweis\ + \ eines ordnungsgem\xE4\xDFen IT-Betriebs dienen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 + ref_id: OPS.1.1.1.A8 + name: "Regelm\xE4\xDFiger Soll-Ist-Vergleich" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a8 + ref_id: OPS.1.1.1.A8.1 + description: "Der IT-Betrieb SOLLTE regelm\xE4\xDFig und anlassbezogen f\xFC\ + r alle betriebenen IT-Komponenten sowie f\xFCr die Betriebsmittel pr\xFCfen,\ + \ ob die aktuelle Konfiguration dem Sollzustand entspricht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a8 + ref_id: OPS.1.1.1.A8.2 + description: "Dar\xFCber hinaus SOLLTE gepr\xFCft werden, ob die gelebten Prozesse\ + \ die festgelegten Prozesse des IT-Betriebs umsetzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 + ref_id: OPS.1.1.1.A9 + name: "Durchf\xFChrung von IT-Monitoring" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9 + ref_id: OPS.1.1.1.A9.1 + description: Alle IT-Komponenten SOLLTEN in ein einheitliches IT-Monitoring + eingebunden werden, das alle relevanten Parameter der IT-Komponenten beinhaltet. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9 + ref_id: OPS.1.1.1.A9.2 + description: "Das IT-Monitoring SOLLTE mit dem \xFCbergeordneten Service-Management\ + \ abgestimmt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9 + ref_id: OPS.1.1.1.A9.3 + description: "Der IT-Betrieb SOLLTE das IT-Monitoring entsprechend eines vorher\ + \ festgelegten Monitoring-Plans durchf\xFChren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9 + ref_id: OPS.1.1.1.A9.4 + description: "Je IT-Komponente SOLLTEN angemessene Schwellwerte ermittelt werden,\ + \ die eine Meldung oder einen Alarm ausl\xF6sen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9 + ref_id: OPS.1.1.1.A9.5 + description: "Der IT-Betrieb SOLLTE f\xFCr das IT-Monitoring spezifizieren,\ + \ welche Meldewege genutzt werden und welche Konsequenzen aus den Meldungen\ + \ oder Alarmen gezogen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9 + ref_id: OPS.1.1.1.A9.6 + description: "Auf Basis von Monitoring-Ergebnissen SOLLTE \xFCberpr\xFCft werden,\ + \ ob die Infrastruktur erweitert oder angepasst wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9 + ref_id: OPS.1.1.1.A9.7 + description: "\xDCber die gewonnenen Erkenntnisse SOLLTEN regelm\xE4\xDFig Reports\ + \ erstellt werden, die das aktuelle Lagebild der betriebenen IT und die zeitliche\ + \ Entwicklung sowie Trends darstellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9 + ref_id: OPS.1.1.1.A9.8 + description: "Die Konzeption des IT-Monitorings SOLLTE regelm\xE4\xDFig und\ + \ anlassbezogen gepr\xFCft und aktualisiert werden, um dem aktuellen Stand\ + \ der Technik und der betriebenen Infrastruktur zu entsprechen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a9 + ref_id: OPS.1.1.1.A9.9 + description: "Die Monitoring-Daten SOLLTEN nur \xFCber sichere Kommunikationswege\ + \ \xFCbertragen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 + ref_id: OPS.1.1.1.A10 + name: "F\xFChren eines Schwachstelleninventars" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a10 + ref_id: OPS.1.1.1.A10.1 + description: "Der IT-Betrieb SOLLTE ein Schwachstelleninventar f\xFChren, in\ + \ dem die Schwachstellen aller betriebenen IT-Komponenten und der Umgang mit\ + \ diesen zentral erfasst und gepflegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a10 + ref_id: OPS.1.1.1.A10.2 + description: Der IT-Betrieb SOLLTE die Behandlung der Schwachstellen initiieren, + nachhalten und sicherstellen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a10 + ref_id: OPS.1.1.1.A10.3 + description: Es SOLLTE ein Prozess definiert werden, der den Umgang mit den + Schwachstellen festlegt. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a10 + ref_id: OPS.1.1.1.A10.4 + description: Mindestens SOLLTE spezifiziert werden, + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a10.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a10 + ref_id: OPS.1.1.1.A10.5 + description: "\u2022 bis wann ein verf\xFCgbares Update, in dem die Schwachstelle\ + \ behoben ist, zu installieren ist," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a10.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a10 + ref_id: OPS.1.1.1.A10.6 + description: "\u2022 in welchen F\xE4llen und bis wann IT-Komponenten mit Schwachstellen\ + \ au\xDFer Betrieb genommen oder ersetzt werden und" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a10.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a10 + ref_id: OPS.1.1.1.A10.7 + description: "\u2022 ob und wie solche IT-Komponenten separiert werden, falls\ + \ weder ein Ersatz noch ein Update m\xF6glich ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 + ref_id: OPS.1.1.1.A11 + name: Festlegung und Einhaltung von SLAs + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a11 + ref_id: OPS.1.1.1.A11.1 + description: "F\xFCr alle IT-Komponenten und alle T\xE4tigkeiten SOLLTE der\ + \ IT-Betrieb Service Level Agreements (SLAs) definieren und \xFCberwachen,\ + \ die dem Schutzbedarf der IT-Komponenten entsprechen und innerhalb der Institution\ + \ abgestimmt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a11 + ref_id: OPS.1.1.1.A11.2 + description: "Die festgelegten SLAs SOLLTEN die Rollen und Berechtigungen sowie\ + \ eventuelle Abh\xE4ngigkeiten der jeweiligen T\xE4tigkeit von anderen Organisationseinheiten\ + \ ber\xFCcksichtigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 + ref_id: OPS.1.1.1.A12 + name: Spezifikation und Umsetzung klarer Betriebsprozesse + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12 + ref_id: OPS.1.1.1.A12.1 + description: "Der IT-Betrieb SOLLTE f\xFCr alle Aufgaben Betriebsprozesse spezifizieren,\ + \ die f\xFCr die jeweilige Aufgabe alle T\xE4tigkeiten und Abh\xE4ngigkeiten\ + \ umfassen und gew\xE4hrleisten, dass die T\xE4tigkeiten des IT-Betriebs nachvollziehbar\ + \ sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12 + ref_id: OPS.1.1.1.A12.2 + description: "Es SOLLTE f\xFCr jeden Prozess festgelegt werden, wer den Prozess\ + \ initiieren darf und wer diesen umsetzt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12 + ref_id: OPS.1.1.1.A12.3 + description: "F\xFCr jeden Prozess SOLLTEN die organisatorischen Schnittstellen\ + \ zu anderen Gruppen des IT-Betriebs oder anderen Organisationseinheiten spezifiziert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12 + ref_id: OPS.1.1.1.A12.4 + description: "Das Personal des IT-Betriebs SOLLTE f\xFCr die relevanten Betriebsprozesse\ + \ eingewiesen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12 + ref_id: OPS.1.1.1.A12.5 + description: Wenn Prozesse durchlaufen wurden, SOLLTE dies protokolliert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12 + ref_id: OPS.1.1.1.A12.6 + description: Das Ergebnis des Durchlaufs SOLLTE protokolliert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12 + ref_id: OPS.1.1.1.A12.7 + description: "F\xFCr jeden Prozessschritt SOLLTE festgelegt werden, ob dokumentiert\ + \ werden muss, dass er bearbeitet wurde." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12 + ref_id: OPS.1.1.1.A12.8 + description: "Dar\xFCber hinaus SOLLTE festgelegt werden, wann der Prozess erfolgreich\ + \ abgeschlossen ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12 + ref_id: OPS.1.1.1.A12.9 + description: "Der IT-Betrieb SOLLTE einen Prozess spezifizieren, der grunds\xE4\ + tzlich beschreibt, wie mit Situationen umzugehen ist, die nicht in den regul\xE4\ + ren Betriebsprozessen enthalten sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a12 + ref_id: OPS.1.1.1.A12.10 + description: Mindestens SOLLTEN Fallback-Prozesse definiert sein und beschrieben + werden, wie bei fehlerhaftem oder manipuliertem Betrieb vorzugehen ist. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 + ref_id: OPS.1.1.1.A13 + name: Absicherung der Betriebsmittel und der Dokumentation + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a13 + ref_id: OPS.1.1.1.A13.1 + description: "Auf die Betriebsmittel, die Dokumentation und die Betriebshandb\xFC\ + cher SOLLTEN nur berechtigte Personen des IT-Betriebs zugreifen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a13 + ref_id: OPS.1.1.1.A13.2 + description: "Der IT-Betrieb SOLLTE sicherstellen, dass die Betriebsmittel und\ + \ die Dokumentation zu jeder Zeit verf\xFCgbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a13 + ref_id: OPS.1.1.1.A13.3 + description: "Falls die IT-Systeme und -Anwendungen der Betriebsmittel \xFC\ + ber die produktive Infrastruktur kommunizieren, SOLLTEN sichere Protokolle\ + \ verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a13.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a13 + ref_id: OPS.1.1.1.A13.4 + description: "Vertrauliche Daten SOLLTEN ausschlie\xDFlich \xFCber sichere Protokolle\ + \ \xFCbertragen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a13.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a13 + ref_id: OPS.1.1.1.A13.5 + description: Die Betriebsmittel SOLLTEN in das Schwachstellenmanagement und + das IT-Monitoring eingebunden werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 + ref_id: OPS.1.1.1.A14 + name: "Ber\xFCcksichtigung der Betreibbarkeit bei Konzeption und Beschaffung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a14 + ref_id: OPS.1.1.1.A14.1 + description: "F\xFCr die IT-Komponenten SOLLTEN Anforderungen f\xFCr einen effizienten\ + \ und sicheren Betrieb bereits bei der Konzeption und der Beschaffung ber\xFC\ + cksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a14 + ref_id: OPS.1.1.1.A14.2 + description: "Hierf\xFCr SOLLTEN die Anforderungen des IT-Betriebs erhoben und\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a14 + ref_id: OPS.1.1.1.A14.3 + description: "Der IT-Betrieb SOLLTE dabei auch die Komplexit\xE4t der IT ber\xFC\ + cksichtigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 + ref_id: OPS.1.1.1.A15 + name: Planung und Einsatz von Betriebsmitteln + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a15 + ref_id: OPS.1.1.1.A15.1 + description: "Der IT-Betrieb SOLLTE f\xFCr alle IT-Komponenten die Betriebsmittel\ + \ bedarfsgerecht planen, beschaffen und einsetzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a15 + ref_id: OPS.1.1.1.A15.2 + description: Der IT-Betrieb SOLLTE die Anforderungen an die jeweiligen Betriebsmittel + ermitteln und diese mit den anderen betroffenen Organisationseinheiten der + Institution abstimmen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a15 + ref_id: OPS.1.1.1.A15.3 + description: Die Netze, in denen die Betriebsmittel positioniert sind, SOLLTEN + von den sonstigen Netzen der Institution mindestens logisch getrennt werden + (siehe Baustein NET.1.1 Netzarchitektur und -design). + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a15.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a15 + ref_id: OPS.1.1.1.A15.4 + description: "Das Netz f\xFCr die Betriebsmittel SOLLTE abh\xE4ngig von Sicherheitsrichtlinie\ + \ und Funktionsabh\xE4ngigkeiten weiter unterteilt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a15.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a15 + ref_id: OPS.1.1.1.A15.5 + description: "Als Basis f\xFCr die weitere Segmentierung SOLLTEN die unterschiedlichen\ + \ Betriebsgruppen und Zielsysteme verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 + ref_id: OPS.1.1.1.A16 + name: Schulung des Betriebspersonals + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a16 + ref_id: OPS.1.1.1.A16.1 + description: "F\xFCr den IT-Betrieb SOLLTE durch einen Schulungsplan sichergestellt\ + \ werden, dass f\xFCr alle IT-Komponenten und Betriebsmittel jeweils mehrere\ + \ Personen die erforderlichen F\xE4higkeiten und Qualifikationen besitzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a16 + ref_id: OPS.1.1.1.A16.2 + description: "In den Schulungsma\xDFnahmen SOLLTEN insbesondere die folgenden\ + \ Themen adressiert werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a16 + ref_id: OPS.1.1.1.A16.3 + description: "\u2022 H\xE4rtung und Standard-Konfigurationen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a16.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a16 + ref_id: OPS.1.1.1.A16.4 + description: "\u2022 spezifische Sicherheitseinstellungen f\xFCr die betriebenen\ + \ IT-Komponenten und eingesetzten Betriebsmittel" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a16.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a16 + ref_id: OPS.1.1.1.A16.5 + description: "\u2022 m\xF6gliche Interferenzen zwischen den genutzten Betriebsmitteln" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a16.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a16 + ref_id: OPS.1.1.1.A16.6 + description: "\u2022 Abh\xE4ngigkeiten und Schnittstellen der Prozesse des IT-Betriebs\ + \ Wenn neue IT-Komponenten beschafft werden, SOLLTE ein Budget f\xFCr entsprechende\ + \ Schulungsma\xDFnahmen des IT-Betriebs eingeplant werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 + ref_id: OPS.1.1.1.A17 + name: "Planung des IT-Betriebs unter besonderer Ber\xFCcksichtigung von Mangel-\ + \ und Notsituationen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a17 + ref_id: OPS.1.1.1.A17.1 + description: "Der IT-Betrieb SOLLTE f\xFCr die betriebenen IT-Komponenten definieren,\ + \ wann eine Mangel- oder eine Notsituation vorliegt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a17 + ref_id: OPS.1.1.1.A17.2 + description: "F\xFCr diese Situationen SOLLTE nach den Vorgaben des allgemeinen\ + \ Notfallmanagements festgelegt werden, welche IT-Komponenten vorrangig betrieben\ + \ werden oder f\xFCr einen Mindestbetrieb ben\xF6tigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a17 + ref_id: OPS.1.1.1.A17.3 + description: 'Die Notfallplanung SOLLTE die folgenden Punkte beinhalten:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a17.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a17 + ref_id: OPS.1.1.1.A17.4 + description: "\u2022 Disaster-Recovery-Plan" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a17.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a17 + ref_id: OPS.1.1.1.A17.5 + description: "\u2022 Notfallhandbuch f\xFCr die IT-Komponenten unter Einbeziehung\ + \ der gesamten Infrastruktur" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a17.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a17 + ref_id: OPS.1.1.1.A17.6 + description: "\u2022 Umgang mit kritischen und l\xE4ngerfristigen betriebsbehindernden\ + \ St\xF6rungen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 + ref_id: OPS.1.1.1.A18 + name: Planung des Einsatzes von Dienstleistenden + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a18 + ref_id: OPS.1.1.1.A18.1 + description: "Der IT-Betrieb SOLLTE den Einsatz von Dienstleistenden koordinieren\ + \ und diese unter anderem \xFCber SLAs so steuern, dass die Dienstleistung\ + \ in ausreichendem Ma\xDFe erbracht wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a18 + ref_id: OPS.1.1.1.A18.2 + description: "Der Einsatz von verschiedenen Dienstleistenden SOLLTE aufeinander\ + \ abgestimmt werden, insbesondere falls diese f\xFCr den gleichen T\xE4tigkeitsbereich\ + \ vorgesehen sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a18 + ref_id: OPS.1.1.1.A18.3 + description: "F\xFCr solche Situationen SOLLTE jeweils eine eindeutige Kommunikationsschnittstelle\ + \ festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a18.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a18 + ref_id: OPS.1.1.1.A18.4 + description: "Der IT-Betrieb SOLLTE die Festlegungen zum Dienstleistendenmanagement\ + \ sowie die f\xFCr die Dienstleistenden vorgesehenen T\xE4tigkeiten festhalten,\ + \ regelm\xE4\xDFig pr\xFCfen und anpassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 + ref_id: OPS.1.1.1.A19 + name: "Regelungen f\xFCr Wartungs- und Reparaturarbeiten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a19 + ref_id: OPS.1.1.1.A19.1 + description: "IT-Komponenten SOLLTEN regelm\xE4\xDFig gewartet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a19 + ref_id: OPS.1.1.1.A19.2 + description: Es SOLLTE geregelt sein, welche Sicherheitsaspekte bei Wartungs- + und Reparaturarbeiten zu beachten sind. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a19.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a19 + ref_id: OPS.1.1.1.A19.3 + description: "Es SOLLTE festgelegt werden, wer f\xFCr die Wartung oder Reparatur\ + \ von IT-Komponenten zust\xE4ndig ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a19.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a19 + ref_id: OPS.1.1.1.A19.4 + description: "Durchgef\xFChrte Wartungs- und Reparaturarbeiten SOLLTEN dokumentiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a19.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a19 + ref_id: OPS.1.1.1.A19.5 + description: "Es SOLLTE sichergestellt werden, dass Wartungs- und Reparaturarbeiten,\ + \ die durch Dritte ausgef\xFChrt werden, mit den Beteiligten abgestimmt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a19.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a19 + ref_id: OPS.1.1.1.A19.6 + description: "Es SOLLTEN interne Mitarbeitende des IT-Betriebs bestimmt werden,\ + \ die solche Arbeiten autorisieren, gegebenenfalls beobachten oder unterst\xFC\ + tzen und abnehmen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 + ref_id: OPS.1.1.1.A20 + name: "Pr\xFCfen auf Schwachstellen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a20 + ref_id: OPS.1.1.1.A20.1 + description: "Der IT-Betrieb SOLLTE regelm\xE4\xDFig Informationen \xFCber bekannt\ + \ gewordene Schwachstellen bez\xFCglich der IT-Plattformen, Firmware, Betriebssysteme,\ + \ eingesetzter IT-Anwendungen und Dienste einholen, diese f\xFCr die konkreten\ + \ Gegebenheiten analysieren und ber\xFCcksichtigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a20.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a20 + ref_id: OPS.1.1.1.A20.2 + description: "Die IT-Komponenten SOLLTEN regelm\xE4\xDFig und anlassbezogen\ + \ auf Schwachstellen getestet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a20.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a20 + ref_id: OPS.1.1.1.A20.3 + description: "F\xFCr jede IT-Komponente SOLLTEN die angemessene Test-Abdeckung,\ + \ -Tiefe und -Methode festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a20.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a20 + ref_id: OPS.1.1.1.A20.4 + description: Die Tests und identifizierten Schwachstellen SOLLTEN nachvollziehbar + erfasst werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a20.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a20 + ref_id: OPS.1.1.1.A20.5 + description: "Die Schwachstellen SOLLTEN so schnell wie m\xF6glich behoben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a20.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a20 + ref_id: OPS.1.1.1.A20.6 + description: "Solange keine entsprechenden Patches zur Verf\xFCgung stehen,\ + \ M\xDCSSEN f\xFCr schwerwiegende Schwachstellen und Bedrohungen andere Ma\xDF\ + nahmen zum Schutz der IT-Komponente getroffen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a20.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a20 + ref_id: OPS.1.1.1.A20.7 + description: "Falls dies f\xFCr eine IT-Komponente nicht m\xF6glich ist, SOLLTE\ + \ diese nicht weiter betrieben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 + ref_id: OPS.1.1.1.A21 + name: Einbinden der Betriebsmittel in das Sicherheitsmonitoring + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a21 + ref_id: OPS.1.1.1.A21.1 + description: Die IT-Systeme und -Anwendungen, die als Betriebsmittel genutzt + werden, SOLLTEN in ein Sicherheitsmonitoring eingebunden werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a21.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a21 + ref_id: OPS.1.1.1.A21.2 + description: "Falls die Institution ein System zur zentralen Detektion und automatisierten\ + \ Echtzeit\xFCberpr\xFCfung von Ereignismeldungen einsetzt, SOLLTEN die Betriebsmittel\ + \ darin eingebunden werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a21.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a21 + ref_id: OPS.1.1.1.A21.3 + description: "Betriebsmittel wie IT-Management- und IT-Monitoring-Systeme SOLLTEN\ + \ als Datenquelle f\xFCr das Sicherheitsmonitoring genutzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 + ref_id: OPS.1.1.1.A22 + name: Automatisierte Tests auf Schwachstellen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a22 + ref_id: OPS.1.1.1.A22.1 + description: "Alle IT-Komponenten SOLLTEN regelm\xE4\xDFig und automatisiert\ + \ auf Schwachstellen getestet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a22.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a22 + ref_id: OPS.1.1.1.A22.2 + description: Die Ergebnisse der Tests SOLLTEN automatisiert protokolliert und + anderen Werkzeugen im Sicherheitsmonitoring bereitgestellt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a22.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a22 + ref_id: OPS.1.1.1.A22.3 + description: Bei kritischen Schwachstellen SOLLTE eine automatisierte Alarmierung + erfolgen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a23 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 + ref_id: OPS.1.1.1.A23 + name: "Durchf\xFChrung von Penetrationstests" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a23.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a23 + ref_id: OPS.1.1.1.A23.1 + description: "F\xFCr alle IT-Komponenten SOLLTEN Penetrationstests durchgef\xFC\ + hrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a23.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a23 + ref_id: OPS.1.1.1.A23.2 + description: "Hierf\xFCr SOLLTE ein Konzept erstellt und umgesetzt werden, das\ + \ neben den zu verwendenden Testmethoden und Testtiefen auch die Erfolgskriterien\ + \ festlegt." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a24 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 + ref_id: OPS.1.1.1.A24 + name: Umfassendes Protokollieren der Prozessschritte im IT-Betrieb + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a24.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a24 + ref_id: OPS.1.1.1.A24.1 + description: "F\xFCr die Betriebsprozesse SOLLTE jeder Prozessschritt nachvollziehbar\ + \ protokolliert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a25 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 + ref_id: OPS.1.1.1.A25 + name: Sicherstellen von autark funktionierenden Betriebsmitteln + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a25.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a25 + ref_id: OPS.1.1.1.A25.1 + description: "F\xFCr die Betriebsmittel SOLLTE sichergestellt werden, dass diese\ + \ auch bei \xE4u\xDFeren St\xF6rungen genutzt werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a25.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a25 + ref_id: OPS.1.1.1.A25.2 + description: "Insbesondere SOLLTE eine ausgefallende Internet-Anbindung nicht\ + \ zu einer St\xF6rung der Betriebsmittel f\xFChren." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a25.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a25 + ref_id: OPS.1.1.1.A25.3 + description: "Die Betriebsmittel SOLLTEN so konfiguriert und verortet werden,\ + \ dass die Abh\xE4ngigkeiten zwischen den verschiedenen Betriebsmitteln minimiert\ + \ wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a25.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a25 + ref_id: OPS.1.1.1.A25.4 + description: "Es SOLLTE verhindert werden, dass der Ausfall eines Betriebsmittels\ + \ zu einer betriebsverhindernden St\xF6rung eines anderen Betriebsmittels\ + \ f\xFChrt." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a26 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1 + ref_id: OPS.1.1.1.A26 + name: Proaktive Instandhaltung im IT-Betrieb + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a26.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a26 + ref_id: OPS.1.1.1.A26.1 + description: "F\xFCr die IT-Systeme SOLLTE eine proaktive Instandhaltung durchgef\xFC\ + hrt werden, in der in festgelegten Intervallen vorbeugende Instandhaltungsma\xDF\ + nahmen durchgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a26.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.1.a26 + ref_id: OPS.1.1.1.A26.2 + description: "Erg\xE4nzend zu der regelm\xE4\xDFigen Wartung und der proaktiven\ + \ Instandhaltung SOLLTE je IT-Komponente abgewogen werden, ob eine vorausschauende\ + \ Instandhaltung (engl. Predictive Maintenance) genutzt wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops + ref_id: OPS.1.1.2 + name: "Ordnungsgem\xE4\xDFe IT-Administration" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 + ref_id: OPS.1.1.2.A2 + name: Vertretungsregelungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a2 + ref_id: OPS.1.1.2.A2.1 + description: "F\xFCr jede Administrationsaufgabe MUSS eine Vertretung benannt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a2 + ref_id: OPS.1.1.2.A2.2 + description: "Die Vertretung MUSS \xFCber die notwendigen administrativen Berechtigungen\ + \ (organisatorisch und technisch) verf\xFCgen, um die T\xE4tigkeit durchf\xFC\ + hren zu k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a2 + ref_id: OPS.1.1.2.A2.3 + description: "Eine benannte Vertretung MUSS \xFCber die im Kontext der Administrationsaufgabe\ + \ notwendigen Kenntnisse verf\xFCgen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a2 + ref_id: OPS.1.1.2.A2.4 + description: "Die Regelung der Vertretung MUSS Mangel- und Notfallsituationen\ + \ ber\xFCcksichtigen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 + ref_id: OPS.1.1.2.A4 + name: "Beendigung der T\xE4tigkeit in der IT-Administration" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a4 + ref_id: OPS.1.1.2.A4.1 + description: "Falls eine Person von Administrationsaufgaben entbunden wird,\ + \ M\xDCSSEN ihr alle damit zusammenh\xE4ngenden privilegierten Berechtigungen\ + \ auf organisatorischer und technischer Ebene entzogen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a4 + ref_id: OPS.1.1.2.A4.2 + description: "Insbesondere M\xDCSSEN pers\xF6nliche administrative Konten gesperrt\ + \ und Passw\xF6rter aller administrativer Konten ge\xE4ndert werden, die der\ + \ Person bekannt sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a4 + ref_id: OPS.1.1.2.A4.3 + description: "Weiterhin M\xDCSSEN alle betroffenen Parteien darauf hingewiesen\ + \ werden, dass diese Person von den entsprechenden Aufgaben entbunden ist\ + \ und daher keine administrativen Berechtigungen mehr haben darf." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a4 + ref_id: OPS.1.1.2.A4.4 + description: "Es MUSS geregelt werden unter welchen Rahmenbedingungen gepr\xFC\ + ft wird, ob sich zus\xE4tzliche nicht dokumentierte administrative Rechte\ + \ verschafft wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a4 + ref_id: OPS.1.1.2.A4.5 + description: "Diese Pr\xFCfung SOLLTE insbesondere erfolgen, falls die Entscheidung\ + \ eine Person von Administrationsaufgaben zu entbinden nicht im Einvernehmen\ + \ mit der entsprechenden Person getroffen wurde." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a4.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a4 + ref_id: OPS.1.1.2.A4.6 + description: "Falls solche administrativen Rechte gefunden wurden, M\xDCSSEN\ + \ diese wieder entzogen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 + ref_id: OPS.1.1.2.A5 + name: "Nachweisbarkeit von administrativen T\xE4tigkeiten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5 + ref_id: OPS.1.1.2.A5.1 + description: "Administrative T\xE4tigkeiten M\xDCSSEN nachweisbar sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5 + ref_id: OPS.1.1.2.A5.2 + description: "Daf\xFCr MUSS mindestens festgehalten werden," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5 + ref_id: OPS.1.1.2.A5.3 + description: "\u2022 welche \xC4nderung bei einer T\xE4tigkeit durchgef\xFC\ + hrt wurde," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5 + ref_id: OPS.1.1.2.A5.4 + description: "\u2022 wer eine T\xE4tigkeit durchgef\xFChrt hat und" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5 + ref_id: OPS.1.1.2.A5.5 + description: "\u2022 wann eine T\xE4tigkeit durchgef\xFChrt wurde." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5 + ref_id: OPS.1.1.2.A5.6 + description: "Die Institution MUSS jederzeit nachweisen k\xF6nnen, welche Person\ + \ welche administrativen T\xE4tigkeiten durchgef\xFChrt hat." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5 + ref_id: OPS.1.1.2.A5.7 + description: "Dazu SOLLTEN alle Administrierenden \xFCber eine eigene Zugangskennung\ + \ verf\xFCgen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5 + ref_id: OPS.1.1.2.A5.8 + description: Auch Vertretungen von Administrierenden SOLLTEN eigene Zugangskennungen + erhalten. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a5 + ref_id: OPS.1.1.2.A5.9 + description: "Jeder Anmeldevorgang (Login) \xFCber eine Administrationskennung\ + \ MUSS protokolliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 + ref_id: OPS.1.1.2.A6 + name: "Schutz administrativer T\xE4tigkeiten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a6 + ref_id: OPS.1.1.2.A6.1 + description: "Administrative Schnittstellen und Funktionen D\xDCRFEN NUR berechtigten\ + \ Personen zur Verf\xFCgung stehen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a6 + ref_id: OPS.1.1.2.A6.2 + description: "F\xFCr diese Schnittstellen und Funktionen M\xDCSSEN geeignete\ + \ Verfahren zur Authentisierung festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a6 + ref_id: OPS.1.1.2.A6.3 + description: "Es MUSS sichergestellt sein, dass IT-Administrationst\xE4tigkeiten\ + \ nur durchgef\xFChrt werden k\xF6nnen, falls vorher eine dementsprechende\ + \ Authentisierung erfolgt ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a6 + ref_id: OPS.1.1.2.A6.4 + description: "Es MUSS festgelegt werden, welche Protokolle f\xFCr Administrationsschnittstellen\ + \ verwendet werden d\xFCrfen, so dass die bei der Administration stattfindende\ + \ Kommunikation abgesichert ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 + ref_id: OPS.1.1.2.A7 + name: "Regelung der IT-Administrationst\xE4tigkeit" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7 + ref_id: OPS.1.1.2.A7.1 + description: "Jede IT-Administrationst\xE4tigkeit SOLLTE einer klar definierten\ + \ Aufgabe zugeordnet sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7 + ref_id: OPS.1.1.2.A7.2 + description: "F\xFCr diese Aufgaben SOLLTE geregelt werden," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7 + ref_id: OPS.1.1.2.A7.3 + description: "\u2022 durch wen diese Aufgabe ausgef\xFChrt werden darf und" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7 + ref_id: OPS.1.1.2.A7.4 + description: "\u2022 durch wen diese Aufgabe beauftragt werden darf." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7 + ref_id: OPS.1.1.2.A7.5 + description: "Es SOLLTE nachvollziehbar sein, in welchen Prozessen sich Administrationsaufgaben\ + \ einf\xFCgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7 + ref_id: OPS.1.1.2.A7.6 + description: "IT-Administrationst\xE4tigkeiten SOLLTEN nur mit denjenigen Berechtigungen\ + \ durchgef\xFChrt werden, die zur Erf\xFCllung der entsprechenden Aufgabe\ + \ notwendig sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7 + ref_id: OPS.1.1.2.A7.7 + description: "Es SOLLTE festgelegt werden, wie IT-Administrationst\xE4tigkeiten\ + \ auszuf\xFChren sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7 + ref_id: OPS.1.1.2.A7.8 + description: "Die Regelungen f\xFCr IT-Administrationst\xE4tigkeiten SOLLTEN\ + \ regelm\xE4\xDFig und anlassbezogen \xFCberpr\xFCft und aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a7 + ref_id: OPS.1.1.2.A7.9 + description: "F\xFCr jede IT-Administrationst\xE4tigkeit SOLLTE sichergestellt\ + \ werden, dass diese bei Bedarf auch im Notfall ausgef\xFChrt werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 + ref_id: OPS.1.1.2.A8 + name: Administration von Fachanwendungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a8 + ref_id: OPS.1.1.2.A8.1 + description: "Es SOLLTE geregelt und dokumentiert werden, welche Administrationsaufgaben\ + \ f\xFCr Fachanwendungen vom IT-Betrieb und welche durch die Fachadministration\ + \ durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a8 + ref_id: OPS.1.1.2.A8.2 + description: "F\xFCr Fachanwendungen SOLLTE identifiziert werden, welche Zugriffe\ + \ der IT-Betrieb auf Systemebene ben\xF6tigt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a8 + ref_id: OPS.1.1.2.A8.3 + description: "Alle Schnittstellen und Abh\xE4ngigkeiten zwischen der Fachadministration\ + \ und der Administration durch den IT-Betrieb SOLLTEN identifiziert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a8 + ref_id: OPS.1.1.2.A8.4 + description: "Immer wenn Administrationsprozesse erstellt und gepflegt werden,\ + \ SOLLTEN die Zust\xE4ndigkeiten und Abh\xE4ngigkeiten dieser Schnittstellen\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 + ref_id: OPS.1.1.2.A11 + name: "Dokumentation von IT-Administrationst\xE4tigkeiten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11 + ref_id: OPS.1.1.2.A11.1 + description: "Durchgef\xFChrte IT-Administrationst\xE4tigkeiten SOLLTEN nachvollziehbar\ + \ dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11 + ref_id: OPS.1.1.2.A11.2 + description: "Es SOLLTE gepr\xFCft werden, welche grunds\xE4tzlichen Anforderungen\ + \ an die Dokumentation der IT-Administrationst\xE4tigkeiten existieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11 + ref_id: OPS.1.1.2.A11.3 + description: Es SOLLTE identifiziert werden, welche Ziele mit der Dokumentation + erreicht werden sollen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11 + ref_id: OPS.1.1.2.A11.4 + description: Aufgrund dieser Anforderungen und Ziele SOLLTE verbindlich festgelegt + werden, welche Schritte in welchem Detailierungsgrad dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11 + ref_id: OPS.1.1.2.A11.5 + description: Aus der Dokumentation SOLLTE mindestens hervorgehen, + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11 + ref_id: OPS.1.1.2.A11.6 + description: "\u2022 welche \xC4nderungen erfolgten," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11 + ref_id: OPS.1.1.2.A11.7 + description: "\u2022 wann die \xC4nderungen erfolgten," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11 + ref_id: OPS.1.1.2.A11.8 + description: "\u2022 wer die \xC4nderungen durchgef\xFChrt hat," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11 + ref_id: OPS.1.1.2.A11.9 + description: "\u2022 auf welcher Grundlage bzw. aus welchem Anlass die \xC4\ + nderungen erfolgt sind und" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11 + ref_id: OPS.1.1.2.A11.10 + description: "\u2022 inwiefern und aus welchem Grund gegebenenfalls von vorgegebenen\ + \ Standards oder Konfigurationen abgewichen wurde." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11 + ref_id: OPS.1.1.2.A11.11 + description: "Dokumentation im Kontext einer IT-Administrationst\xE4tigkeit\ + \ SOLLTE in Standard-Arbeitsabl\xE4ufen enthalten sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11 + ref_id: OPS.1.1.2.A11.12 + description: "Es SOLLTE geregelt werden, welche M\xF6glichkeiten zu nutzen sind,\ + \ falls IT-Administrationst\xE4tigkeiten au\xDFerplanm\xE4\xDFig durchgef\xFC\ + hrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11.13 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11 + ref_id: OPS.1.1.2.A11.13 + description: "Es SOLLTE identifiziert werden, unter welchen Umst\xE4nden ein\ + \ Zugriff auf die Dokumentation notwendig ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11.14 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a11 + ref_id: OPS.1.1.2.A11.14 + description: "Der Zugriff SOLLTE dementsprechend gew\xE4hrleistet sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 + ref_id: OPS.1.1.2.A16 + name: "Erweiterte Sicherheitsma\xDFnahmen f\xFCr Administrationszug\xE4nge" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a16 + ref_id: OPS.1.1.2.A16.1 + description: "Der Zugang zu administrativen Oberfl\xE4chen und Schnittstellen\ + \ SOLLTE auf IT-Systeme, die zur IT-Administration verwendet werden, beschr\xE4\ + nkt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a16 + ref_id: OPS.1.1.2.A16.2 + description: "Daher SOLLTEN Netze, die zur IT-Administration verwendet werden,\ + \ durch Filter- und Segmentierungsma\xDFnahmen von produktiven Netzen zu administrierender\ + \ Komponenten getrennt werden (Out-of-Band-Management)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a16 + ref_id: OPS.1.1.2.A16.3 + description: "Wo kein Out-of-Band-Management m\xF6glich ist, SOLLTEN Software-Schnittstellen\ + \ und physische Schnittstellen zur IT-Administration durch zus\xE4tzliche\ + \ Ma\xDFnahmen abgesichert werden und nur f\xFCr Personen erreichbar sein,\ + \ die f\xFCr deren Nutzung berechtigt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a16.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a16 + ref_id: OPS.1.1.2.A16.4 + description: Hierzu SOLLTE eine Zwei-Faktor-Authentisierung verwendet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 + ref_id: OPS.1.1.2.A17 + name: IT-Administration im Vier-Augen-Prinzip + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a17 + ref_id: OPS.1.1.2.A17.1 + description: "Es SOLLTE geregelt werden, welche Administrationsaufgaben eine\ + \ zus\xE4tzliche Person erfordern, die die Ausf\xFChrung \xFCberwacht." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a17 + ref_id: OPS.1.1.2.A17.2 + description: "Diese Person SOLLTE im Kontext der durchzuf\xFChrenden IT-Administrationst\xE4\ + tigkeiten auch \xFCber die zur Ausf\xFChrung notwendigen Qualifikationen verf\xFC\ + gen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 + ref_id: OPS.1.1.2.A18 + name: "Durchg\xE4ngige Protokollierung administrativer T\xE4tigkeiten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a18 + ref_id: OPS.1.1.2.A18.1 + description: "Bei IT-Komponenten mit hohem Schutzbedarf SOLLTEN alle administrativen\ + \ T\xE4tigkeiten in s\xE4mtlichen Bereichen protokolliert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a18 + ref_id: OPS.1.1.2.A18.2 + description: "Dabei SOLLTE jede administrative Aktion vollst\xE4ndig nachvollzogen\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a18 + ref_id: OPS.1.1.2.A18.3 + description: "Die ausf\xFChrenden Administrierenden SOLLTEN keinen Einfluss\ + \ auf Art und Umfang der Protokollierung nehmen k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 + ref_id: OPS.1.1.2.A19 + name: "Nutzung hochverf\xFCgbarer IT-Administrationswerkzeuge" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a19 + ref_id: OPS.1.1.2.A19.1 + description: Administrationswerkzeuge SOLLTEN redundant ausgelegt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a19 + ref_id: OPS.1.1.2.A19.2 + description: "Es SOLLTE sichergestellt werden, dass im St\xF6rungsfall weiterhin\ + \ alle Administrationsaufgaben ohne wesentliche Einschr\xE4nkungen ausgef\xFC\ + hrt werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 + ref_id: OPS.1.1.2.A21 + name: Regelung der IT-Administrationsrollen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a21 + ref_id: OPS.1.1.2.A21.1 + description: "Es M\xDCSSEN Rollen definiert werden, die ausschlie\xDFlich zur\ + \ IT-Administration vergeben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a21.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a21 + ref_id: OPS.1.1.2.A21.2 + description: "Administrationsrollen M\xDCSSEN aufgrund des tats\xE4chlichen\ + \ Bedarfs im Aufgabenbereich der IT-Administration nachvollziehbar vergeben\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a21.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a21 + ref_id: OPS.1.1.2.A21.3 + description: "Alle notwendigen IT-Administrationst\xE4tigkeiten M\xDCSSEN durch\ + \ Berechtigungen in den Administrationsrollen nach dem Minimalprinzip abgedeckt\ + \ sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a21.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a21 + ref_id: OPS.1.1.2.A21.4 + description: "Die IT-Administration unterschiedlicher Ebenen der IT-Komponenten,\ + \ z. B. die Trennung von Betriebssystem- und Anwendungsadministration, MUSS\ + \ bei der Konzeption der Administrationsrollen ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 + ref_id: OPS.1.1.2.A22 + name: "Trennung von administrativen und anderen T\xE4tigkeiten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a22 + ref_id: OPS.1.1.2.A22.1 + description: "Die durchf\xFChrende Person MUSS wissen, bei welchem Teil ihrer\ + \ Aufgabe es sich um administrative T\xE4tigkeiten handelt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a22.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a22 + ref_id: OPS.1.1.2.A22.2 + description: "Aufgaben, die keine Administrationsrechte ben\xF6tigen, D\xDC\ + RFEN NICHT mit Administrationsrechten ausgef\xFChrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a22.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a22 + ref_id: OPS.1.1.2.A22.3 + description: Es MUSS sichergestellt werden, dass Administrationswerkzeuge klar + als solche erkennbar sind. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a22.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a22 + ref_id: OPS.1.1.2.A22.4 + description: "Wenn eine Anwendung zur Erf\xFCllung einer Administrationsaufgabe\ + \ benutzt wird, DARF NICHT dieselbe Instanz dieser Anwendung f\xFCr andere\ + \ Aufgaben verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a22.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a22 + ref_id: OPS.1.1.2.A22.5 + description: Dies SOLLTE auf technischer Ebene sichergestellt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a22.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a22 + ref_id: OPS.1.1.2.A22.6 + description: Die Zugangskennungen, die zur IT-Administration genutzt werden, + SOLLTEN sich von Zugangskennungen unterscheiden, die in anderem Kontext genutzt + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a23 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 + ref_id: OPS.1.1.2.A23 + name: "Rollen- und Berechtigungskonzept f\xFCr administrative Zugriffe" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a23.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a23 + ref_id: OPS.1.1.2.A23.1 + description: "Es SOLLTE ein angemessenes Rollen- und Berechtigungskonzept f\xFC\ + r administrative Zugriffe existieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a23.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a23 + ref_id: OPS.1.1.2.A23.2 + description: "Darin SOLLTEN grunds\xE4tzliche Vorgaben gemacht werden, mindestens\ + \ dar\xFCber," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a23.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a23 + ref_id: OPS.1.1.2.A23.3 + description: "\u2022 wie Administrationsrollen beantragt und zugewiesen werden," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a23.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a23 + ref_id: OPS.1.1.2.A23.4 + description: "\u2022 welche Arten von Administrationsrollen existieren," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a23.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a23 + ref_id: OPS.1.1.2.A23.5 + description: "\u2022 welche Arten von Berechtigungen im Kontext der Administrationsrollen\ + \ vergeben werden," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a23.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a23 + ref_id: OPS.1.1.2.A23.6 + description: "\u2022 wie f\xFCr die IT-Administration notwendige Berechtigungen\ + \ vergeben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a24 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 + ref_id: OPS.1.1.2.A24 + name: "Pr\xFCfen von IT-Administrationst\xE4tigkeiten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a24.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a24 + ref_id: OPS.1.1.2.A24.1 + description: "Bevor eine IT-Administrationst\xE4tigkeit durchgef\xFChrt wird,\ + \ SOLLTE gepr\xFCft werden, ob der Anlass und die Art der T\xE4tigkeit im\ + \ Kontext der zugrundeliegenden Aufgabe plausibel sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a24.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a24 + ref_id: OPS.1.1.2.A24.2 + description: "Nachdem eine IT-Administrationst\xE4tigkeit an einer Komponente\ + \ durchgef\xFChrt wurde, SOLLTE gepr\xFCft werden, ob die Konfiguration und\ + \ der Status der Komponente dem gew\xFCnschten Zielzustand entspricht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a24.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a24 + ref_id: OPS.1.1.2.A24.3 + description: "Falls eine zus\xE4tzliche Qualit\xE4tssicherung der ausgef\xFC\ + hrten Administrationsaufgabe notwendig ist, SOLLTE diese nicht durch dieselbe\ + \ Person durchgef\xFChrt werden, die die entsprechenden T\xE4tigkeiten durchgef\xFC\ + hrt hat." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a24.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a24 + ref_id: OPS.1.1.2.A24.4 + description: "F\xFCr IT-Administrationst\xE4tigkeiten mit potenziell weitreichenden\ + \ Folgen SOLLTE gepr\xFCft werden, ob diese T\xE4tigkeiten die Verf\xFCgbarkeit\ + \ der IT-Administration selbst einschr\xE4nken k\xF6nnten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a24.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a24 + ref_id: OPS.1.1.2.A24.5 + description: "In diesem Fall SOLLTEN entsprechende Vorkehrungen getroffen werden,\ + \ um einen Rollback der IT-Administrationst\xE4tigkeiten zu erm\xF6glichen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a25 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 + ref_id: OPS.1.1.2.A25 + name: "Zeitfenster f\xFCr schwerwiegende IT-Administrationst\xE4tigkeiten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a25.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a25 + ref_id: OPS.1.1.2.A25.1 + description: "F\xFCr IT-Administrationst\xE4tigkeiten mit potenziell weitreichenden\ + \ Folgen SOLLTEN durch den IT-Betrieb Wartungsfenster abgestimmt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a25.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a25 + ref_id: OPS.1.1.2.A25.2 + description: "Falls der IT-Betrieb f\xFCr IT-Administrationst\xE4tigkeiten Vorgaben\ + \ zu Zeitfenstern macht, M\xDCSSEN diese eingehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a26 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 + ref_id: OPS.1.1.2.A26 + name: Backup der Konfiguration + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a26.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a26 + ref_id: OPS.1.1.2.A26.1 + description: "Alle Konfigurationen SOLLTEN durch regelm\xE4\xDFige Backups auf\ + \ Anwendungsebene und auf IT-Systemebene gesichert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a26.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a26 + ref_id: OPS.1.1.2.A26.2 + description: "Vor IT-Administrationst\xE4tigkeiten mit potenziell weitreichenden\ + \ Folgen SOLLTE ein zus\xE4tzliches Backup gemacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a26.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a26 + ref_id: OPS.1.1.2.A26.3 + description: "F\xFCr Backups SOLLTE gew\xE4hrleistet sein, dass sie im Fehlerfall\ + \ wieder eingespielt werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a27 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 + ref_id: OPS.1.1.2.A27 + name: "Ersatz f\xFCr zentrale IT-Administrationswerkzeuge" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a27.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a27 + ref_id: OPS.1.1.2.A27.1 + description: "F\xFCr zentrale IT-Administrationswerkzeuge SOLLTEN Alternativen\ + \ zur Verf\xFCgung stehen, mit denen im Bedarfsfall administriert werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a27.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a27 + ref_id: OPS.1.1.2.A27.2 + description: "Hierzu SOLLTEN Sprungsysteme mit Zugriff auf entsprechende Administrationsnetze\ + \ zur Verf\xFCgung stehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a27.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a27 + ref_id: OPS.1.1.2.A27.3 + description: "Falls solche Alternativen nicht zur Verf\xFCgung stehen, SOLLTE\ + \ zur IT-Administration der Zugang und der direkte Zugriff auf die zu administrierende\ + \ IT m\xF6glich sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a28 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 + ref_id: OPS.1.1.2.A28 + name: "Protokollierung administrativer T\xE4tigkeiten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a28.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a28 + ref_id: OPS.1.1.2.A28.1 + description: "Administrative T\xE4tigkeiten SOLLTEN protokolliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a28.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a28 + ref_id: OPS.1.1.2.A28.2 + description: "Die Protokolldateien SOLLTEN f\xFCr eine angemessene Zeitdauer\ + \ gesch\xFCtzt aufbewahrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a28.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a28 + ref_id: OPS.1.1.2.A28.3 + description: "Die ausf\xFChrenden Administrierenden SOLLTEN keine M\xF6glichkeiten\ + \ haben, die aufgezeichneten Protokolldateien zu ver\xE4ndern oder zu l\xF6\ + schen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a28.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a28 + ref_id: OPS.1.1.2.A28.4 + description: "Protokolldaten SOLLTEN regelm\xE4\xDFig gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a29 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 + ref_id: OPS.1.1.2.A29 + name: Monitoring der IT-Administrationswerkzeuge + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a29.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a29 + ref_id: OPS.1.1.2.A29.1 + description: "F\xFCr IT-Administrationswerkzeuge SOLLTEN Kenngr\xF6\xDFen zur\ + \ Verf\xFCgbarkeit identifiziert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a29.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a29 + ref_id: OPS.1.1.2.A29.2 + description: "Diese Kenngr\xF6\xDFen SOLLTEN kontinuierlich \xFCberwacht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a29.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a29 + ref_id: OPS.1.1.2.A29.3 + description: "Es SOLLTEN tolerierbare Grenzwerte dieser Kenngr\xF6\xDFen festgelegt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a29.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a29 + ref_id: OPS.1.1.2.A29.4 + description: "Werden diese nicht eingehalten, SOLLTEN die zust\xE4ndigen Teams\ + \ automatisch benachrichtigt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a30 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2 + ref_id: OPS.1.1.2.A30 + name: "Sicherheitsmonitoring administrativer T\xE4tigkeiten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a30.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a30 + ref_id: OPS.1.1.2.A30.1 + description: "Falls ein IT-System zur zentralen Detektion und automatisierten\ + \ Echtzeit\xFCberpr\xFCfung von Ereignismeldungen genutzt wird, SOLLTEN dort\ + \ Ereignisdaten zu administrativen T\xE4tigkeiten ausgewertet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a30.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.2.a30 + ref_id: OPS.1.1.2.A30.2 + description: Hierzu SOLLTEN bestehende Monitoring-Systeme der IT sowie kritische + Administrationswerkzeuge in dieses IT-System eingebunden werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops + ref_id: OPS.1.1.3 + name: "Patch- und \xC4nderungsmanagement" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3 + ref_id: OPS.1.1.3.A1 + name: "Konzept f\xFCr das Patch- und \xC4nderungsmanagement" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a1 + ref_id: OPS.1.1.3.A1.1 + description: "Wenn IT-Komponenten, Software oder Konfigurationsdaten ge\xE4\ + ndert werden, MUSS es daf\xFCr Vorgaben geben, die auch Sicherheitsaspekte\ + \ ber\xFCcksichtigen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a1 + ref_id: OPS.1.1.3.A1.2 + description: "Diese M\xDCSSEN in einem Konzept f\xFCr das Patch- und \xC4nderungsmanagement\ + \ festgehalten und befolgt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a1 + ref_id: OPS.1.1.3.A1.3 + description: "Alle Patches und \xC4nderungen M\xDCSSEN geeignet geplant, genehmigt\ + \ und dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a1 + ref_id: OPS.1.1.3.A1.4 + description: "Patches und \xC4nderungen SOLLTEN vorab geeignet getestet werden\ + \ (siehe hierzu auch OPS.1.1.6 Software-Tests und Freigaben)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a1 + ref_id: OPS.1.1.3.A1.5 + description: "Wenn Patches installiert und \xC4nderungen durchgef\xFChrt werden,\ + \ M\xDCSSEN R\xFCckfall-L\xF6sungen vorhanden sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a1 + ref_id: OPS.1.1.3.A1.6 + description: "Bei gr\xF6\xDFeren \xC4nderungen MUSS zudem der oder die ISB beteiligt\ + \ sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a1.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a1 + ref_id: OPS.1.1.3.A1.7 + description: "Insgesamt MUSS sichergestellt werden, dass das angestrebte Sicherheitsniveau\ + \ w\xE4hrend und nach den \xC4nderungen erhalten bleibt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a1.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a1 + ref_id: OPS.1.1.3.A1.8 + description: "Insbesondere SOLLTEN auch die gew\xFCnschten Sicherheitseinstellungen\ + \ erhalten bleiben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3 + ref_id: OPS.1.1.3.A2 + name: "Festlegung der Zust\xE4ndigkeiten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a2 + ref_id: OPS.1.1.3.A2.1 + description: "F\xFCr alle Organisationsbereiche M\xDCSSEN Zust\xE4ndige f\xFC\ + r das Patch- und \xC4nderungsmanagement festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a2 + ref_id: OPS.1.1.3.A2.2 + description: "Die definierten Zust\xE4ndigkeiten M\xDCSSEN sich auch im Berechtigungskonzept\ + \ widerspiegeln." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3 + ref_id: OPS.1.1.3.A3 + name: Konfiguration von Autoupdate-Mechanismen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a3 + ref_id: OPS.1.1.3.A3.1 + description: "Innerhalb der Strategie zum Patch- und \xC4nderungsmanagement\ + \ MUSS definiert werden, wie mit integrierten Update-Mechanismen (Autoupdate)\ + \ der eingesetzten Software umzugehen ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a3 + ref_id: OPS.1.1.3.A3.2 + description: Insbesondere MUSS festgelegt werden, wie diese Mechanismen abgesichert + und passend konfiguriert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a3 + ref_id: OPS.1.1.3.A3.3 + description: "Au\xDFerdem SOLLTEN neue Komponenten daraufhin \xFCberpr\xFCft\ + \ werden, welche Update-Mechanismen sie haben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3 + ref_id: OPS.1.1.3.A5 + name: "Umgang mit \xC4nderungsanforderungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a5 + ref_id: OPS.1.1.3.A5.1 + description: "Alle \xC4nderungsanforderungen (Request for Changes, RfCs) SOLLTEN\ + \ erfasst und dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a5 + ref_id: OPS.1.1.3.A5.2 + description: "Die \xC4nderungsanforderungen SOLLTEN von den jeweiligen Fachverantwortlichen\ + \ f\xFCr das Patch- und \xC4nderungsmanagement daraufhin kontrolliert werden,\ + \ ob die Aspekte der Informationssicherheit ausreichend ber\xFCcksichtigt\ + \ wurden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3 + ref_id: OPS.1.1.3.A6 + name: "Abstimmung von \xC4nderungsanforderungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a6 + ref_id: OPS.1.1.3.A6.1 + description: "Der zu einer \xC4nderung zugeh\xF6rige Abstimmungsprozess SOLLTE\ + \ alle relevanten Zielgruppen und die Auswirkungen auf die Informationssicherheit\ + \ ber\xFCcksichtigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a6 + ref_id: OPS.1.1.3.A6.2 + description: "Die von der \xC4nderung betroffenen Zielgruppen SOLLTEN sich nachweisbar\ + \ dazu \xE4u\xDFern k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a6 + ref_id: OPS.1.1.3.A6.3 + description: "Auch SOLLTE es ein festgelegtes Verfahren geben, wodurch wichtige\ + \ \xC4nderungsanforderungen beschleunigt werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3 + ref_id: OPS.1.1.3.A7 + name: "Integration des \xC4nderungsmanagements in die Gesch\xE4ftsprozesse" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a7 + ref_id: OPS.1.1.3.A7.1 + description: "Der \xC4nderungsmanagementprozess SOLLTE in die Gesch\xE4ftsprozesse\ + \ beziehungsweise Fachaufgaben integriert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a7 + ref_id: OPS.1.1.3.A7.2 + description: "Bei geplanten \xC4nderungen SOLLTE die aktuelle Situation der\ + \ davon betroffenen Gesch\xE4ftsprozesse ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a7 + ref_id: OPS.1.1.3.A7.3 + description: "Alle relevanten Fachabteilungen SOLLTEN \xFCber anstehende \xC4\ + nderungen informiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a7 + ref_id: OPS.1.1.3.A7.4 + description: "Auch SOLLTE es eine Eskalationsebene geben, deren Mitglieder der\ + \ Leitungsebene der Institution angeh\xF6ren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a7 + ref_id: OPS.1.1.3.A7.5 + description: "Die Mitglieder dieser Eskalationsebene SOLLTEN in Zweifelsf\xE4\ + llen \xFCber Priorit\xE4t und Terminplanung einer Hard- oder Software-\xC4\ + nderung entscheiden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3 + ref_id: OPS.1.1.3.A8 + name: "Sicherer Einsatz von Werkzeugen f\xFCr das Patch- und \xC4nderungsmanagement" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a8 + ref_id: OPS.1.1.3.A8.1 + description: "Anforderungen und Rahmenbedingungen SOLLTEN definiert werden,\ + \ nach denen Werkzeuge f\xFCr das Patch- und \xC4nderungsmanagement ausgew\xE4\ + hlt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a8 + ref_id: OPS.1.1.3.A8.2 + description: "Au\xDFerdem SOLLTE eine spezifische Sicherheitsrichtlinie f\xFC\ + r die eingesetzten Werkzeuge erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3 + ref_id: OPS.1.1.3.A9 + name: "Test- und Abnahmeverfahren f\xFCr neue Hardware" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a9 + ref_id: OPS.1.1.3.A9.1 + description: "Wenn neue Hardware ausgew\xE4hlt wird, SOLLTE gepr\xFCft werden,\ + \ ob die eingesetzte Software und insbesondere die relevanten Betriebssysteme\ + \ mit der Hardware und deren Treibersoftware kompatibel sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a9 + ref_id: OPS.1.1.3.A9.2 + description: Neue Hardware SOLLTE getestet werden, bevor sie eingesetzt wird. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a9 + ref_id: OPS.1.1.3.A9.3 + description: "Diese SOLLTE ausschlie\xDFlich in einer isolierten Umgebung getestet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a9 + ref_id: OPS.1.1.3.A9.4 + description: "F\xFCr IT-Systeme SOLLTE es ein Abnahmeverfahren und eine Freigabeerkl\xE4\ + rung geben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a9.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a9 + ref_id: OPS.1.1.3.A9.5 + description: "Die Zust\xE4ndigen SOLLTEN die Freigabeerkl\xE4rungen an geeigneter\ + \ Stelle schriftlich hinterlegen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a9.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a9 + ref_id: OPS.1.1.3.A9.6 + description: "F\xFCr den Fall, dass trotz der Abnahme- und Freigabeverfahren\ + \ im laufenden Betrieb Fehler festgestellt werden, SOLLTE es ein Verfahren\ + \ zur Fehlerbehebung geben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3 + ref_id: OPS.1.1.3.A10 + name: "Sicherstellung der Integrit\xE4t und Authentizit\xE4t von Softwarepaketen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a10 + ref_id: OPS.1.1.3.A10.1 + description: "W\xE4hrend des gesamten Patch- oder \xC4nderungsprozesses SOLLTE\ + \ die Authentizit\xE4t und Integrit\xE4t von Softwarepaketen sichergestellt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a10 + ref_id: OPS.1.1.3.A10.2 + description: "Dazu SOLLTE gepr\xFCft werden, ob f\xFCr die eingesetzten Softwarepakete\ + \ Pr\xFCfsummen oder digitale Signaturen verf\xFCgbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a10 + ref_id: OPS.1.1.3.A10.3 + description: "Falls ja, SOLLTEN diese vor der Installation des Pakets \xFCberpr\xFC\ + ft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a10 + ref_id: OPS.1.1.3.A10.4 + description: "Ebenso SOLLTE darauf geachtet werden, dass die notwendigen Programme\ + \ zur \xDCberpr\xFCfung vorhanden sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a10.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a10 + ref_id: OPS.1.1.3.A10.5 + description: "Software und Updates SOLLTEN grunds\xE4tzlich nur aus vertrauensw\xFC\ + rdigen Quellen bezogen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3 + ref_id: OPS.1.1.3.A11 + name: Kontinuierliche Dokumentation der Informationsverarbeitung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a11 + ref_id: OPS.1.1.3.A11.1 + description: "\xC4nderungen SOLLTEN in allen Phasen, allen Anwendungen und allen\ + \ Systemen dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a11 + ref_id: OPS.1.1.3.A11.2 + description: Dazu SOLLTEN entsprechende Regelungen erarbeitet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3 + ref_id: OPS.1.1.3.A12 + name: "Einsatz von Werkzeugen beim \xC4nderungsmanagement" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a12 + ref_id: OPS.1.1.3.A12.1 + description: "Bevor ein Werkzeug zum \xC4nderungsmanagement benutzt wird, SOLLTE\ + \ sorgf\xE4ltig gepr\xFCft werden, ob damit die \xC4nderungen angemessen im\ + \ Informationsverbund verteilt werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a12 + ref_id: OPS.1.1.3.A12.2 + description: "Zus\xE4tzlich SOLLTEN Unterbrechungspunkte definiert werden k\xF6\ + nnen, an denen die Verteilung einer fehlerhaften \xC4nderung gestoppt wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3 + ref_id: OPS.1.1.3.A13 + name: "Erfolgsmessung von \xC4nderungsanforderungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a13 + ref_id: OPS.1.1.3.A13.1 + description: "Um zu \xFCberpr\xFCfen, ob eine \xC4nderung erfolgreich war, SOLLTEN\ + \ die jeweiligen Fachverantwortlichen f\xFCr das Patch- und \xC4nderungsmanagement\ + \ sogenannte Nachtests durchf\xFChren." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a13 + ref_id: OPS.1.1.3.A13.2 + description: "Dazu SOLLTEN sie geeignete Referenzsysteme als Qualit\xE4tssicherungssysteme\ + \ ausw\xE4hlen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a13 + ref_id: OPS.1.1.3.A13.3 + description: "Die Ergebnisse der Nachtests SOLLTEN im Rahmen des \xC4nderungsprozesses\ + \ dokumentiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3 + ref_id: OPS.1.1.3.A14 + name: "Synchronisierung innerhalb des \xC4nderungsmanagements" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a14 + ref_id: OPS.1.1.3.A14.1 + description: "Im \xC4nderungsmanagementprozess SOLLTE durch geeignete Mechanismen\ + \ sichergestellt werden, dass auch zeitweise oder l\xE4ngerfristig nicht erreichbare\ + \ Ger\xE4te die Patches und \xC4nderungen erhalten." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3 + ref_id: OPS.1.1.3.A15 + name: "Regelm\xE4\xDFige Aktualisierung von IT-Systemen und Software" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15 + ref_id: OPS.1.1.3.A15.1 + description: "IT-Systeme und Software SOLLTEN regelm\xE4\xDFig aktualisiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15 + ref_id: OPS.1.1.3.A15.2 + description: "Grunds\xE4tzlich SOLLTEN Patches zeitnah nach Ver\xF6ffentlichung\ + \ eingespielt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15 + ref_id: OPS.1.1.3.A15.3 + description: "Basierend auf dem Konzept f\xFCr das Patch- und \xC4nderungsmanagement\ + \ M\xDCSSEN Patches zeitnah nach Ver\xF6ffentlichung bewertet und entsprechend\ + \ priorisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15 + ref_id: OPS.1.1.3.A15.4 + description: "F\xFCr die Bewertung SOLLTE gepr\xFCft werden, ob es zu diesem\ + \ Patch bekannte Schwachstellen gibt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15 + ref_id: OPS.1.1.3.A15.5 + description: Es MUSS entschieden werden, ob der Patch eingespielt werden soll. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15 + ref_id: OPS.1.1.3.A15.6 + description: Wenn ein Patch eingespielt wird, SOLLTE kontrolliert werden, ob + dieser auf allen relevanten Systemen zeitnah erfolgreich eingespielt wurde. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15 + ref_id: OPS.1.1.3.A15.7 + description: "Wenn ein Patch nicht eingespielt wird, M\xDCSSEN die Entscheidung\ + \ und die Gr\xFCnde daf\xFCr dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15 + ref_id: OPS.1.1.3.A15.8 + description: "Falls Hardware- oder Software-Produkte eingesetzt werden sollen,\ + \ die nicht mehr von den Herstellenden unterst\xFCtzt werden oder f\xFCr die\ + \ kein Support mehr vorhanden ist, MUSS gepr\xFCft werden, ob diese dennoch\ + \ sicher betrieben werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.3.a15 + ref_id: OPS.1.1.3.A15.9 + description: "Ist dies nicht der Fall, D\xDCRFEN diese Hardware- oder Software-Produkte\ + \ NICHT mehr verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops + ref_id: OPS.1.1.4 + name: Schutz vor Schadprogrammen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4 + ref_id: OPS.1.1.4.A1 + name: "Erstellung eines Konzepts f\xFCr den Schutz vor Schadprogrammen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a1 + ref_id: OPS.1.1.4.A1.1 + description: "Es MUSS ein Konzept erstellt werden, das beschreibt, welche IT-Systeme\ + \ vor Schadprogrammen gesch\xFCtzt werden m\xFCssen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a1 + ref_id: OPS.1.1.4.A1.2 + description: "Hierbei M\xDCSSEN auch IoT-Ger\xE4te und Produktionssysteme ber\xFC\ + cksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a1 + ref_id: OPS.1.1.4.A1.3 + description: "Au\xDFerdem MUSS festgehalten werden, wie der Schutz zu erfolgen\ + \ hat." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a1 + ref_id: OPS.1.1.4.A1.4 + description: "Ist kein verl\xE4sslicher Schutz m\xF6glich, so SOLLTEN die identifizierten\ + \ IT-Systeme NICHT betrieben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a1 + ref_id: OPS.1.1.4.A1.5 + description: Das Konzept SOLLTE nachvollziehbar dokumentiert und aktuell gehalten + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4 + ref_id: OPS.1.1.4.A2 + name: Nutzung systemspezifischer Schutzmechanismen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a2 + ref_id: OPS.1.1.4.A2.1 + description: "Es MUSS gepr\xFCft werden, welche Schutzmechanismen die verwendeten\ + \ IT-Systeme sowie die darauf genutzten Betriebssysteme und Anwendungen bieten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a2 + ref_id: OPS.1.1.4.A2.2 + description: "Diese Mechanismen M\xDCSSEN genutzt werden, sofern es keinen mindestens\ + \ gleichwertigen Ersatz gibt oder gute Gr\xFCnde dagegen sprechen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a2 + ref_id: OPS.1.1.4.A2.3 + description: "Werden sie nicht genutzt, MUSS dies begr\xFCndet und dokumentiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4 + ref_id: OPS.1.1.4.A3 + name: Auswahl eines Virenschutzprogrammes + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a3 + ref_id: OPS.1.1.4.A3.1 + description: "Abh\xE4ngig vom verwendeten Betriebssystem, anderen vorhandenen\ + \ Schutzmechanismen sowie der Verf\xFCgbarkeit geeigneter Virenschutzprogramme\ + \ MUSS f\xFCr den konkreten Einsatzzweck ein entsprechendes Schutzprogramm\ + \ ausgew\xE4hlt und installiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a3 + ref_id: OPS.1.1.4.A3.2 + description: "F\xFCr Gateways und IT-Systeme, die dem Datenaustausch dienen,\ + \ MUSS ein geeignetes Virenschutzprogramm ausgew\xE4hlt und installiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a3 + ref_id: OPS.1.1.4.A3.3 + description: "Es D\xDCRFEN NUR Produkte f\xFCr den Enterprise-Bereich mit auf\ + \ die Institution zugeschnittenen Service- und Supportleistungen eingesetzt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a3 + ref_id: OPS.1.1.4.A3.4 + description: "Produkte f\xFCr die reine Heimanwendung oder Produkte ohne Support\ + \ D\xDCRFEN NICHT im professionellen Wirkbetrieb eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a3 + ref_id: OPS.1.1.4.A3.5 + description: Cloud-Dienste zur Verbesserung der Detektionsleistung der Virenschutzprogramme + SOLLTEN genutzt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a3.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a3 + ref_id: OPS.1.1.4.A3.6 + description: Falls Cloud-Funktionen solcher Produkte verwendet werden, MUSS + sichergestellt werden, dass dies nicht im Widerspruch zum Daten- oder Geheimschutz + steht. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a3.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a3 + ref_id: OPS.1.1.4.A3.7 + description: "Neben Echtzeit- und On-Demand-Scans MUSS eine eingesetzte L\xF6\ + sung die M\xF6glichkeit bieten, auch komprimierte Daten nach Schadprogrammen\ + \ zu durchsuchen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4 + ref_id: OPS.1.1.4.A5 + name: Betrieb und Konfiguration von Virenschutzprogrammen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a5 + ref_id: OPS.1.1.4.A5.1 + description: "Das Virenschutzprogramm MUSS f\xFCr seine Einsatzumgebung geeignet\ + \ konfiguriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a5 + ref_id: OPS.1.1.4.A5.2 + description: "Die Erkennungsleistung SOLLTE dabei im Vordergrund stehen, sofern\ + \ nicht Datenschutz- oder Leistungsgr\xFCnde im jeweiligen Einzelfall dagegen\ + \ sprechen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a5 + ref_id: OPS.1.1.4.A5.3 + description: "Wenn sicherheitsrelevante Funktionen des Virenschutzprogramms\ + \ nicht genutzt werden, SOLLTE dies begr\xFCndet und dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a5 + ref_id: OPS.1.1.4.A5.4 + description: "Bei Schutzprogrammen, die speziell f\xFCr die Desktop-Virtualisierung\ + \ optimiert sind, SOLLTE nachvollziehbar dokumentiert sein, ob auf bestimmte\ + \ Detektionsverfahren zugunsten der Leistung verzichtet wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a5.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a5 + ref_id: OPS.1.1.4.A5.5 + description: "Es MUSS sichergestellt werden, dass die Benutzenden keine sicherheitsrelevanten\ + \ \xC4nderungen an den Einstellungen der Antivirenprogramme vornehmen k\xF6\ + nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4 + ref_id: OPS.1.1.4.A6 + name: "Regelm\xE4\xDFige Aktualisierung der eingesetzten Virenschutzprogramme" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a6 + ref_id: OPS.1.1.4.A6.1 + description: "Auf den damit ausgestatteten IT-Systemen M\xDCSSEN die Virenschutzprogramme\ + \ nach Empfehlung der herstellenden Institution regelm\xE4\xDFig und zeitnah\ + \ aktualisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4 + ref_id: OPS.1.1.4.A7 + name: Sensibilisierung und Verpflichtung der Benutzenden + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a7 + ref_id: OPS.1.1.4.A7.1 + description: "Benutzende M\xDCSSEN regelm\xE4\xDFig \xFCber die Bedrohung durch\ + \ Schadprogramme aufgekl\xE4rt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a7 + ref_id: OPS.1.1.4.A7.2 + description: "Sie M\xDCSSEN die grundlegenden Verhaltensregeln einhalten, um\ + \ die Gefahr eines Befalls durch Schadprogramme zu reduzieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a7 + ref_id: OPS.1.1.4.A7.3 + description: "Dateien, E-Mails, Webseiten usw. aus nicht vertrauensw\xFCrdigen\ + \ Quellen SOLLTEN NICHT ge\xF6ffnet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a7 + ref_id: OPS.1.1.4.A7.4 + description: "Sie M\xDCSSEN entsprechenden Kontaktpersonen f\xFCr den Fall eines\ + \ Verdacht auf eine Infektion mit einem Schadprogramm bekannt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a7 + ref_id: OPS.1.1.4.A7.5 + description: "Sie M\xDCSSEN sich an die ihnen benannten Kontaktpersonen wenden,\ + \ wenn der Verdacht auf eine Infektion mit einem Schadprogramm besteht." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4 + ref_id: OPS.1.1.4.A9 + name: Meldung von Infektionen mit Schadprogrammen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a9 + ref_id: OPS.1.1.4.A9.1 + description: Das eingesetzte Virenschutzprogramm SOLLTE eine Infektion mit einem + Schadprogramm automatisch blockieren und melden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a9 + ref_id: OPS.1.1.4.A9.2 + description: Die automatische Meldung SOLLTE an einer zentralen Stelle angenommen + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a9 + ref_id: OPS.1.1.4.A9.3 + description: "Dabei SOLLTEN die zust\xE4ndigen Mitarbeitenden je nach Sachlage\ + \ \xFCber das weitere Vorgehen entscheiden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a9 + ref_id: OPS.1.1.4.A9.4 + description: Das Vorgehen bei Meldungen und Alarmen der Virenschutzprogramme + SOLLTE geplant, dokumentiert und getestet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a9.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a9 + ref_id: OPS.1.1.4.A9.5 + description: "Es SOLLTE insbesondere geregelt sein, was im Falle einer best\xE4\ + tigten Infektion geschehen soll." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4 + ref_id: OPS.1.1.4.A10 + name: Nutzung spezieller Analyseumgebungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a10 + ref_id: OPS.1.1.4.A10.1 + description: "Automatisierte Analysen in einer speziellen Testumgebung (basierend\ + \ auf Sandboxen bzw. separaten virtuellen oder physischen Systemen) SOLLTEN\ + \ f\xFCr eine Bewertung von verd\xE4chtigen Dateien erg\xE4nzend herangezogen\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4 + ref_id: OPS.1.1.4.A11 + name: Einsatz mehrerer Scan-Engines + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a11 + ref_id: OPS.1.1.4.A11.1 + description: "Zur Verbesserung der Erkennungsleistung SOLLTEN f\xFCr besonders\ + \ schutzw\xFCrdige IT-Systeme, wie Gateways und IT-Systeme zum Datenaustausch,\ + \ Virenschutzprogramme mit mehreren alternativen Scan-Engines eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4 + ref_id: OPS.1.1.4.A12 + name: "Einsatz von Datentr\xE4gerschleusen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a12 + ref_id: OPS.1.1.4.A12.1 + description: "Bevor insbesondere Datentr\xE4ger von Dritten mit den IT-Systemen\ + \ der Institution verbunden werden, SOLLTEN diese durch eine Datentr\xE4gerschleuse\ + \ gepr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4 + ref_id: OPS.1.1.4.A13 + name: "Umgang mit nicht vertrauensw\xFCrdigen Dateien" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a13 + ref_id: OPS.1.1.4.A13.1 + description: "Ist es notwendig, nicht vertrauensw\xFCrdige Dateien zu \xF6ffnen,\ + \ SOLLTE dies nur auf einem isolierten IT-System geschehen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a13 + ref_id: OPS.1.1.4.A13.2 + description: "Die betroffenen Dateien SOLLTEN dort z. B. in ein ungef\xE4hrliches\ + \ Format umgewandelt oder ausgedruckt werden, wenn sich hierdurch das Risiko\ + \ einer Infektion durch Schadsoftware verringert." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4 + ref_id: OPS.1.1.4.A14 + name: Auswahl und Einsatz von Cyber-Sicherheitsprodukten gegen gezielte Angriffe + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a14 + ref_id: OPS.1.1.4.A14.1 + description: "Der Einsatz sowie der Mehrwert von Produkten und Services, die\ + \ im Vergleich zu herk\xF6mmlichen Virenschutzprogrammen einen erweiterten\ + \ Schutzumfang bieten, SOLLTE gepr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a14 + ref_id: OPS.1.1.4.A14.2 + description: "Solche Sicherheitsprodukte gegen gezielte Angriffe SOLLTEN z.\ + \ B. bei der Ausf\xFChrung von Dateien in speziellen Analyseumgebungen, bei\ + \ der H\xE4rtung von Clients oder bei der Kapselung von Prozessen eingesetzt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.4.a14 + ref_id: OPS.1.1.4.A14.3 + description: "Vor einer Kaufentscheidung f\xFCr ein Sicherheitsprodukt SOLLTEN\ + \ Schutzwirkung und Kompatibilit\xE4t zur eigenen IT-Umgebung getestet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops + ref_id: OPS.1.1.5 + name: Protokollierung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5 + ref_id: OPS.1.1.5.A1 + name: "Erstellung einer Sicherheitsrichtlinie f\xFCr die Protokollierung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1 + ref_id: OPS.1.1.5.A1.1 + description: "Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution\ + \ MUSS eine spezifische Sicherheitsrichtlinie f\xFCr die Protokollierung erstellt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1 + ref_id: OPS.1.1.5.A1.2 + description: "In dieser Sicherheitsrichtlinie M\xDCSSEN nachvollziehbar Anforderungen\ + \ und Vorgaben beschrieben sein, wie die Protokollierung zu planen, aufzubauen\ + \ und sicher zu betreiben ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1 + ref_id: OPS.1.1.5.A1.3 + description: In der spezifischen Sicherheitsrichtlinie MUSS geregelt werden, + wie, wo und was zu protokollieren ist. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1 + ref_id: OPS.1.1.5.A1.4 + description: Dabei SOLLTEN sich Art und Umfang der Protokollierung am Schutzbedarf + der Informationen orientieren. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1 + ref_id: OPS.1.1.5.A1.5 + description: Die spezifische Sicherheitsrichtlinie MUSS von dem oder der ISB + gemeinsam mit den Fachverantwortlichen erstellt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1 + ref_id: OPS.1.1.5.A1.6 + description: "Sie MUSS allen f\xFCr die Protokollierung zust\xE4ndigen Mitarbeitenden\ + \ bekannt und grundlegend f\xFCr ihre Arbeit sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1 + ref_id: OPS.1.1.5.A1.7 + description: "Wird die spezifische Sicherheitsrichtlinie ver\xE4ndert oder wird\ + \ von den Anforderungen abgewichen, MUSS dies mit dem oder der ISB abgestimmt\ + \ und dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1 + ref_id: OPS.1.1.5.A1.8 + description: "Es MUSS regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die spezifische\ + \ Sicherheitsrichtlinie noch korrekt umgesetzt ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a1 + ref_id: OPS.1.1.5.A1.9 + description: "Die Ergebnisse der \xDCberpr\xFCfung M\xDCSSEN dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5 + ref_id: OPS.1.1.5.A3 + name: Konfiguration der Protokollierung auf System- und Netzebene + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a3 + ref_id: OPS.1.1.5.A3.1 + description: "Alle sicherheitsrelevanten Ereignisse von IT-Systemen und Anwendungen\ + \ M\xDCSSEN protokolliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a3 + ref_id: OPS.1.1.5.A3.2 + description: "Sofern die in der Protokollierungsrichtlinie als relevant definierten\ + \ IT-Systeme und Anwendungen \xFCber eine Protokollierungsfunktion verf\xFC\ + gen, MUSS diese benutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a3 + ref_id: OPS.1.1.5.A3.3 + description: "Wenn die Protokollierung eingerichtet wird, M\xDCSSEN dabei die\ + \ Vorgaben des herstellenden Unternehmens f\xFCr die jeweiligen IT-Systeme\ + \ oder Anwendungen beachtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a3 + ref_id: OPS.1.1.5.A3.4 + description: "In angemessenen Intervallen MUSS stichpunktartig \xFCberpr\xFC\ + ft werden, ob die Protokollierung noch korrekt funktioniert." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a3 + ref_id: OPS.1.1.5.A3.5 + description: "Die Pr\xFCfintervalle M\xDCSSEN in der Protokollierungsrichtlinie\ + \ definiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a3.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a3 + ref_id: OPS.1.1.5.A3.6 + description: "Falls betriebs- und sicherheitsrelevante Ereignisse nicht auf\ + \ einem IT-System protokolliert werden k\xF6nnen, M\xDCSSEN zus\xE4tzliche\ + \ IT-Systeme zur Protokollierung (z. B. von Ereignissen auf Netzebene) integriert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5 + ref_id: OPS.1.1.5.A4 + name: Zeitsynchronisation der IT-Systeme + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a4 + ref_id: OPS.1.1.5.A4.1 + description: Die Systemzeit aller protokollierenden IT-Systeme und Anwendungen + MUSS immer synchron sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a4 + ref_id: OPS.1.1.5.A4.2 + description: Es MUSS sichergestellt sein, dass das Datums- und Zeitformat der + Protokolldateien einheitlich ist. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5 + ref_id: OPS.1.1.5.A5 + name: Einhaltung rechtlicher Rahmenbedingungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a5 + ref_id: OPS.1.1.5.A5.1 + description: "Bei der Protokollierung M\xDCSSEN die Bestimmungen aus den aktuellen\ + \ Gesetzen zum Bundes- sowie Landesdatenschutz eingehalten werden (siehe CON.2\ + \ Datenschutz)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a5 + ref_id: OPS.1.1.5.A5.2 + description: "Dar\xFCber hinaus M\xDCSSEN eventuelle Pers\xF6nlichkeitsrechte\ + \ bzw. Mitbestimmungsrechte der Mitarbeitendenvertretungen gewahrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a5 + ref_id: OPS.1.1.5.A5.3 + description: Ebenso MUSS sichergestellt sein, dass alle weiteren relevanten + gesetzlichen Bestimmungen beachtet werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a5 + ref_id: OPS.1.1.5.A5.4 + description: "Protokollierungsdaten M\xDCSSEN nach einem festgelegten Prozess\ + \ gel\xF6scht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a5.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a5 + ref_id: OPS.1.1.5.A5.5 + description: "Es MUSS technisch unterbunden werden, dass Protokollierungsdaten\ + \ unkontrolliert gel\xF6scht oder ver\xE4ndert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5 + ref_id: OPS.1.1.5.A6 + name: Aufbau einer zentralen Protokollierungsinfrastruktur + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a6 + ref_id: OPS.1.1.5.A6.1 + description: Alle gesammelten sicherheitsrelevanten Protokollierungsdaten SOLLTEN + an einer zentralen Stelle gespeichert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a6 + ref_id: OPS.1.1.5.A6.2 + description: "Daf\xFCr SOLLTE eine zentrale Protokollierungsinfrastruktur im\ + \ Sinne eines Logserver-Verbunds aufgebaut und in einem hierf\xFCr eingerichteten\ + \ Netzsegment platziert werden (siehe NET.1.1 Netzarchitektur und -design)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a6 + ref_id: OPS.1.1.5.A6.3 + description: "Zus\xE4tzlich zu sicherheitsrelevanten Ereignissen (siehe OPS.1.1.5.A3\ + \ Konfiguration der Protokollierung auf System- und Netzebene) SOLLTE eine\ + \ zentrale Protokollierungsinfrastruktur auch allgemeine Betriebsereignisse\ + \ protokollieren, die auf einen Fehler hindeuten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a6 + ref_id: OPS.1.1.5.A6.4 + description: Die Protokollierungsinfrastruktur SOLLTE ausreichend dimensioniert + sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a6 + ref_id: OPS.1.1.5.A6.5 + description: "Die M\xF6glichkeit einer Skalierung im Sinne einer erweiterten\ + \ Protokollierung SOLLTE ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a6.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a6 + ref_id: OPS.1.1.5.A6.6 + description: "Daf\xFCr SOLLTEN gen\xFCgend technische, finanzielle und personelle\ + \ Ressourcen verf\xFCgbar sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5 + ref_id: OPS.1.1.5.A8 + name: Archivierung von Protokollierungsdaten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a8 + ref_id: OPS.1.1.5.A8.1 + description: Protokollierungsdaten SOLLTEN archiviert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a8 + ref_id: OPS.1.1.5.A8.2 + description: "Dabei SOLLTEN die gesetzlich vorgeschriebenen Regelungen ber\xFC\ + cksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5 + ref_id: OPS.1.1.5.A9 + name: "Bereitstellung von Protokollierungsdaten f\xFCr die Auswertung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a9 + ref_id: OPS.1.1.5.A9.1 + description: Die gesammelten Protokollierungsdaten SOLLTEN gefiltert, normalisiert, + aggregiert und korreliert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a9 + ref_id: OPS.1.1.5.A9.2 + description: "Die so bearbeiteten Protokollierungsdaten SOLLTEN geeignet verf\xFC\ + gbar gemacht werden, damit sie ausgewertet werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a9 + ref_id: OPS.1.1.5.A9.3 + description: "Damit sich die Daten automatisiert auswerten lassen, SOLLTEN die\ + \ Protokollanwendungen \xFCber entsprechende Schnittstellen f\xFCr die Auswertungsprogramme\ + \ verf\xFCgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a9 + ref_id: OPS.1.1.5.A9.4 + description: Es SOLLTE sichergestellt sein, dass bei der Auswertung von Protokollierungsdaten + die Sicherheitsanforderungen eingehalten werden, die in der Protokollierungsrichtlinie + definiert sind. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a9.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a9 + ref_id: OPS.1.1.5.A9.5 + description: "Auch wenn die Daten bereitgestellt werden, SOLLTEN betriebliche\ + \ und interne Vereinbarungen ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a9.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a9 + ref_id: OPS.1.1.5.A9.6 + description: "Die Protokollierungsdaten SOLLTEN zus\xE4tzlich in unver\xE4nderter\ + \ Originalform aufbewahrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5 + ref_id: OPS.1.1.5.A10 + name: "Zugriffsschutz f\xFCr Protokollierungsdaten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a10 + ref_id: OPS.1.1.5.A10.1 + description: "Es SOLLTE sichergestellt sein, dass die ausf\xFChrenden Administrierenden\ + \ selbst keine Berechtigung haben, die aufgezeichneten Protokollierungsdaten\ + \ zu ver\xE4ndern oder zu l\xF6schen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5 + ref_id: OPS.1.1.5.A11 + name: Steigerung des Protokollierungsumfangs + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a11 + ref_id: OPS.1.1.5.A11.1 + description: "Bei erh\xF6htem Schutzbedarf von Anwendungen oder IT-Systemen\ + \ SOLLTEN grunds\xE4tzlich mehr Ereignisse protokolliert werden, sodass sicherheitsrelevante\ + \ Vorf\xE4lle m\xF6glichst l\xFCckenlos nachvollziehbar sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a11 + ref_id: OPS.1.1.5.A11.2 + description: "Um die Protokollierungsdaten in Echtzeit auswerten zu k\xF6nnen,\ + \ SOLLTEN sie in verk\xFCrzten Zeitabst\xE4nden von den protokollierenden\ + \ IT-Systemen und Anwendungen zentral gespeichert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a11 + ref_id: OPS.1.1.5.A11.3 + description: "Die Protokollierung SOLLTE eine Auswertung \xFCber den gesamten\ + \ Informationsverbund erm\xF6glichen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a11.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a11 + ref_id: OPS.1.1.5.A11.4 + description: "Anwendungen und IT-Systeme, mit denen eine zentrale Protokollierung\ + \ nicht m\xF6glich ist, SOLLTEN bei einem erh\xF6hten Schutzbedarf NICHT eingesetzt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5 + ref_id: OPS.1.1.5.A12 + name: "Verschl\xFCsselung der Protokollierungsdaten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a12 + ref_id: OPS.1.1.5.A12.1 + description: "Um Protokollierungsdaten sicher \xFCbertragen zu k\xF6nnen, SOLLTEN\ + \ sie verschl\xFCsselt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a12 + ref_id: OPS.1.1.5.A12.2 + description: Alle gespeicherten Protokolle SOLLTEN digital signiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a12 + ref_id: OPS.1.1.5.A12.3 + description: "Auch archivierte und au\xDFerhalb der Protokollierungsinfrastruktur\ + \ gespeicherte Protokollierungsdaten SOLLTEN immer verschl\xFCsselt gespeichert\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5 + ref_id: OPS.1.1.5.A13 + name: "Hochverf\xFCgbare Protokollierungsinfrastruktur" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.5.a13 + ref_id: OPS.1.1.5.A13.1 + description: "Eine hochverf\xFCgbare Protokollierungsinfrastruktur SOLLTE aufgebaut\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops + ref_id: OPS.1.1.6 + name: Software-Tests und -Freigaben + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6 + ref_id: OPS.1.1.6.A1 + name: Planung der Software-Tests + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a1 + ref_id: OPS.1.1.6.A1.1 + description: "Die Rahmenbedingungen f\xFCr Software-Tests M\xDCSSEN vor den\ + \ Tests innerhalb der Institution entsprechend der Schutzbedarfe, Organisationseinheiten,\ + \ technischen M\xF6glichkeiten und Test-Umgebungen festlegt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a1 + ref_id: OPS.1.1.6.A1.2 + description: Die Software MUSS auf Basis der Anforderungen des Anforderungskatalogs + zu der Software getestet werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a1 + ref_id: OPS.1.1.6.A1.3 + description: "Liegt auch ein Pflichtenheft vor, dann MUSS dieses zus\xE4tzlich\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a1 + ref_id: OPS.1.1.6.A1.4 + description: "Die Testf\xE4lle M\xDCSSEN so ausgew\xE4hlt werden, sodass diese\ + \ m\xF6glichst repr\xE4sentativ alle Funktionen der Software \xFCberpr\xFC\ + fen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a1 + ref_id: OPS.1.1.6.A1.5 + description: "Zus\xE4tzlich SOLLTEN auch Negativ-Tests ber\xFCcksichtigt werden,\ + \ die \xFCberpr\xFCfen, ob die Software keine ungewollten Funktionen enth\xE4\ + lt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a1 + ref_id: OPS.1.1.6.A1.6 + description: "Die Testumgebung MUSS so ausgew\xE4hlt werden, sodass diese m\xF6\ + glichst repr\xE4sentativ alle in der Institution eingesetzten Ger\xE4temodelle\ + \ und Betriebssystemumgebungen abdeckt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a1.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a1 + ref_id: OPS.1.1.6.A1.7 + description: "Es SOLLTE dabei getestet werden, ob die Software mit den eingesetzten\ + \ Betriebssystemen in den vorliegenden Konfigurationen kompatibel und funktionsf\xE4\ + hig ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6 + ref_id: OPS.1.1.6.A2 + name: "Durchf\xFChrung von funktionalen Software-Tests" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a2 + ref_id: OPS.1.1.6.A2.1 + description: "Mit funktionalen Software-Tests MUSS die ordnungsgem\xE4\xDFe\ + \ und vollst\xE4ndige Funktion der Software \xFCberpr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a2 + ref_id: OPS.1.1.6.A2.2 + description: "Die funktionalen Software-Tests M\xDCSSEN so durchgef\xFChrt werden,\ + \ dass sie den Produktivbetrieb nicht beeinflussen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6 + ref_id: OPS.1.1.6.A3 + name: Auswertung der Testergebnisse + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a3 + ref_id: OPS.1.1.6.A3.1 + description: "Die Ergebnisse der Software-Tests M\xDCSSEN ausgewertet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a3 + ref_id: OPS.1.1.6.A3.2 + description: "Es SOLLTE ein Soll-Ist-Vergleich mit definierten Vorgaben durchgef\xFC\ + hrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a3 + ref_id: OPS.1.1.6.A3.3 + description: Die Auswertung MUSS dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6 + ref_id: OPS.1.1.6.A4 + name: Freigabe der Software + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a4 + ref_id: OPS.1.1.6.A4.1 + description: "Die fachlich zust\xE4ndige Organisationseinheit MUSS die Software\ + \ freigeben, sobald die Software-Tests erfolgreich durchgef\xFChrt wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a4 + ref_id: OPS.1.1.6.A4.2 + description: "Die Freigabe MUSS in Form einer Freigabeerkl\xE4rung dokumentiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a4 + ref_id: OPS.1.1.6.A4.3 + description: "Die freigebende Organisationseinheit MUSS \xFCberpr\xFCfen, ob\ + \ die Software gem\xE4\xDF den Anforderungen getestet wurde." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a4 + ref_id: OPS.1.1.6.A4.4 + description: "Die Ergebnisse der Software-Tests M\xDCSSEN mit den vorher festgelegten\ + \ Erwartungen \xFCbereinstimmen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a4 + ref_id: OPS.1.1.6.A4.5 + description: "Auch MUSS \xFCberpr\xFCft werden, ob die rechtlichen und organisatorischen\ + \ Vorgaben eingehalten wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6 + ref_id: OPS.1.1.6.A5 + name: "Durchf\xFChrung von Software-Tests f\xFCr nicht funktionale Anforderungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a5 + ref_id: OPS.1.1.6.A5.1 + description: "Es M\xDCSSEN Software-Tests durchgef\xFChrt werden, die \xFCberpr\xFC\ + fen, ob alle wesentlichen nichtfunktionalen Anforderungen erf\xFCllt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a5 + ref_id: OPS.1.1.6.A5.2 + description: "Insbesondere M\xDCSSEN sicherheitsspezifische Software-Tests durchgef\xFC\ + hrt werden, wenn die Anwendung sicherheitskritische Funktionen mitbringt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a5 + ref_id: OPS.1.1.6.A5.3 + description: "Die durchgef\xFChrten Testf\xE4lle, sowie die Testergebnisse,\ + \ M\xDCSSEN dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6 + ref_id: OPS.1.1.6.A6 + name: Geordnete Einweisung der Software-Testenden + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a6 + ref_id: OPS.1.1.6.A6.1 + description: "Die Software-Testenden SOLLTEN \xFCber die durchzuf\xFChrenden\ + \ Testarten und die zu testenden Bereiche einer Software von Fachverantwortlichen\ + \ informiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a6 + ref_id: OPS.1.1.6.A6.2 + description: "Dar\xFCber hinaus SOLLTEN die Software-Testende \xFCber die Anwendungsf\xE4\ + lle und m\xF6gliche weitere Anforderungen der Software informiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6 + ref_id: OPS.1.1.6.A7 + name: Personalauswahl der Software-Testenden + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a7 + ref_id: OPS.1.1.6.A7.1 + description: "Bei der Auswahl der Software-Testenden SOLLTEN gesonderte Auswahlkriterien\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a7 + ref_id: OPS.1.1.6.A7.2 + description: Die Software-Testenden SOLLTEN die erforderliche berufliche Qualifikation + haben. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a7 + ref_id: OPS.1.1.6.A7.3 + description: "Wird Individualsoftware auf Quellcode-Ebene \xFCberpr\xFCft, dann\ + \ SOLLTEN die Testenden \xFCber ausreichendes Fachwissen \xFCber die zu testenden\ + \ Programmiersprache und der Entwicklungsumgebung verf\xFCgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a7 + ref_id: OPS.1.1.6.A7.4 + description: "Der Quellcode SOLLTE NICHT ausschlie\xDFlich von Testenden \xFC\ + berpr\xFCft werden, die auch an der Erstellung des Quellcodes beteiligt waren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6 + ref_id: OPS.1.1.6.A10 + name: Erstellung eines Abnahmeplans + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a10 + ref_id: OPS.1.1.6.A10.1 + description: "In einem Abnahmeplan SOLLTEN die durchzuf\xFChrenden Testarten,\ + \ Testf\xE4lle und die erwarteten Ergebnisse dokumentiert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a10 + ref_id: OPS.1.1.6.A10.2 + description: "Au\xDFerdem SOLLTE der Abnahmeplan die Freigabekriterien beinhalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a10 + ref_id: OPS.1.1.6.A10.3 + description: "Es SOLLTE eine Vorgehensweise f\xFCr die Situation festgelegt\ + \ werden, wenn eine Freigabe abgelehnt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6 + ref_id: OPS.1.1.6.A11 + name: Verwendung von anonymisierten oder pseudonymisierten Testdaten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a11 + ref_id: OPS.1.1.6.A11.1 + description: "Wenn Produktivdaten f\xFCr Software-Tests verwendet werden, die\ + \ sch\xFCtzenswerte Informationen enthalten, dann M\xDCSSEN diese Testdaten\ + \ angemessen gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a11 + ref_id: OPS.1.1.6.A11.2 + description: "Enthalten diese Daten personenbezogene Informationen, dann M\xDC\ + SSEN diese Daten mindestens pseudonymisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a11 + ref_id: OPS.1.1.6.A11.3 + description: "Falls m\xF6glich, SOLLTEN die Testdaten mit Personenbezug vollst\xE4\ + ndig anonymisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a11.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a11 + ref_id: OPS.1.1.6.A11.4 + description: "Wenn ein Personenbezug von den Testdaten abgeleitet werden k\xF6\ + nnte, MUSS der oder die Datenschutzbeauftragte und unter Umst\xE4nden die\ + \ Personalvertretung hinzugezogen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6 + ref_id: OPS.1.1.6.A12 + name: "Durchf\xFChrung von Regressionstests" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a12 + ref_id: OPS.1.1.6.A12.1 + description: "Wenn Software ver\xE4ndert wurde, SOLLTEN Regressionstests durchgef\xFC\ + hrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a12 + ref_id: OPS.1.1.6.A12.2 + description: "Hierbei SOLLTE \xFCberpr\xFCft werden, ob bisherige bestehende\ + \ Sicherheitsmechanismen und -einstellungen durch das Update ungewollt ver\xE4\ + ndert wurden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a12 + ref_id: OPS.1.1.6.A12.3 + description: "Regressionstests SOLLTEN vollst\xE4ndig durchgef\xFChrt werden\ + \ und hierbei auch Erweiterungen sowie Hilfsmittel umfassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a12 + ref_id: OPS.1.1.6.A12.4 + description: "Werden Testf\xE4lle ausgelassen, SOLLTE dies begr\xFCndet und\ + \ dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a12.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a12 + ref_id: OPS.1.1.6.A12.5 + description: "Die durchgef\xFChrten Testf\xE4lle und die Testergebnisse SOLLTEN\ + \ dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6 + ref_id: OPS.1.1.6.A13 + name: Trennung der Testumgebung von der Produktivumgebung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a13 + ref_id: OPS.1.1.6.A13.1 + description: "Software SOLLTE nur in einer hierf\xFCr vorgesehenen Testumgebung\ + \ getestet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a13 + ref_id: OPS.1.1.6.A13.2 + description: Die Testumgebung SOLLTE von der Produktivumgebung getrennt betrieben + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a13 + ref_id: OPS.1.1.6.A13.3 + description: Die in der Testumgebung verwendeten Architekturen und Mechanismen + SOLLTEN dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a13.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a13 + ref_id: OPS.1.1.6.A13.4 + description: Es SOLLTEN Verfahren dokumentiert werden, wie mit der Testumgebung + nach Abschluss des Software-Tests zu verfahren ist. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6 + ref_id: OPS.1.1.6.A14 + name: "Durchf\xFChrung von Penetrationstests" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a14 + ref_id: OPS.1.1.6.A14.1 + description: "F\xFCr Anwendungen beziehungsweise IT-Systeme mit erh\xF6htem\ + \ Schutzbedarf SOLLTEN Penetrationstests als Testmethode durchgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a14 + ref_id: OPS.1.1.6.A14.2 + description: "Ein Konzept f\xFCr Penetrationstests SOLLTE erstellt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a14 + ref_id: OPS.1.1.6.A14.3 + description: "Im Konzept f\xFCr Penetrationstests SOLLTEN neben den zu verwendenden\ + \ Testmethoden auch die Erfolgskriterien dokumentiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a14.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a14 + ref_id: OPS.1.1.6.A14.4 + description: Der Penetrationstest SOLLTE nach den Rahmenbedingungen des Penetrationstest-Konzepts + erfolgen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a14.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a14 + ref_id: OPS.1.1.6.A14.5 + description: "Die durch den Penetrationstest aufgefundenen Sicherheitsl\xFC\ + cken SOLLTEN klassifiziert und dokumentiert sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6 + ref_id: OPS.1.1.6.A15 + name: "\xDCberpr\xFCfung der Installation und zugeh\xF6rigen Dokumentation" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a15 + ref_id: OPS.1.1.6.A15.1 + description: "Die Installation der Software SOLLTE entsprechend der Regelungen\ + \ zur Installation und Konfiguration von Software (siehe Baustein APP.6 Allgemeine\ + \ Software) \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a15 + ref_id: OPS.1.1.6.A15.2 + description: "Falls vorhanden, SOLLTE zus\xE4tzlich die Installations- und Konfigurationsdokumentation\ + \ gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6 + ref_id: OPS.1.1.6.A16 + name: "Sicherheits\xFCberpr\xFCfung der Testenden" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a16 + ref_id: OPS.1.1.6.A16.1 + description: "Sofern Testende auf besonders sch\xFCtzenswerte Informationen\ + \ zugreifen m\xFCssen, SOLLTE die Institution Nachweise \xFCber ihre Integrit\xE4\ + t und Reputation einholen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a16 + ref_id: OPS.1.1.6.A16.2 + description: "Handelt es sich dabei um klassifizierte Verschlusssachen, SOLLTEN\ + \ sich die Software-Testenden einer Sicherheits\xFCberpr\xFCfung nach dem\ + \ Sicherheits\xFCberpr\xFCfungsgesetz (S\xDCG) unterziehen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.6.a16 + ref_id: OPS.1.1.6.A16.3 + description: "Hierzu SOLLTE der oder die ISB die Geheimschutzbeauftragten bzw.\ + \ Sicherheitsbevollm\xE4chtigten der Institution einbeziehen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops + ref_id: OPS.1.1.7 + name: Systemmanagement + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 + ref_id: OPS.1.1.7.A1 + name: "Anforderungsspezifikation f\xFCr das Systemmanagement" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a1 + ref_id: OPS.1.1.7.A1.1 + description: "Anforderungen an die Systemmanagement-Infrastruktur und -Prozesse\ + \ M\xDCSSEN spezifiziert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a1 + ref_id: OPS.1.1.7.A1.2 + description: "Dabei M\xDCSSEN alle wesentlichen Elemente f\xFCr das Systemmanagement\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a1 + ref_id: OPS.1.1.7.A1.3 + description: "Auch M\xDCSSEN die Sicherheitsaspekte f\xFCr das Systemmanagement\ + \ von Beginn an beachtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a1 + ref_id: OPS.1.1.7.A1.4 + description: "Zudem M\xDCSSEN die Schnittstellen der zu verwaltenden IT-Systeme\ + \ dokumentiert werden, z. B. um die Kompatibilit\xE4t von Systemmanagement-L\xF6\ + sung und zu verwaltendem System zu gew\xE4hrleisten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 + ref_id: OPS.1.1.7.A2 + name: Planung des Systemmanagements + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.1 + description: "Die Systemmanagement-L\xF6sung und die zugrundeliegende Infrastruktur\ + \ M\xDCSSEN geeignet geplant werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.2 + description: 'Die Planung MUSS mindestens die folgenden Inhalte umfassen:' + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.3 + description: "\u2022 eine detaillierte Anforderungsanalyse," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.4 + description: "\u2022 ein aussagekr\xE4ftiges Grobkonzept," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.5 + description: "\u2022 einen umfassenden Umsetzungsplan sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.6 + description: "\u2022 Meilensteine f\xFCr Qualit\xE4tssicherung und Abnahme." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.7 + description: "Dabei M\xDCSSEN alle in der Anforderungsspezifikation genannten\ + \ Punkte sowie das Rollen- und Berechtigungskonzept ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.8 + description: "Es M\xDCSSEN mindestens die folgenden Themen ber\xFCcksichtigt\ + \ werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.9 + description: "\u2022 Trennung in geeignete Bereiche f\xFCr das Systemmanagement," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.10 + description: "\u2022 Zugriffsm\xF6glichkeiten auf und durch das Systemmanagement," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.11 + description: "\u2022 Berechtigungen des Systemmanagements auf den zu verwaltenden\ + \ Systemen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.12 + description: "\u2022 Netzverbindungen f\xFCr den Zugriff auf und durch das Systemmanagement," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.13 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.13 + description: "\u2022 Protokolle f\xFCr den Zugriff von Benutzenden auf die Systemmanagement-L\xF6\ + sung," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.14 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.14 + description: "\u2022 Protokolle f\xFCr die Kommunikation zwischen der Systemmanagement-L\xF6\ + sung und den zu verwaltenden Systemen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.15 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.15 + description: "\u2022 Anforderungen an Systemmanagement-Werkzeuge," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.16 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.16 + description: "\u2022 Schnittstellen, um erfasste Ereignis- oder Alarmmeldungen\ + \ weiterzuleiten," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.17 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.17 + description: "\u2022 Protokollierung, inklusive erforderlicher Schnittstellen\ + \ zu einer zentralen Protokollierungsl\xF6sung," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.18 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.18 + description: "\u2022 Unterst\xFCtzung durch das herstellende bzw. entwickelnde\ + \ Unternehmen \xFCber den geplanten Einsatzzeitraum," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.19 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.19 + description: "\u2022 M\xF6glichkeiten zum Einspielen von Patches f\xFCr die\ + \ Systemmanagement-L\xF6sung sowie f\xFCr die zu verwaltenden Systeme," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.20 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.20 + description: "\u2022 Reporting und Schnittstellen zu \xFCbergreifenden L\xF6\ + sungen sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2.21 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a2 + ref_id: OPS.1.1.7.A2.21 + description: "\u2022 korrespondierende Anforderungen an die zu verwaltenden\ + \ Systeme." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 + ref_id: OPS.1.1.7.A3 + name: "Zeitsynchronisation f\xFCr das Systemmanagement" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a3 + ref_id: OPS.1.1.7.A3.1 + description: "Alle Komponenten der Systemmanagement-L\xF6sung, inklusive der\ + \ zu verwaltenden Systeme, M\xDCSSEN eine synchrone Uhrzeit nutzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a3 + ref_id: OPS.1.1.7.A3.2 + description: "Die Systemzeit MUSS f\xFCr jedes zu verwaltende System und f\xFC\ + r die Systemmanagement-L\xF6sung \xFCber geeignete Protokolle synchronisiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 + ref_id: OPS.1.1.7.A4 + name: Absicherung der Systemmanagement-Kommunikation + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a4 + ref_id: OPS.1.1.7.A4.1 + description: "Sobald die Systemmanagement-L\xF6sung und die zu verwaltenden\ + \ Systeme \xFCber die produktive Infrastruktur kommunizieren, M\xDCSSEN daf\xFC\ + r sichere Protokolle verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a4 + ref_id: OPS.1.1.7.A4.2 + description: "Falls keine sicheren Protokolle verwendet werden k\xF6nnen, dann\ + \ MUSS ein eigens daf\xFCr vorgesehenes Administrationsnetz (Out-of-Band-Management)\ + \ verwendet werden (siehe NET.1.1 Netzarchitektur und -design)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a4 + ref_id: OPS.1.1.7.A4.3 + description: "Ist auch dies nicht m\xF6glich, dann M\xDCSSEN erg\xE4nzende Sicherheitsmechanismen\ + \ auf anderer Ebene eingesetzt werden, z. B. Tunnelmechanismen \xFCber verschl\xFC\ + sseltes VPN oder vergleichbare L\xF6sungen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 + ref_id: OPS.1.1.7.A5 + name: "Gegenseitige Authentisierung von Systemmanagement-L\xF6sung und zu verwaltenden\ + \ Systemen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a5 + ref_id: OPS.1.1.7.A5.1 + description: "Die Authentisierung zwischen Systemmanagement-L\xF6sung und zu\ + \ verwaltenden Systemen MUSS in beide Richtungen erfolgen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a5 + ref_id: OPS.1.1.7.A5.2 + description: "Die Authentisierung MUSS in das \xFCbergreifende Authentisierungskonzept\ + \ eingebunden sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a5 + ref_id: OPS.1.1.7.A5.3 + description: Die Authentisierung MUSS mittels sicherer Protokolle erfolgen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 + ref_id: OPS.1.1.7.A6 + name: "Absicherung des Zugriffs auf die Systemmanagement-L\xF6sung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a6 + ref_id: OPS.1.1.7.A6.1 + description: "Der Zugriff von Benutzenden auf die Systemmanagement-L\xF6sung\ + \ MUSS abgesichert werden durch" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a6 + ref_id: OPS.1.1.7.A6.2 + description: "\u2022 eine sichere und angemessene Authentisierung und Autorisierung\ + \ der Benutzenden sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a6 + ref_id: OPS.1.1.7.A6.3 + description: "\u2022 eine sichere Verschl\xFCsselung der \xFCbertragenen Daten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a6 + ref_id: OPS.1.1.7.A6.4 + description: "Eine angemessene Authentisierungsmethode MUSS ausgew\xE4hlt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a6 + ref_id: OPS.1.1.7.A6.5 + description: Der Auswahlprozess MUSS dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a6.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a6 + ref_id: OPS.1.1.7.A6.6 + description: "Die St\xE4rke der verwendeten kryptografischen Verfahren und Schl\xFC\ + ssel MUSS regelm\xE4\xDFig \xFCberpr\xFCft und bei Bedarf angepasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a6.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a6 + ref_id: OPS.1.1.7.A6.7 + description: "Die Systemmanagement-L\xF6sung MUSS \xFCber eine Autorisierungskomponente\ + \ sicherstellen, dass Benutzende ausschlie\xDFlich solche Aktionen durchf\xFC\ + hren k\xF6nnen, zu denen sie berechtigt sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 + ref_id: OPS.1.1.7.A7 + name: "Festlegung einer Sicherheitsrichtlinie f\xFCr das Systemmanagement" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7 + ref_id: OPS.1.1.7.A7.1 + description: "F\xFCr das Systemmanagement SOLLTE eine Sicherheitsrichtlinie\ + \ erstellt und nachhaltig gepflegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7 + ref_id: OPS.1.1.7.A7.2 + description: Die Richtlinie SOLLTE allen Personen, die am Systemmanagement beteiligt + sind, bekannt sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7 + ref_id: OPS.1.1.7.A7.3 + description: "Die Sicherheitsrichtlinie SOLLTE zudem grundlegend f\xFCr die\ + \ Arbeit dieser Personen sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7 + ref_id: OPS.1.1.7.A7.4 + description: "Es SOLLTE regelm\xE4\xDFig und nachvollziehbar \xFCberpr\xFCft\ + \ werden, dass die in der Richtlinie geforderten Inhalte umgesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7 + ref_id: OPS.1.1.7.A7.5 + description: Die Ergebnisse SOLLTEN dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7 + ref_id: OPS.1.1.7.A7.6 + description: 'Die Sicherheitsrichtlinie SOLLTE mindestens das Folgende festlegen:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7 + ref_id: OPS.1.1.7.A7.7 + description: "\u2022 die Bereiche des Systemmanagements, die \xFCber zentrale\ + \ Management-Werkzeuge und - Dienste realisiert werden," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7 + ref_id: OPS.1.1.7.A7.8 + description: "\u2022 die Aufgaben im Systemmanagement, die automatisiert realisiert\ + \ werden sollen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7 + ref_id: OPS.1.1.7.A7.9 + description: "\u2022 das Konfigurationsmanagement f\xFCr die Daten, die von\ + \ der Systemmanagement-L\xF6sung verwaltet werden, z. B. Versionierung von\ + \ Konfigurationen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7 + ref_id: OPS.1.1.7.A7.10 + description: "\u2022 Vorgaben f\xFCr die Netztrennung," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7 + ref_id: OPS.1.1.7.A7.11 + description: "\u2022 Vorgaben f\xFCr die Zugriffskontrolle," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7 + ref_id: OPS.1.1.7.A7.12 + description: "\u2022 Vorgaben f\xFCr die Protokollierung," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7.13 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7 + ref_id: OPS.1.1.7.A7.13 + description: "\u2022 Vorgaben f\xFCr die Qualit\xE4tssicherung beim Einsatz\ + \ von Automatisierungsfunktionen, z. B. Skripte," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7.14 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7 + ref_id: OPS.1.1.7.A7.14 + description: "\u2022 Vorgaben f\xFCr den Schutz der Kommunikation," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7.15 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7 + ref_id: OPS.1.1.7.A7.15 + description: "\u2022 die operativen Grundregeln des Systemmanagements sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7.16 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a7 + ref_id: OPS.1.1.7.A7.16 + description: "\u2022 Vorgaben f\xFCr die Abstimmung mit dem Netzmanagement,\ + \ z. B. Vergabe von IP-Adressen oder DNS-Namen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 + ref_id: OPS.1.1.7.A8 + name: Erstellung eines Systemmanagement-Konzepts + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8 + ref_id: OPS.1.1.7.A8.1 + description: "Ausgehend von der Sicherheitsrichtlinie f\xFCr das Systemmanagement\ + \ SOLLTE ein Systemmanagement-Konzept erstellt und kontinuierlich gepflegt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8 + ref_id: OPS.1.1.7.A8.2 + description: "Dabei SOLLTEN mindestens folgende Aspekte bedarfsgerecht ber\xFC\ + cksichtigt werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8 + ref_id: OPS.1.1.7.A8.3 + description: "\u2022 Methoden, Techniken und Werkzeuge f\xFCr das Systemmanagement," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8 + ref_id: OPS.1.1.7.A8.4 + description: "\u2022 Absicherung des Zugangs und der Kommunikation," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8 + ref_id: OPS.1.1.7.A8.5 + description: "\u2022 Absicherung auf Ebene des Netzes, insbesondere Zuordnung\ + \ von Systemmanagement-Komponenten zu Sicherheitszonen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8 + ref_id: OPS.1.1.7.A8.6 + description: "\u2022 Umfang des Monitorings und der Alarmierung f\xFCr jedes\ + \ zu verwaltende System," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8 + ref_id: OPS.1.1.7.A8.7 + description: "\u2022 Protokollierung," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8 + ref_id: OPS.1.1.7.A8.8 + description: "\u2022 Automatisierung, insbesondere die zentrale Verteilung von\ + \ Konfigurationsdateien auf die zu verwaltenden Systeme," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8 + ref_id: OPS.1.1.7.A8.9 + description: "\u2022 Vorgaben an Entwicklung und Test von Automatisierungsfunktionen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8 + ref_id: OPS.1.1.7.A8.10 + description: "\u2022 Meldeketten bei St\xF6rungen und Sicherheitsvorf\xE4llen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8 + ref_id: OPS.1.1.7.A8.11 + description: "\u2022 Bereitstellung von Systemmanagement-Informationen f\xFC\ + r andere Betriebsbereiche," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8 + ref_id: OPS.1.1.7.A8.12 + description: "\u2022 Einbindung des Systemmanagements in die Notfallplanung,\ + \ sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8.13 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a8 + ref_id: OPS.1.1.7.A8.13 + description: "\u2022 ben\xF6tigten Netz\xFCbertragungskapazit\xE4ten der Systemmanagement-L\xF6\ + sung." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 + ref_id: OPS.1.1.7.A9 + name: "Fein- und Umsetzungsplanung f\xFCr das Systemmanagement" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a9 + ref_id: OPS.1.1.7.A9.1 + description: "Eine Fein- und Umsetzungsplanung f\xFCr die Systemmanagement-L\xF6\ + sung SOLLTE erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a9 + ref_id: OPS.1.1.7.A9.2 + description: "Dabei SOLLTEN alle in der Sicherheitsrichtlinie und im Systemmanagement-Konzept\ + \ adressierten Punkte ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 + ref_id: OPS.1.1.7.A10 + name: "Konzept f\xFCr den sicheren Betrieb der Systemmanagement-L\xF6sung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a10 + ref_id: OPS.1.1.7.A10.1 + description: "Ausgehend von den Sicherheitsrichtlinien und dem Systemmanagement-Konzept\ + \ SOLLTE ein Konzept f\xFCr den sicheren Betrieb der Systemmanagement-L\xF6\ + sung und der zugrundeliegenden Infrastruktur erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a10 + ref_id: OPS.1.1.7.A10.2 + description: "Auch SOLLTE gepr\xFCft werden, wie sich die Leistungen anderer\ + \ operativer Einheiten einbinden und steuern lassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 + ref_id: OPS.1.1.7.A11 + name: "Regelm\xE4\xDFiger Soll-Ist-Vergleich im Rahmen des Systemmanagements" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a11 + ref_id: OPS.1.1.7.A11.1 + description: "Der IT-Betrieb SOLLTE regelm\xE4\xDFig \xFCberpr\xFCfen, inwieweit\ + \ die von der Systemmanagement-L\xF6sung verwalteten Daten, Konfigurationen\ + \ und Skripte dem Sollzustand entsprechen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a11 + ref_id: OPS.1.1.7.A11.2 + description: "Mindestens folgende Aspekte SOLLTEN im Soll-Ist-Vergleich gepr\xFC\ + ft werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a11 + ref_id: OPS.1.1.7.A11.3 + description: "\u2022 die Konfiguration der Systemmanagement-L\xF6sung," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a11.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a11 + ref_id: OPS.1.1.7.A11.4 + description: "\u2022 die Konfiguration der zu verwaltenden Systeme sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a11.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a11 + ref_id: OPS.1.1.7.A11.5 + description: "\u2022 die eingesetzten Automatisierungsfunktionen oder Skripte." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a11.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a11 + ref_id: OPS.1.1.7.A11.6 + description: "Dabei SOLLTE gepr\xFCft werden, ob die genannten Aspekte noch\ + \ die Sicherheitsrichtlinie und Anforderungsspezifikation erf\xFCllen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a11.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a11 + ref_id: OPS.1.1.7.A11.7 + description: "Weiter SOLLTE verglichen werden, ob die Softwareversion der Systemmanagement-L\xF6\ + sung aktuell ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 + ref_id: OPS.1.1.7.A12 + name: "Ausl\xF6sung von Aktionen durch die zentralen Komponenten der Systemmanagement-L\xF6\ + sung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a12 + ref_id: OPS.1.1.7.A12.1 + description: "Aktionen, die durch das Systemmanagement auf den verwalteten Systemen\ + \ ausgef\xFChrt werden, SOLLTEN ausschlie\xDFlich von der Systemmanagement-L\xF6\ + sung ausgel\xF6st werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a12 + ref_id: OPS.1.1.7.A12.2 + description: "Daf\xFCr SOLLTEN nur diejenigen Management-Funktionen auf der\ + \ Systemmanagement-L\xF6sung und den zu verwaltenden Systemen aktiviert werden,\ + \ die tats\xE4chlich ben\xF6tigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 + ref_id: OPS.1.1.7.A13 + name: "Verpflichtung zur Nutzung der vorgesehenen Schnittstellen f\xFCr das\ + \ Systemmanagement" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a13 + ref_id: OPS.1.1.7.A13.1 + description: "Management-Zugriffe auf zu verwaltende Systeme SOLLTEN ausschlie\xDF\ + lich \xFCber die daf\xFCr vorgesehenen Schnittstellen der Systemmanagement-L\xF6\ + sung erfolgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a13 + ref_id: OPS.1.1.7.A13.2 + description: "Falls ein direkter Zugriff auf zu verwaltende Systeme notwendig\ + \ ist, z. B. nach einem Ausfall eines zu verwaltenden Systems, SOLLTEN sowohl\ + \ der direkte Zugriff als auch alle in diesem Rahmen vorgenommenen \xC4nderungen\ + \ dokumentiert und im notwendigen Umfang in die Systemmanagement-L\xF6sung\ + \ eingepflegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 + ref_id: OPS.1.1.7.A14 + name: "Zentrale Konfigurationsverwaltung f\xFCr zu verwaltende Systeme" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a14 + ref_id: OPS.1.1.7.A14.1 + description: "Software und Konfigurationsdaten f\xFCr die zu verwaltenden Systeme\ + \ SOLLTEN konsequent in einem Konfigurationsmanagement verwaltet werden, das\ + \ eine Versionierung und \xC4nderungsverfolgung erm\xF6glicht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a14 + ref_id: OPS.1.1.7.A14.2 + description: "Die zugeh\xF6rige Dokumentation zur Konfigurationsverwaltung SOLLTE\ + \ vollst\xE4ndig und immer aktuell sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a14 + ref_id: OPS.1.1.7.A14.3 + description: "Die ben\xF6tigten Dokumentationen SOLLTEN an zentraler Stelle\ + \ sicher verf\xFCgbar sein sowie in die Datensicherung eingebunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a14.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a14 + ref_id: OPS.1.1.7.A14.4 + description: "Die zentrale Konfigurationsverwaltung SOLLTE nachhaltig gepflegt\ + \ und regelm\xE4\xDFig auditiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a14.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a14 + ref_id: OPS.1.1.7.A14.5 + description: "S\xE4mtliche Schnittstellen zwischen Systemmanagement-L\xF6sung\ + \ und anderen Anwendungen und Diensten SOLLTEN dokumentiert und vollst\xE4\ + ndig in einem Konfigurationsmanagement verwaltet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a14.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a14 + ref_id: OPS.1.1.7.A14.6 + description: "Zwischen relevanten Betriebsbereichen SOLLTEN funktionale \xC4\ + nderungen an den Schnittstellen fr\xFChzeitig abgestimmt und dokumentiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a14.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a14 + ref_id: OPS.1.1.7.A14.7 + description: "Die Konfigurationsdaten f\xFCr die zu verwaltenden Systeme SOLLTEN\ + \ automatisch \xFCber das Netz verteilt und ohne Betriebsunterbrechung installiert\ + \ und aktiviert werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 + ref_id: OPS.1.1.7.A15 + name: "Status\xFCberwachung, Protokollierung und Alarmierung bei relevanten\ + \ Ereignissen im Systemmanagement-L\xF6sung und den zu verwaltenden Systemen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15 + ref_id: OPS.1.1.7.A15.1 + description: "Die grundlegenden Performance- und Verf\xFCgbarkeitsparameter\ + \ der Systemmanagement-L\xF6sung und der zu verwaltenden Systeme SOLLTEN kontinuierlich\ + \ \xFCberwacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15 + ref_id: OPS.1.1.7.A15.2 + description: "Daf\xFCr SOLLTEN vorab die jeweiligen Schwellwerte ermittelt werden\ + \ (Baselining)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15 + ref_id: OPS.1.1.7.A15.3 + description: "Werden definierte Schwellwerte \xFCberschritten, SOLLTE das zust\xE4\ + ndige Personal automatisch benachrichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15 + ref_id: OPS.1.1.7.A15.4 + description: "Zur besseren Fehleranalyse SOLLTEN Informationen aus der Status\xFC\ + berwachung anderer Bereiche, z. B. aus einem eigenen Bereich \u201ENetze\u201C\ + , ebenfalls betrachtet werden, um die genaue Ursache f\xFCr eine St\xF6rung\ + \ zu finden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15 + ref_id: OPS.1.1.7.A15.5 + description: "Wichtige Ereignisse auf zu verwaltenden Systemen und auf der Systemmanagement-L\xF6\ + sung SOLLTEN automatisch an eine zentrale Protokollierungsinfrastruktur \xFC\ + bermittelt und dort protokolliert werden (siehe OPS.1.1.5 Protokollierung)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15 + ref_id: OPS.1.1.7.A15.6 + description: "Wichtige Ereignisse SOLLTEN mindestens f\xFCr folgende Aspekte\ + \ definiert werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15 + ref_id: OPS.1.1.7.A15.7 + description: "\u2022 Ausfall sowie Nichterreichbarkeit von zu verwaltenden Systemen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15 + ref_id: OPS.1.1.7.A15.8 + description: "\u2022 Ausfall sowie Nichterreichbarkeit von Systemmanagement-Komponenten," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15 + ref_id: OPS.1.1.7.A15.9 + description: "\u2022 Hardware-Fehlfunktionen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15 + ref_id: OPS.1.1.7.A15.10 + description: "\u2022 Anmeldeversuche an der Systemmanagement-L\xF6sung," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15 + ref_id: OPS.1.1.7.A15.11 + description: "\u2022 Anmeldeversuche an zu verwaltenden Systemen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15 + ref_id: OPS.1.1.7.A15.12 + description: "\u2022 kritische Zust\xE4nde oder \xDCberlastung der Systemmanagement-L\xF6\ + sung sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15.13 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15 + ref_id: OPS.1.1.7.A15.13 + description: "\u2022 kritische Zust\xE4nde oder \xDCberlastung von zu verwaltenden\ + \ Systemen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15.14 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15 + ref_id: OPS.1.1.7.A15.14 + description: "Ereignismeldungen sowie Protokollierungs-Daten SOLLTEN an ein\ + \ zentrales Logging-System \xFCbermittelt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15.15 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a15 + ref_id: OPS.1.1.7.A15.15 + description: "Alarmmeldungen SOLLTEN sofort, wenn sie auftreten, \xFCbermittelt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 + ref_id: OPS.1.1.7.A16 + name: Einbindung des Systemmanagements in die Notfallplanung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a16 + ref_id: OPS.1.1.7.A16.1 + description: "Die Systemmanagement-L\xF6sung SOLLTE in die Notfallplanung der\ + \ Institution eingebunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a16 + ref_id: OPS.1.1.7.A16.2 + description: "Dazu SOLLTEN sowohl die Systemmanagement-L\xF6sung als auch die\ + \ Konfigurationen der zu verwaltenden Systeme gesichert und in die Wiederanlaufpl\xE4\ + ne integriert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 + ref_id: OPS.1.1.7.A17 + name: Kontrolle der Systemmanagement-Kommunikation + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a17 + ref_id: OPS.1.1.7.A17.1 + description: "Die Kommunikation zwischen den Benutzenden und der Systemmanagement-L\xF6\ + sung sowie zwischen der Systemmanagement-L\xF6sung und den zu verwaltenden\ + \ IT-Systemen SOLLTE \xFCber geeignete Filtertechniken auf unbedingt notwendige\ + \ Verbindungen eingeschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 + ref_id: OPS.1.1.7.A18 + name: "\xDCberpr\xFCfung des Systemzustands" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a18 + ref_id: OPS.1.1.7.A18.1 + description: "Die Konsistenz zwischen realem Systemzustand und dem von der Systemmanagement-L\xF6\ + sung angenommenen Zustand SOLLTE regelm\xE4\xDFig gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a18 + ref_id: OPS.1.1.7.A18.2 + description: "Werden Abweichungen festgestellt, SOLLTE der in der Systemmanagement-L\xF6\ + sung vorgesehene Zustand wiederhergestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 + ref_id: OPS.1.1.7.A19 + name: "Absicherung der Systemmanagement-Kommunikation zwischen der Systemmanagement-L\xF6\ + sung und den zu verwaltenden Systemen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a19 + ref_id: OPS.1.1.7.A19.1 + description: "Die Systemmanagement-Kommunikation zwischen der Systemmanagement-L\xF6\ + sung und den zu verwaltenden Systemen SOLLTE grunds\xE4tzlich verschl\xFC\ + sselt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a19 + ref_id: OPS.1.1.7.A19.2 + description: "Die St\xE4rke der verwendeten kryptografischen Verfahren und Schl\xFC\ + ssel SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft und bei Bedarf angepasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 + ref_id: OPS.1.1.7.A20 + name: "Hochverf\xFCgbare Realisierung der Systemmanagement-L\xF6sung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a20 + ref_id: OPS.1.1.7.A20.1 + description: "Eine zentrale Systemmanagement-L\xF6sung SOLLTE hochverf\xFCgbar\ + \ betrieben werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a20.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a20 + ref_id: OPS.1.1.7.A20.2 + description: "Dazu SOLLTEN die f\xFCr die Systemmanagement-L\xF6sung eingesetzten\ + \ Server bzw. Werkzeuge inklusive der Netzanbindungen redundant ausgelegt\ + \ sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 + ref_id: OPS.1.1.7.A21 + name: Physische Trennung der zentralen Systemmanagementnetze + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a21 + ref_id: OPS.1.1.7.A21.1 + description: "Das Managementnetz f\xFCr das Systemmanagement SOLLTE physisch\ + \ von den funktionalen, insbesondere produktiven, Netzen getrennt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 + ref_id: OPS.1.1.7.A22 + name: Einbindung des Systemmanagements in automatisierte Detektionssysteme + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a22 + ref_id: OPS.1.1.7.A22.1 + description: Die Protokollierung von sicherheitsrelevanten Ereignissen des Systemmanagements + SOLLTE in ein Security Information and Event Management (SIEM) eingebunden + werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a22.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a22 + ref_id: OPS.1.1.7.A22.2 + description: Dabei SOLLTE nachvollziehbar festgelegt werden, welche Ereignisse + an das SIEM weitergeleitet werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a22.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a22 + ref_id: OPS.1.1.7.A22.3 + description: "Im Anforderungskatalog zur Auswahl einer Systemmanagement-L\xF6\ + sung SOLLTEN die erforderlichen Schnittstellen und \xDCbergabeformate spezifiziert\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a22.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a22 + ref_id: OPS.1.1.7.A22.4 + description: "Eine Systemmanagement-L\xF6sung SOLLTE mit einem System zur Erkennung\ + \ sicherheitsrelevanter Schwachstellen automatisiert \xFCberwacht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a23 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 + ref_id: OPS.1.1.7.A23 + name: "Standort-\xFCbergreifende Zeitsynchronisation f\xFCr das Systemmanagement" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a23.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a23 + ref_id: OPS.1.1.7.A23.1 + description: "Die Zeitsynchronisation SOLLTE sowohl f\xFCr die Systemmanagement-L\xF6\ + sung als auch f\xFCr die zu verwaltenden Systeme \xFCber alle Standorte der\ + \ Institution sichergestellt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a23.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a23 + ref_id: OPS.1.1.7.A23.2 + description: "Daf\xFCr SOLLTE eine gemeinsame Referenzzeit benutzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a24 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 + ref_id: OPS.1.1.7.A24 + name: "Automatisierte \xDCberpr\xFCfung von sicherheitsrelevanten Konfigurationen\ + \ durch geeignete Detektionssysteme" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a24.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a24 + ref_id: OPS.1.1.7.A24.1 + description: "Sicherheitsrelevante Konfigurationen der Systemmanagement-L\xF6\ + sung und der zu verwaltenden Systeme SOLLTEN durch geeignete Detektionssysteme\ + \ regelm\xE4\xDFig auf Abweichungen vom Sollzustand sowie auf potenzielle\ + \ Schwachstellen \xFCberpr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a25 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 + ref_id: OPS.1.1.7.A25 + name: Protokollierung und Reglementierung von Systemmanagement-Sitzungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a25.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a25 + ref_id: OPS.1.1.7.A25.1 + description: "Die Sitzungsinhalte, insbesondere die Aktivit\xE4ten von Benutzenden\ + \ auf der Systemmanagement-L\xF6sung sowie s\xE4mtliche direkte Zugriffe auf\ + \ zu verwaltende Systeme, SOLLTEN kontinuierlich durch eine technische L\xF6\ + sung protokolliert und reglementiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a25.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a25 + ref_id: OPS.1.1.7.A25.2 + description: "Dabei SOLLTEN die Aktivit\xE4ten auf Befehlsebene, d. h. manuelle\ + \ und automatisierte Befehle, kontrolliert und gegebenenfalls unterbunden\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a25.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a25 + ref_id: OPS.1.1.7.A25.3 + description: "W\xE4hrend der \xDCberwachung SOLLTE nicht nur bei konkreten Regelverst\xF6\ + \xDFen, sondern auch bei Anomalien im Benutzendenverhalten eine Alarmierung\ + \ erfolgen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a26 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7 + ref_id: OPS.1.1.7.A26 + name: "Entkopplung von Zugriffen auf die Systemmanagement-L\xF6sung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a26.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.1.7.a26 + ref_id: OPS.1.1.7.A26.1 + description: "Jeder administrative Zugriff auf die Systemmanagement-L\xF6sung\ + \ SOLLTE durch die Nutzung von Sprungservern abgesichert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops + ref_id: OPS.1.2.2 + name: Archivierung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 + ref_id: OPS.1.2.2.A1 + name: "Ermittlung von Einflussfaktoren f\xFCr die elektronische Archivierung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a1 + ref_id: OPS.1.2.2.A1.1 + description: "Bevor entschieden wird, welche Verfahren und Produkte f\xFCr die\ + \ elektronische Archivierung eingesetzt werden, M\xDCSSEN die technischen,\ + \ rechtlichen und organisatorischen Einflussfaktoren ermittelt und dokumentiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a1 + ref_id: OPS.1.2.2.A1.2 + description: "Die Ergebnisse M\xDCSSEN in das Archivierungskonzept einflie\xDF\ + en." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 + ref_id: OPS.1.2.2.A2 + name: Entwicklung eines Archivierungskonzepts + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a2 + ref_id: OPS.1.2.2.A2.1 + description: Es MUSS definiert werden, welche Ziele mit der Archivierung erreicht + werden sollen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a2 + ref_id: OPS.1.2.2.A2.2 + description: "Hierbei MUSS insbesondere ber\xFCcksichtigt werden, welche Regularien\ + \ einzuhalten sind, welche Mitarbeitende zust\xE4ndig sind und welcher Funktions-\ + \ und Leistungsumfang angestrebt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a2 + ref_id: OPS.1.2.2.A2.3 + description: "Die Ergebnisse M\xDCSSEN in einem Archivierungskonzept erfasst\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a2 + ref_id: OPS.1.2.2.A2.4 + description: Die Institutionsleitung MUSS in diesen Prozess einbezogen werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a2 + ref_id: OPS.1.2.2.A2.5 + description: "Das Archivierungskonzept MUSS regelm\xE4\xDFig an die aktuellen\ + \ Gegebenheiten der Institution angepasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 + ref_id: OPS.1.2.2.A3 + name: Geeignete Aufstellung von Archivsystemen und Lagerung von Archivmedien + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a3 + ref_id: OPS.1.2.2.A3.1 + description: "Die IT-Komponenten eines Archivsystems M\xDCSSEN in gesicherten\ + \ R\xE4umen aufgestellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a3 + ref_id: OPS.1.2.2.A3.2 + description: "Es MUSS sichergestellt sein, dass nur berechtigte Personen die\ + \ R\xE4ume betreten d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a3 + ref_id: OPS.1.2.2.A3.3 + description: "Archivspeichermedien M\xDCSSEN geeignet gelagert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 + ref_id: OPS.1.2.2.A4 + name: Konsistente Indizierung von Daten bei der Archivierung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a4 + ref_id: OPS.1.2.2.A4.1 + description: "Alle in einem Archiv abgelegten Daten, Dokumente und Datens\xE4\ + tze M\xDCSSEN eindeutig indiziert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a4 + ref_id: OPS.1.2.2.A4.2 + description: "Dazu MUSS bereits w\xE4hrend der Konzeption festgelegt werden,\ + \ welche Struktur und welchen Umfang die Indexangaben f\xFCr ein Archiv haben\ + \ sollen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 + ref_id: OPS.1.2.2.A5 + name: "Regelm\xE4\xDFige Aufbereitung von archivierten Datenbest\xE4nden" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a5 + ref_id: OPS.1.2.2.A5.1 + description: "\xDCber den gesamten Archivierungszeitraum hinweg MUSS sichergestellt\ + \ werden, dass" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a5 + ref_id: OPS.1.2.2.A5.2 + description: "\u2022 das verwendete Datenformat von den benutzten Anwendungen\ + \ verarbeitet werden kann," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a5 + ref_id: OPS.1.2.2.A5.3 + description: "\u2022 die gespeicherten Daten auch zuk\xFCnftig lesbar und so\ + \ reproduzierbar sind, dass Semantik und Beweiskraft beibehalten werden," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a5 + ref_id: OPS.1.2.2.A5.4 + description: "\u2022 das benutzte Dateisystem auf dem Speichermedium von allen\ + \ beteiligten Komponenten verarbeitet werden kann," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a5.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a5 + ref_id: OPS.1.2.2.A5.5 + description: "\u2022 die Speichermedien jederzeit technisch einwandfrei gelesen\ + \ werden k\xF6nnen sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a5.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a5 + ref_id: OPS.1.2.2.A5.6 + description: "\u2022 die verwendeten kryptografischen Verfahren zur Verschl\xFC\ + sselung und zum Beweiswerterhalt mittels digitaler Signatur, Siegel, Zeitstempel\ + \ oder technischen Beweisdaten (Evidence Records) dem Stand der Technik entsprechen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 + ref_id: OPS.1.2.2.A6 + name: "Schutz der Integrit\xE4t der Indexdatenbank von Archivsystemen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a6 + ref_id: OPS.1.2.2.A6.1 + description: "Die Integrit\xE4t der Indexdatenbank MUSS sichergestellt und \xFC\ + berpr\xFCfbar sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a6 + ref_id: OPS.1.2.2.A6.2 + description: "Au\xDFerdem MUSS die Indexdatenbank regelm\xE4\xDFig gesichert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a6 + ref_id: OPS.1.2.2.A6.3 + description: "Die Datensicherungen M\xDCSSEN wiederherstellbar sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a6 + ref_id: OPS.1.2.2.A6.4 + description: "Mittlere und gro\xDFe Archive SOLLTEN \xFCber redundante Indexdatenbanken\ + \ verf\xFCgen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 + ref_id: OPS.1.2.2.A7 + name: "Regelm\xE4\xDFige Datensicherung der System- und Archivdaten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a7 + ref_id: OPS.1.2.2.A7.1 + description: "Alle Archivdaten, die zugeh\xF6rigen Indexdatenbanken sowie die\ + \ Systemdaten M\xDCSSEN regelm\xE4\xDFig gesichert werden (siehe CON.3 Datensicherungskonzept)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 + ref_id: OPS.1.2.2.A8 + name: Protokollierung der Archivzugriffe + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a8 + ref_id: OPS.1.2.2.A8.1 + description: "Alle Zugriffe auf elektronische Archive M\xDCSSEN protokolliert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a8 + ref_id: OPS.1.2.2.A8.2 + description: "Daf\xFCr SOLLTEN Datum, Uhrzeit, Benutzender, Client und die ausgef\xFC\ + hrten Aktionen sowie Fehlermeldungen aufgezeichnet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a8 + ref_id: OPS.1.2.2.A8.3 + description: Im Archivierungskonzept SOLLTE festgelegt werden, wie lange die + Protokolldaten aufbewahrt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a8 + ref_id: OPS.1.2.2.A8.4 + description: "Die Protokolldaten der Archivzugriffe SOLLTEN regelm\xE4\xDFig\ + \ ausgewertet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a8.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a8 + ref_id: OPS.1.2.2.A8.5 + description: Dabei SOLLTEN die institutionsinternen Vorgaben beachtet werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a8.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a8 + ref_id: OPS.1.2.2.A8.6 + description: "Auch SOLLTE definiert sein, welche Ereignisse welchen Mitarbeitenden\ + \ angezeigt werden, wie z. B. Systemfehler, Timeouts oder wenn Datens\xE4\ + tze kopiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a8.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a8 + ref_id: OPS.1.2.2.A8.7 + description: "Kritische Ereignisse SOLLTEN sofort nach der Erkennung gepr\xFC\ + ft und, falls n\xF6tig, weiter eskaliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 + ref_id: OPS.1.2.2.A9 + name: "Auswahl geeigneter Datenformate f\xFCr die Archivierung von Dokumenten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a9 + ref_id: OPS.1.2.2.A9.1 + description: "F\xFCr die Archivierung MUSS ein geeignetes Datenformat ausgew\xE4\ + hlt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a9 + ref_id: OPS.1.2.2.A9.2 + description: "Es MUSS gew\xE4hrleisten, dass sich Archivdaten sowie ausgew\xE4\ + hlte Merkmale des urspr\xFCnglichen Dokumentmediums langfristig und originalgetreu\ + \ reproduzieren lassen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a9 + ref_id: OPS.1.2.2.A9.3 + description: "Die Dokumentstruktur des ausgew\xE4hlten Datenformats MUSS eindeutig\ + \ interpretierbar und elektronisch verarbeitbar sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a9 + ref_id: OPS.1.2.2.A9.4 + description: "Die Syntax und Semantik der verwendeten Datenformate SOLLTE dokumentiert\ + \ und von einer Standardisierungsorganisation ver\xF6ffentlicht sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a9.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a9 + ref_id: OPS.1.2.2.A9.5 + description: "Es SOLLTE f\xFCr eine beweis- und revisionssichere Archivierung\ + \ ein verlustfreies Bildkompressionsverfahren benutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 + ref_id: OPS.1.2.2.A10 + name: "Erstellung einer Richtlinie f\xFCr die Nutzung von Archivsystemen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10 + ref_id: OPS.1.2.2.A10.1 + description: Es SOLLTE sichergestellt werden, dass Mitarbeitende das Archivsystem + so benutzen, wie es im Archivierungskonzept vorgesehen ist. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10 + ref_id: OPS.1.2.2.A10.2 + description: Dazu SOLLTE eine Administrations- und eine Benutzungsrichtlinie + erstellt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10 + ref_id: OPS.1.2.2.A10.3 + description: 'Die Administrationsrichtlinie SOLLTE folgende Punkte enthalten:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10 + ref_id: OPS.1.2.2.A10.4 + description: "\u2022 Festlegung der Verantwortung f\xFCr Betrieb und Administration," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10 + ref_id: OPS.1.2.2.A10.5 + description: "\u2022 Vereinbarungen \xFCber Leistungsparameter beim Betrieb\ + \ (unter anderem Service Level Agreements)," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10 + ref_id: OPS.1.2.2.A10.6 + description: "\u2022 Modalit\xE4ten der Vergabe von Zutritts- und Zugriffsrechten," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10 + ref_id: OPS.1.2.2.A10.7 + description: "\u2022 Modalit\xE4ten der Vergabe von Zugangsrechten zu den vom\ + \ Archiv bereitgestellten Diensten," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10 + ref_id: OPS.1.2.2.A10.8 + description: "\u2022 Regelungen zum Umgang mit archivierten Daten und Archivmedien," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10 + ref_id: OPS.1.2.2.A10.9 + description: "\u2022 \xDCberwachung des Archivsystems und der Umgebungsbedingungen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10 + ref_id: OPS.1.2.2.A10.10 + description: "\u2022 Regelungen zur Datensicherung," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10 + ref_id: OPS.1.2.2.A10.11 + description: "\u2022 Regelungen zur Protokollierung sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a10 + ref_id: OPS.1.2.2.A10.12 + description: "\u2022 Trennung von Produzenten und Konsumenten (OAIS-Modell)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 + ref_id: OPS.1.2.2.A11 + name: Einweisung in die Administration und Bedienung des Archivsystems + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11 + ref_id: OPS.1.2.2.A11.1 + description: "Die zust\xE4ndigen Mitarbeitende des IT-Betriebs und die Benutzenden\ + \ SOLLTEN f\xFCr ihren Aufgabenbereich geschult werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11 + ref_id: OPS.1.2.2.A11.2 + description: 'Die Schulung der Mitarbeitenden des IT-Betriebs SOLLTE folgende + Themen umfassen:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11 + ref_id: OPS.1.2.2.A11.3 + description: "\u2022 Systemarchitektur und Sicherheitsmechanismen des verwendeten\ + \ Archivsystems und des darunterliegenden Betriebssystems," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11 + ref_id: OPS.1.2.2.A11.4 + description: "\u2022 Installation und Bedienung des Archivsystems und Umgang\ + \ mit Archivmedien," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11 + ref_id: OPS.1.2.2.A11.5 + description: "\u2022 Dokumentation der Administrationst\xE4tigkeiten sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11 + ref_id: OPS.1.2.2.A11.6 + description: "\u2022 Eskalationsprozeduren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11 + ref_id: OPS.1.2.2.A11.7 + description: 'Die Schulung der Benutzende SOLLTE folgende Themen umfassen:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11 + ref_id: OPS.1.2.2.A11.8 + description: "\u2022 Umgang mit dem Archivsystem," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11 + ref_id: OPS.1.2.2.A11.9 + description: "\u2022 Bedienung des Archivsystems sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11 + ref_id: OPS.1.2.2.A11.10 + description: "\u2022 rechtliche Rahmenbedingungen der Archivierung." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a11 + ref_id: OPS.1.2.2.A11.11 + description: "Die Durchf\xFChrung der Schulungen sowie die Teilnahme SOLLTEN\ + \ dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 + ref_id: OPS.1.2.2.A12 + name: "\xDCberwachung der Speicherressourcen von Archivmedien" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a12 + ref_id: OPS.1.2.2.A12.1 + description: "Die auf den Archivmedien vorhandene freie Speicherkapazit\xE4\ + t SOLLTE kontinuierlich \xFCberwacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a12 + ref_id: OPS.1.2.2.A12.2 + description: "Sobald ein definierter Grenzwert unterschritten wird, M\xDCSSEN\ + \ zust\xE4ndige Mitarbeitende automatisch alarmiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a12 + ref_id: OPS.1.2.2.A12.3 + description: Die Alarmierung SOLLTE rollenbezogen erfolgen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a12 + ref_id: OPS.1.2.2.A12.4 + description: "Es M\xDCSSEN immer ausreichend leere Archivmedien verf\xFCgbar\ + \ sein, um Speicherengp\xE4ssen schnell vorbeugen zu k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 + ref_id: OPS.1.2.2.A13 + name: "Regelm\xE4\xDFige Revision der Archivierungsprozesse" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a13 + ref_id: OPS.1.2.2.A13.1 + description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Archivierungsprozesse\ + \ noch korrekt und ordnungsgem\xE4\xDF funktionieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a13 + ref_id: OPS.1.2.2.A13.2 + description: "Dazu SOLLTE eine Checkliste erstellt werden, die Fragen zu Verantwortlichkeiten,\ + \ Organisationsprozessen, zum Einsatz der Archivierung, zur Redundanz der\ + \ Archivdaten, zur Administration und zur technischen Beurteilung des Archivsystems\ + \ enth\xE4lt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a13 + ref_id: OPS.1.2.2.A13.3 + description: Die Auditergebnisse SOLLTEN nachvollziehbar dokumentiert und mit + dem Soll-Zustand abgeglichen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a13.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a13 + ref_id: OPS.1.2.2.A13.4 + description: Abweichungen SOLLTE nachgegangen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 + ref_id: OPS.1.2.2.A14 + name: "Regelm\xE4\xDFige Beobachtung des Marktes f\xFCr Archivsysteme" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a14 + ref_id: OPS.1.2.2.A14.1 + description: "Der Markt f\xFCr Archivsysteme SOLLTE regelm\xE4\xDFig und systematisch\ + \ beobachtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a14 + ref_id: OPS.1.2.2.A14.2 + description: 'Dabei SOLLTEN unter anderem folgende Kriterien beobachtet werden:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a14 + ref_id: OPS.1.2.2.A14.3 + description: "\u2022 Ver\xE4nderungen bei Standards," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a14.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a14 + ref_id: OPS.1.2.2.A14.4 + description: "\u2022 Wechsel der Technik bei herstellenden Unternehmen von Hard-\ + \ und Software," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a14.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a14 + ref_id: OPS.1.2.2.A14.5 + description: "\u2022 ver\xF6ffentlichte Sicherheitsl\xFCcken oder Schwachstellen\ + \ sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a14.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a14 + ref_id: OPS.1.2.2.A14.6 + description: "\u2022 der Verlust der Sicherheitseignung bei kryptografischen\ + \ Algorithmen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 + ref_id: OPS.1.2.2.A15 + name: "Regelm\xE4\xDFige Aufbereitung von kryptografisch gesicherten Daten bei\ + \ der Archivierung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a15 + ref_id: OPS.1.2.2.A15.1 + description: "Es SOLLTE kontinuierlich beobachtet werden, wie sich das Gebiet\ + \ der Kryptografie entwickelt, um beurteilen zu k\xF6nnen, ob ein Algorithmus\ + \ weiterhin zuverl\xE4ssig und ausreichend sicher ist (siehe auch OPS.1.2.2.A20\ + \ Geeigneter Einsatz kryptografischer Verfahren bei der Archivierung)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a15 + ref_id: OPS.1.2.2.A15.2 + description: Archivdaten, die mit kryptografischen Verfahren gesichert wurden, + die sich in absehbarer Zeit nicht mehr zur Sicherung eignen werden, SOLLTEN + rechtzeitig mit geeigneten Verfahren neu gesichert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 + ref_id: OPS.1.2.2.A16 + name: "Regelm\xE4\xDFige Erneuerung technischer Archivsystem-Komponenten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a16 + ref_id: OPS.1.2.2.A16.1 + description: "Archivsysteme SOLLTEN \xFCber lange Zeitr\xE4ume auf dem aktuellen\ + \ technischen Stand gehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a16 + ref_id: OPS.1.2.2.A16.2 + description: "Neue Hard- und Software SOLLTE vor der Installation in einem laufenden\ + \ Archivsystem ausf\xFChrlich getestet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a16 + ref_id: OPS.1.2.2.A16.3 + description: "Wenn neue Komponenten in Betrieb genommen oder neue Dateiformate\ + \ eingef\xFChrt werden, SOLLTE ein Migrationskonzept erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a16.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a16 + ref_id: OPS.1.2.2.A16.4 + description: "Darin SOLLTEN alle \xC4nderungen, Tests und erwarteten Testergebnisse\ + \ beschrieben sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a16.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a16 + ref_id: OPS.1.2.2.A16.5 + description: Die Konvertierung der einzelnen Daten SOLLTE dokumentiert werden + (Transfervermerk). + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a16.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a16 + ref_id: OPS.1.2.2.A16.6 + description: "Wenn Archivdaten in neue Formate konvertiert werden, SOLLTE gepr\xFC\ + ft werden, ob die Daten aufgrund rechtlicher Anforderungen zus\xE4tzlich in\ + \ ihren urspr\xFCnglichen Formaten zu archivieren sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 + ref_id: OPS.1.2.2.A17 + name: Auswahl eines geeigneten Archivsystems + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a17 + ref_id: OPS.1.2.2.A17.1 + description: "Ein neues Archivsystem SOLLTE immer auf Basis der im Archivierungskonzept\ + \ beschriebenen Vorgaben ausgew\xE4hlt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a17 + ref_id: OPS.1.2.2.A17.2 + description: "Es SOLLTE die dort formulierten Anforderungen erf\xFCllen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 + ref_id: OPS.1.2.2.A18 + name: Verwendung geeigneter Archivmedien + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a18 + ref_id: OPS.1.2.2.A18.1 + description: "F\xFCr die Archivierung SOLLTEN geeignete Medien ausgew\xE4hlt\ + \ und benutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a18 + ref_id: OPS.1.2.2.A18.2 + description: "Dabei SOLLTEN folgende Aspekte ber\xFCcksichtigt werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a18 + ref_id: OPS.1.2.2.A18.3 + description: "\u2022 das zu archivierende Datenvolumen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a18.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a18 + ref_id: OPS.1.2.2.A18.4 + description: "\u2022 die mittleren Zugriffszeiten sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a18.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a18 + ref_id: OPS.1.2.2.A18.5 + description: "\u2022 die mittleren gleichzeitigen Zugriffe auf das Archivsystem." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a18.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a18 + ref_id: OPS.1.2.2.A18.6 + description: "Ebenfalls SOLLTEN die Archivmedien die Anforderungen an eine Langzeitarchivierung\ + \ hinsichtlich Revisionssicherheit und Lebensdauer erf\xFCllen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 + ref_id: OPS.1.2.2.A19 + name: "Regelm\xE4\xDFige Funktions- und Recoverytests bei der Archivierung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a19 + ref_id: OPS.1.2.2.A19.1 + description: "F\xFCr die Archivierung SOLLTEN regelm\xE4\xDFige Funktions- und\ + \ Recoverytests durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a19 + ref_id: OPS.1.2.2.A19.2 + description: "Die Archivierungsdatentr\xE4ger SOLLTEN mindestens einmal j\xE4\ + hrlich daraufhin \xFCberpr\xFCft werden, ob sie noch lesbar und integer sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a19.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a19 + ref_id: OPS.1.2.2.A19.3 + description: "F\xFCr die Fehlerbehebung SOLLTEN geeignete Prozesse definiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a19.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a19 + ref_id: OPS.1.2.2.A19.4 + description: "Weiterhin SOLLTEN die Hardwarekomponenten des Archivsystems regelm\xE4\ + \xDFig auf ihre einwandfreie Funktion hin gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a19.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a19 + ref_id: OPS.1.2.2.A19.5 + description: "Es SOLLTE regelm\xE4\xDFig gepr\xFCft werden, ob alle Archivierungsprozesse\ + \ fehlerfrei funktionieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 + ref_id: OPS.1.2.2.A20 + name: Geeigneter Einsatz kryptografischer Verfahren bei der Archivierung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a20 + ref_id: OPS.1.2.2.A20.1 + description: "Um lange Aufbewahrungsfristen abdecken zu k\xF6nnen, SOLLTEN Archivdaten\ + \ nur mit kryptografischen Verfahren auf Basis aktueller Standards und Normen\ + \ gesichert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2 + ref_id: OPS.1.2.2.A21 + name: "\xDCbertragung von Papierdaten in elektronische Archive" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.2.a21 + ref_id: OPS.1.2.2.A21.1 + description: "Werden z. B. Dokumente auf Papier digitalisiert und in ein elektronisches\ + \ Archiv \xFCberf\xFChrt, SOLLTE sichergestellt werden, dass die digitale\ + \ Kopie mit dem Originaldokument bildlich und inhaltlich \xFCbereinstimmt." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops + ref_id: OPS.1.2.4 + name: Telearbeit + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4 + ref_id: OPS.1.2.4.A1 + name: "Regelungen f\xFCr Telearbeit" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a1 + ref_id: OPS.1.2.4.A1.1 + description: "Alle relevanten Aspekte der Telearbeit M\xDCSSEN geregelt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a1 + ref_id: OPS.1.2.4.A1.2 + description: "Zu Informationszwecken M\xDCSSEN den Telearbeitenden die geltenden\ + \ Regelungen oder ein daf\xFCr vorgesehenes Merkblatt ausgeh\xE4ndigt werden,\ + \ das die zu beachtenden Sicherheitsma\xDFnahmen erl\xE4utert." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a1 + ref_id: OPS.1.2.4.A1.3 + description: "Alle strittigen Punkte M\xDCSSEN entweder durch Betriebsvereinbarungen\ + \ oder durch zus\xE4tzlich zum Arbeitsvertrag getroffene individuelle Vereinbarungen\ + \ zwischen dem Mitarbeitenden und der Institution geregelt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a1 + ref_id: OPS.1.2.4.A1.4 + description: "Die Regelungen M\xDCSSEN regelm\xE4\xDFig aktualisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4 + ref_id: OPS.1.2.4.A2 + name: Sicherheitstechnische Anforderungen an den Telearbeitsrechner + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a2 + ref_id: OPS.1.2.4.A2.1 + description: "Es M\xDCSSEN sicherheitstechnische Anforderungen festgelegt werden,\ + \ die ein IT-System f\xFCr die Telearbeit erf\xFCllen muss." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a2 + ref_id: OPS.1.2.4.A2.2 + description: Es MUSS sichergestellt werden, dass nur autorisierte Personen Zugang + zu den Telearbeitsrechnern haben. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a2 + ref_id: OPS.1.2.4.A2.3 + description: "Dar\xFCber hinaus MUSS der Telearbeitsrechner so abgesichert werden,\ + \ dass er nur f\xFCr autorisierte Zwecke benutzt werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4 + ref_id: OPS.1.2.4.A5 + name: Sensibilisierung und Schulung der Mitarbeitenden + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a5 + ref_id: OPS.1.2.4.A5.1 + description: "Anhand eines Leitfadens M\xDCSSEN die Mitarbeitenden f\xFCr die\ + \ Gefahren sensibilisiert werden, die mit der Telearbeit verbunden sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a5 + ref_id: OPS.1.2.4.A5.2 + description: "Au\xDFerdem M\xDCSSEN sie in die entsprechenden Sicherheitsma\xDF\ + nahmen der Institution eingewiesen und im Umgang mit diesen geschult werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a5 + ref_id: OPS.1.2.4.A5.3 + description: "Die Schulungs- und Sensibilisierungsma\xDFnahmen f\xFCr Mitarbeitenden\ + \ SOLLTEN regelm\xE4\xDFig wiederholt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4 + ref_id: OPS.1.2.4.A6 + name: "Erstellen eines Sicherheitskonzeptes f\xFCr Telearbeit" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a6 + ref_id: OPS.1.2.4.A6.1 + description: "Es SOLLTE ein Sicherheitskonzept f\xFCr die Telearbeit erstellt\ + \ werden, das Sicherheitsziele, Schutzbedarf, Sicherheitsanforderungen sowie\ + \ Risiken beschreibt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a6 + ref_id: OPS.1.2.4.A6.2 + description: "Das Konzept SOLLTE regelm\xE4\xDFig aktualisiert und \xFCberarbeitet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a6 + ref_id: OPS.1.2.4.A6.3 + description: "Das Sicherheitskonzept zur Telearbeit SOLLTE auf das \xFCbergreifende\ + \ Sicherheitskonzept der Institution abgestimmt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4 + ref_id: OPS.1.2.4.A7 + name: "Regelung der Nutzung von Kommunikationsm\xF6glichkeiten bei Telearbeit" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a7 + ref_id: OPS.1.2.4.A7.1 + description: "Es SOLLTE klar geregelt werden, welche Kommunikationsm\xF6glichkeiten\ + \ bei der Telearbeit unter welchen Rahmenbedingungen genutzt werden d\xFC\ + rfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a7 + ref_id: OPS.1.2.4.A7.2 + description: Die dienstliche und private Nutzung von Internetdiensten bei der + Telearbeit SOLLTE geregelt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a7 + ref_id: OPS.1.2.4.A7.3 + description: "Dabei SOLLTE auch gekl\xE4rt werden, ob eine private Nutzung generell\ + \ erlaubt oder unterbunden wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4 + ref_id: OPS.1.2.4.A8 + name: Informationsfluss zwischen Mitarbeitenden und Institution + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a8 + ref_id: OPS.1.2.4.A8.1 + description: "Ein regelm\xE4\xDFiger innerbetrieblicher Informationsaustausch\ + \ zwischen den Mitarbeitenden und der Institution SOLLTE gew\xE4hrleistet\ + \ sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a8 + ref_id: OPS.1.2.4.A8.2 + description: "Alle Mitarbeitenden SOLLTEN zeitnah \xFCber ge\xE4nderte Sicherheitsanforderungen\ + \ und andere sicherheitsrelevante Aspekte informiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a8 + ref_id: OPS.1.2.4.A8.3 + description: "Allen Kollegen und Kolleginnen der jeweiligen Mitarbeitenden SOLLTE\ + \ bekannt sein, wann und wo diese erreicht werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a8 + ref_id: OPS.1.2.4.A8.4 + description: "Technische und organisatorische Telearbeitsregelungen zur Aufgabenbew\xE4\ + ltigung, zu Sicherheitsvorf\xE4llen und sonstigen Problemen SOLLTEN geregelt\ + \ und an die Mitarbeitenden kommuniziert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4 + ref_id: OPS.1.2.4.A9 + name: "Betreuungs- und Wartungskonzept f\xFCr Telearbeitspl\xE4tze" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a9 + ref_id: OPS.1.2.4.A9.1 + description: "F\xFCr Telearbeitspl\xE4tze SOLLTE ein spezielles Betreuungs-\ + \ und Wartungskonzept erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a9 + ref_id: OPS.1.2.4.A9.2 + description: "Darin SOLLTEN folgende Aspekte geregelt werden: Kontaktperson\ + \ des IT-Betriebs, Wartungstermine, Fernwartung, Transport der IT-Ger\xE4\ + te und Einf\xFChrung von Standard-Telearbeitsrechnern." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a9 + ref_id: OPS.1.2.4.A9.3 + description: "Damit die Mitarbeitenden einsatzf\xE4hig bleiben, SOLLTEN f\xFC\ + r sie Kontaktpersonen f\xFCr Hard- und Softwareprobleme benannt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4 + ref_id: OPS.1.2.4.A10 + name: "Durchf\xFChrung einer Anforderungsanalyse f\xFCr den Telearbeitsplatz" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a10 + ref_id: OPS.1.2.4.A10.1 + description: "Bevor ein Telearbeitsplatz eingerichtet wird, SOLLTE eine Anforderungsanalyse\ + \ durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a10 + ref_id: OPS.1.2.4.A10.2 + description: "Daraus SOLLTE z. B. hervorgehen, welche Hard- und Software-Komponenten\ + \ f\xFCr den Telearbeitsplatz ben\xF6tigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a10 + ref_id: OPS.1.2.4.A10.3 + description: Die Anforderungen an den jeweiligen Telearbeitsplatz SOLLTEN mit + den IT-Verantwortlichen abgestimmt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.4.a10 + ref_id: OPS.1.2.4.A10.4 + description: Es SOLLTE immer festgestellt und dokumentiert werden, welchen Schutzbedarf + die am Telearbeitsplatz verarbeiteten Informationen haben. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops + ref_id: OPS.1.2.5 + name: Fernwartung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 + ref_id: OPS.1.2.5.A1 + name: Planung des Einsatzes der Fernwartung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a1 + ref_id: OPS.1.2.5.A1.1 + description: Der Einsatz der Fernwartung MUSS an die Institution angepasst werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a1 + ref_id: OPS.1.2.5.A1.2 + description: Die Fernwartung MUSS hinsichtlich technischer und organisatorischer + Aspekte bedarfsgerecht geplant werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a1 + ref_id: OPS.1.2.5.A1.3 + description: "Dabei MUSS mindestens ber\xFCcksichtigt werden, welche IT-Systeme\ + \ ferngewartet werden sollen und wer daf\xFCr zust\xE4ndig ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 + ref_id: OPS.1.2.5.A2 + name: Sicherer Verbindungsaufbau bei der Fernwartung von Clients + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a2 + ref_id: OPS.1.2.5.A2.1 + description: Wird per Fernwartung auf Desktop-Umgebungen von Clients zugegriffen, + MUSS die Fernwartungssoftware so konfiguriert sein, dass sie eine Verbindung + erst nach expliziter Zustimmung der Benutzenden aufbaut. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 + ref_id: OPS.1.2.5.A3 + name: Absicherung der Schnittstellen zur Fernwartung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a3 + ref_id: OPS.1.2.5.A3.1 + description: "Die m\xF6glichen Zug\xE4nge und Kommunikationsverbindungen f\xFC\ + r die Fernwartung M\xDCSSEN auf das notwendige Ma\xDF beschr\xE4nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a3 + ref_id: OPS.1.2.5.A3.2 + description: "Alle Fernwartungsverbindungen M\xDCSSEN nach dem Fernzugriff getrennt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a3 + ref_id: OPS.1.2.5.A3.3 + description: "Es MUSS sichergestellt werden, dass Fernwartungssoftware nur auf\ + \ IT-Systemen installiert ist, auf denen sie ben\xF6tigt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a3 + ref_id: OPS.1.2.5.A3.4 + description: "Fernwartungsverbindungen \xFCber nicht vertrauensw\xFCrdige Netze\ + \ M\xDCSSEN verschl\xFCsselt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a3 + ref_id: OPS.1.2.5.A3.5 + description: "Alle anderen Fernwartungsverbindungen SOLLTEN verschl\xFCsselt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 + ref_id: OPS.1.2.5.A5 + name: Einsatz von Online-Diensten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a5 + ref_id: OPS.1.2.5.A5.1 + description: "Die Institution SOLLTE festlegen, unter welchen Umst\xE4nden Online-Dienste\ + \ zur Fernwartung genutzt werden d\xFCrfen, bei denen die Verbindung \xFC\ + ber einen externen Server hergestellt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a5 + ref_id: OPS.1.2.5.A5.2 + description: "Der Einsatz solcher Dienste SOLLTE generell auf m\xF6glichst wenige\ + \ F\xE4lle beschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a5 + ref_id: OPS.1.2.5.A5.3 + description: Die IT-Systeme SOLLTEN keine automatisierten Verbindungen zum Online-Dienst + aufbauen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a5 + ref_id: OPS.1.2.5.A5.4 + description: "Es SOLLTE sichergestellt werden, dass der eingesetzte Online-Dienst\ + \ die \xFCbertragenen Informationen Ende-zu-Ende-verschl\xFCsselt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 + ref_id: OPS.1.2.5.A6 + name: "Erstellung einer Richtlinie f\xFCr die Fernwartung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a6 + ref_id: OPS.1.2.5.A6.1 + description: Die Institution SOLLTE eine Richtlinie zur Fernwartung erstellen, + in der alle relevanten Regelungen zur Fernwartung dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a6 + ref_id: OPS.1.2.5.A6.2 + description: "Die Richtlinie SOLLTE allen Zust\xE4ndigen bekannt sein, die an\ + \ der Konzeption, dem Aufbau und dem Betrieb der Fernwartung beteiligt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 + ref_id: OPS.1.2.5.A7 + name: Dokumentation bei der Fernwartung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a7 + ref_id: OPS.1.2.5.A7.1 + description: Die Fernwartung SOLLTE geeignet dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a7 + ref_id: OPS.1.2.5.A7.2 + description: "Aus der Dokumentation SOLLTE hervorgehen, welche Fernwartungszug\xE4\ + nge existieren und ob diese aktiviert sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a7 + ref_id: OPS.1.2.5.A7.3 + description: "Die Dokumente SOLLTEN an geeigneten Orten und vor unberechtigtem\ + \ Zugriff gesch\xFCtzt abgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a7 + ref_id: OPS.1.2.5.A7.4 + description: "Die Dokumente SOLLTEN im Rahmen des Notfallmanagements zur Verf\xFC\ + gung stehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 + ref_id: OPS.1.2.5.A8 + name: Sichere Protokolle bei der Fernwartung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a8 + ref_id: OPS.1.2.5.A8.1 + description: Nur als sicher eingestufte Kommunikationsprotokolle SOLLTEN eingesetzt + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a8 + ref_id: OPS.1.2.5.A8.2 + description: "Daf\xFCr SOLLTEN sichere kryptografische Verfahren verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a8 + ref_id: OPS.1.2.5.A8.3 + description: "Die St\xE4rke der verwendeten kryptografischen Verfahren und Schl\xFC\ + ssel SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft und bei Bedarf angepasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a8 + ref_id: OPS.1.2.5.A8.4 + description: "Wird auf die Fernwartungszug\xE4nge von IT-Systemen im internen\ + \ Netz \xFCber ein \xF6ffentliches Datennetz zugegriffen, SOLLTE ein abgesichertes\ + \ Virtuelles Privates Netz (VPN) genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 + ref_id: OPS.1.2.5.A9 + name: Auswahl und Beschaffung geeigneter Fernwartungswerkzeuge + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a9 + ref_id: OPS.1.2.5.A9.1 + description: Die Auswahl geeigneter Fernwartungswerkzeuge SOLLTE sich aus den + betrieblichen, sicherheitstechnischen und datenschutzrechtlichen Anforderungen + der Institution ergeben. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a9 + ref_id: OPS.1.2.5.A9.2 + description: Alle Beschaffungsentscheidungen SOLLTEN mit den System- und Anwendungsverantwortlichen + sowie dem oder der Informationssicherheitsbeauftragten abgestimmt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 + ref_id: OPS.1.2.5.A10 + name: Umgang mit Fernwartungswerkzeugen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a10 + ref_id: OPS.1.2.5.A10.1 + description: "Es SOLLTEN organisatorische Verwaltungsprozesse zum Umgang mit\ + \ den ausgew\xE4hlten Fernwartungswerkzeugen etabliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a10 + ref_id: OPS.1.2.5.A10.2 + description: "Es SOLLTE eine Bedienungsanleitung f\xFCr den Umgang mit den Fernwartungswerkzeugen\ + \ vorliegen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a10 + ref_id: OPS.1.2.5.A10.3 + description: "Erg\xE4nzend zu den allgemeinen Schulungsma\xDFnahmen SOLLTEN\ + \ Musterabl\xE4ufe f\xFCr die passive und die aktive Fernwartung erstellt\ + \ und kommuniziert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a10 + ref_id: OPS.1.2.5.A10.4 + description: "Zus\xE4tzlich zu den allgemeinen Schulungsma\xDFnahmen SOLLTE\ + \ der IT-Betrieb besonders im Umgang mit den Fernwartungswerkzeugen sensibilisiert\ + \ und geschult werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a10.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a10 + ref_id: OPS.1.2.5.A10.5 + description: "Es SOLLTE ein Ansprechpartner oder eine Ansprechpartnerin f\xFC\ + r alle fachlichen Fragen zu den Fernwartungswerkzeugen benannt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 + ref_id: OPS.1.2.5.A14 + name: Dedizierte Clients und Konten bei der Fernwartung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a14 + ref_id: OPS.1.2.5.A14.1 + description: "Zur Fernwartung SOLLTEN IT-Systeme eingesetzt werden, die ausschlie\xDF\ + lich zur Administration von anderen IT-Systemen dienen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a14 + ref_id: OPS.1.2.5.A14.2 + description: Alle weiteren Funktionen auf diesen IT-Systemen SOLLTEN deaktiviert + werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a14 + ref_id: OPS.1.2.5.A14.3 + description: "Die Netzkommunikation der Administrationssysteme SOLLTE so eingeschr\xE4\ + nkt werden, dass nur Verbindungen zu IT-Systemen m\xF6glich sind, die administriert\ + \ werden sollen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a14.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a14 + ref_id: OPS.1.2.5.A14.4 + description: "F\xFCr Fernwartungszug\xE4nge SOLLTEN dedizierte Konten verwendet\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 + ref_id: OPS.1.2.5.A17 + name: Authentisierungsmechanismen bei der Fernwartung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a17 + ref_id: OPS.1.2.5.A17.1 + description: "F\xFCr die Fernwartung SOLLTEN Mehr-Faktor-Verfahren zur Authentisierung\ + \ eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a17 + ref_id: OPS.1.2.5.A17.2 + description: "Die Auswahl der Authentisierungsmethode und die Gr\xFCnde, die\ + \ zu der Auswahl gef\xFChrt haben, SOLLTEN dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a17 + ref_id: OPS.1.2.5.A17.3 + description: "Fernwartungszug\xE4nge SOLLTEN im Identit\xE4ts- und Berechtigungsmanagement\ + \ der Institution ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 + ref_id: OPS.1.2.5.A19 + name: Fernwartung durch Dritte + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a19 + ref_id: OPS.1.2.5.A19.1 + description: "Wird die Fernwartung von Externen durchgef\xFChrt, SOLLTEN alle\ + \ Fernwartungsaktivit\xE4ten von internen Mitarbeitenden beobachtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a19 + ref_id: OPS.1.2.5.A19.2 + description: "Alle Fernwartungsvorg\xE4nge durch Dritte SOLLTEN aufgezeichnet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a19.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a19 + ref_id: OPS.1.2.5.A19.3 + description: "Mit externem Wartungspersonal M\xDCSSEN vertragliche Regelungen\ + \ \xFCber die Sicherheit der betroffenen IT-Systeme und Informationen geschlossen\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a19.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a19 + ref_id: OPS.1.2.5.A19.4 + description: Die Pflichten und Kompetenzen des externen Wartungspersonals SOLLTEN + in den vertraglichen Regelungen festgehalten werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a19.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a19 + ref_id: OPS.1.2.5.A19.5 + description: "Sollten Dienstleistende mehrere Kunden und Kundinnen fernwarten,\ + \ MUSS gew\xE4hrleistet sein, dass die Netze der Kunden und Kundinnen nicht\ + \ miteinander verbunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a19.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a19 + ref_id: OPS.1.2.5.A19.6 + description: "Die Fernwartungsschnittstellen SOLLTEN so konfiguriert sein, dass\ + \ es Dienstleistenden nur m\xF6glich ist, auf die IT-Systeme und Netzsegmente\ + \ zuzugreifen, die f\xFCr seine Arbeit ben\xF6tigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 + ref_id: OPS.1.2.5.A20 + name: Betrieb der Fernwartung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a20 + ref_id: OPS.1.2.5.A20.1 + description: "Ein Meldeprozess f\xFCr Support- und Fernwartungsanliegen SOLLTE\ + \ etabliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a20.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a20 + ref_id: OPS.1.2.5.A20.2 + description: Es SOLLTEN Mechanismen zur Erkennung und Abwehr von hochvolumigen + Angriffen, TCP-State-Exhaustion-Angriffen und Angriffen auf Applikationsebene + implementiert sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a20.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a20 + ref_id: OPS.1.2.5.A20.3 + description: "Alle Fernwartungsvorg\xE4nge SOLLTEN protokolliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 + ref_id: OPS.1.2.5.A21 + name: "Erstellung eines Notfallplans f\xFCr den Ausfall der Fernwartung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a21 + ref_id: OPS.1.2.5.A21.1 + description: "Es SOLLTE ein Konzept entwickelt werden, wie die Folgen eines\ + \ Ausfalls von Fernwartungskomponenten minimiert werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a21.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a21 + ref_id: OPS.1.2.5.A21.2 + description: Dieses SOLLTE festhalten, wie im Falle eines Ausfalls zu reagieren + ist. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a21.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a21 + ref_id: OPS.1.2.5.A21.3 + description: "Durch den Notfallplan SOLLTE sichergestellt sein, dass St\xF6\ + rungen, Sch\xE4den und Folgesch\xE4den minimiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a21.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a21 + ref_id: OPS.1.2.5.A21.4 + description: "Au\xDFerdem SOLLTE festgelegt werden, wie eine zeitnahe Wiederherstellung\ + \ des Normalbetriebs erfolgen kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 + ref_id: OPS.1.2.5.A22 + name: Redundante Kommunikationsverbindungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a22 + ref_id: OPS.1.2.5.A22.1 + description: "F\xFCr Fernwartungszug\xE4nge SOLLTEN redundante Kommunikationsverbindungen\ + \ eingerichtet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a22.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a22 + ref_id: OPS.1.2.5.A22.2 + description: Die Institution SOLLTE Anbindungen zum Out-Of-Band-Management vorhalten. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a24 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 + ref_id: OPS.1.2.5.A24 + name: Absicherung integrierter Fernwartungssysteme + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a24.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a24 + ref_id: OPS.1.2.5.A24.1 + description: "Bei der Beschaffung von neuen IT-Systemen SOLLTE gepr\xFCft werden,\ + \ ob diese IT-Systeme oder einzelne Komponenten der IT-Systeme \xFCber Funktionen\ + \ zur Fernwartung verf\xFCgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a24.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a24 + ref_id: OPS.1.2.5.A24.2 + description: Werden diese Funktionen nicht verwendet, SOLLTEN sie deaktiviert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a24.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a24 + ref_id: OPS.1.2.5.A24.3 + description: "Die Funktionen SOLLTEN ebenfalls deaktiviert werden, wenn sie\ + \ durch bekannte Sicherheitsl\xFCcken gef\xE4hrdet sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a24.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a24 + ref_id: OPS.1.2.5.A24.4 + description: "Werden Fernwartungsfunktionen verwendet, die in die Firmware einzelner\ + \ Komponenten integriert sind, SOLLTEN deren Funktionen und der Zugriff darauf\ + \ so weit wie m\xF6glich eingeschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a24.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a24 + ref_id: OPS.1.2.5.A24.5 + description: Die Fernwartungsfunktionen SOLLTEN nur aus einem getrennten Managementnetz + erreichbar sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a25 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5 + ref_id: OPS.1.2.5.A25 + name: Entkopplung der Kommunikation bei der Fernwartung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a25.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a25 + ref_id: OPS.1.2.5.A25.1 + description: "Direkte Fernwartungszugriffe von einem Fernwartungs-Client au\xDF\ + erhalb der Managementnetze auf ein IT-System SOLLTEN vermieden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a25.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a25 + ref_id: OPS.1.2.5.A25.2 + description: Ist ein solcher Zugriff notwendig, SOLLTE die Kommunikation entkoppelt + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a25.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a25 + ref_id: OPS.1.2.5.A25.3 + description: Dazu SOLLTEN Sprungserver verwendet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a25.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.5.a25 + ref_id: OPS.1.2.5.A25.4 + description: "Der Zugriff auf Sprungserver SOLLTE nur von vertrauensw\xFCrdigen\ + \ IT-Systemen aus m\xF6glich sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops + ref_id: OPS.1.2.6 + name: NTP-Zeitsynchronisation + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6 + ref_id: OPS.1.2.6.A1 + name: Planung des NTP- Einsatzes + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a1 + ref_id: OPS.1.2.6.A1.1 + description: Der IT-Betrieb MUSS planen, wo und wie NTP eingesetzt wird. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a1 + ref_id: OPS.1.2.6.A1.2 + description: "Dies SOLLTE vollst\xE4ndig dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a1 + ref_id: OPS.1.2.6.A1.3 + description: Dabei MUSS ermittelt werden, welche Anwendungen auf eine genaue + Zeitinformation angewiesen sind. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a1 + ref_id: OPS.1.2.6.A1.4 + description: "Die Anforderungen des Informationsverbunds hinsichtlich genauer\ + \ Zeit der IT-Systeme M\xDCSSEN definiert und dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a1 + ref_id: OPS.1.2.6.A1.5 + description: Der IT-Betrieb MUSS definieren, welche NTP-Server von welchen NTP-Clients + genutzt werden sollen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a1 + ref_id: OPS.1.2.6.A1.6 + description: Es MUSS festgelegt werden, ob NTP-Server im Client-Server- oder + im Broadcast-Modus arbeiten. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6 + ref_id: OPS.1.2.6.A2 + name: Sichere Nutzung fremder Zeitquellen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a2 + ref_id: OPS.1.2.6.A2.1 + description: "Falls Zeitinformationen von einem NTP-Server au\xDFerhalb des\ + \ Netzes der Institution bezogen werden, dann MUSS der IT-Betrieb beurteilen,\ + \ ob der NTP-Server hinreichend verl\xE4sslich ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a2 + ref_id: OPS.1.2.6.A2.2 + description: "Der IT-Betrieb MUSS sicherstellen, dass nur als verl\xE4sslich\ + \ eingestufte NTP-Server verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a2 + ref_id: OPS.1.2.6.A2.3 + description: Der IT-Betrieb MUSS die Nutzungsregeln des NTP-Servers kennen und + beachten. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6 + ref_id: OPS.1.2.6.A3 + name: Sichere Konfiguration von NTP-Servern + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a3 + ref_id: OPS.1.2.6.A3.1 + description: "Der IT-Betrieb MUSS den NTP-Server so konfigurieren, dass Clients\ + \ nur dann Einstellungen des NTP-Servers ver\xE4ndern k\xF6nnen, wenn dies\ + \ explizit vorgesehen ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a3 + ref_id: OPS.1.2.6.A3.2 + description: "Dar\xFCber hinaus MUSS sichergestellt werden, dass nur vertrauensw\xFC\ + rdige Clients Status-Informationen abfragen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a3 + ref_id: OPS.1.2.6.A3.3 + description: "Falls die internen NTP-Server der Institution nicht selbst hinreichend\ + \ genaue Zeitquellen nutzen, dann MUSS der IT-Betrieb diese NTP-Server so\ + \ konfigurieren, dass sie regelm\xE4\xDFig genaue Zeitinformationen von externen\ + \ NTP-Servern abfragen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6 + ref_id: OPS.1.2.6.A4 + name: "Nichtber\xFCcksichtigung unaufgeforderter Zeitinformationen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a4 + ref_id: OPS.1.2.6.A4.1 + description: Der IT-Betrieb MUSS alle NTP-Clients so konfigurieren, dass sie + Zeitinformationen verwerfen, die sie unaufgefordert von anderen IT-Systemen + erhalten. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6 + ref_id: OPS.1.2.6.A5 + name: "Nutzung des Client-Server-Modus f\xFCr NTP" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a5 + ref_id: OPS.1.2.6.A5.1 + description: Der IT-Betrieb SOLLTE alle IT-Systeme so konfigurieren, dass sie + den NTP-Dienst im Client-Server-Modus nutzen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a5 + ref_id: OPS.1.2.6.A5.2 + description: NTP-Server SOLLTEN Zeitinformationen nur dann an Clients versenden, + wenn diese aktiv anfragen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6 + ref_id: OPS.1.2.6.A6 + name: "\xDCberwachung von IT-Systemen mit NTP-Nutzung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a6 + ref_id: OPS.1.2.6.A6.1 + description: "Der IT-Betrieb SOLLTE die Verf\xFCgbarkeit, die Kapazit\xE4t und\ + \ die Systemzeit der internen NTP-Server \xFCberwachen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a6 + ref_id: OPS.1.2.6.A6.2 + description: 'Der IT-Betrieb SOLLTE IT-Systeme, die ihre Zeit per NTP synchronisieren, + so konfigurieren, dass sie folgende Ereignisse protokollieren:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a6 + ref_id: OPS.1.2.6.A6.3 + description: "\u2022 unerwartete Neustarts des IT-Systems," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a6 + ref_id: OPS.1.2.6.A6.4 + description: "\u2022 unerwartete Neustarts des NTP-Dienstes," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a6 + ref_id: OPS.1.2.6.A6.5 + description: "\u2022 Fehler im Zusammenhang mit dem NTP-Dienst sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a6.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a6 + ref_id: OPS.1.2.6.A6.6 + description: "\u2022 ungew\xF6hnliche Zeitinformationen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a6.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a6 + ref_id: OPS.1.2.6.A6.7 + description: "Falls der NTP-Server von sich aus regelm\xE4\xDFig Zeitinformationen\ + \ versendet (Broadcast-Modus), dann SOLLTE der IT-Betrieb die NTP-Clients\ + \ daraufhin \xFCberwachen, ob sie ungew\xF6hnliche Zeitinformationen erhalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6 + ref_id: OPS.1.2.6.A7 + name: Sichere Konfiguration von NTP-Clients + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a7 + ref_id: OPS.1.2.6.A7.1 + description: Der IT-Betrieb SOLLTE festlegen, welche Zeitinformationen ein IT-System + verwenden soll, wenn es neu gestartet wurde. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a7 + ref_id: OPS.1.2.6.A7.2 + description: Der IT-Betrieb SOLLTE festlegen, welche Zeitinformationen ein IT-System + verwenden soll, wenn sein NTP-Dienst neu gestartet wurde. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a7 + ref_id: OPS.1.2.6.A7.3 + description: Der IT-Betrieb SOLLTE festlegen, wie NTP-Clients auf stark abweichende + Zeitinformationen reagieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a7 + ref_id: OPS.1.2.6.A7.4 + description: Insbesondere SOLLTE entschieden werden, ob stark abweichende Zeitinformationen + von NTP-Servern nach einem Systemneustart akzeptiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a7 + ref_id: OPS.1.2.6.A7.5 + description: "Der IT-Betrieb SOLLTE Grenzwerte f\xFCr stark abweichende Zeitinformationen\ + \ festlegen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a7.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a7 + ref_id: OPS.1.2.6.A7.6 + description: Der IT-Betrieb SOLLTE sicherstellen, dass NTP-Clients auch dann + noch ausreichende Zeitinformationen erhalten, wenn sie von einem NTP-Server + aufgefordert werden, weniger oder gar keine Anfragen zu senden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6 + ref_id: OPS.1.2.6.A8 + name: Einsatz sicherer Protokolle zur Zeitsynchronisation + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a8 + ref_id: OPS.1.2.6.A8.1 + description: "Der IT-Betrieb SOLLTE pr\xFCfen, ob sichere Protokolle zur Zeitsynchronisation\ + \ eingesetzt werden k\xF6nnen (z. B. Network Time Security (NTS))." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a8 + ref_id: OPS.1.2.6.A8.2 + description: "Falls dies m\xF6glich ist, SOLLTEN sichere Protokolle eingesetzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6 + ref_id: OPS.1.2.6.A9 + name: "Verf\xFCgbarkeit ausreichend vieler genauer Zeitquellen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a9 + ref_id: OPS.1.2.6.A9.1 + description: "Falls korrekte Systemzeiten von erheblicher Bedeutung sind, dann\ + \ SOLLTE eine Institution \xFCber mehrere Stratum-1-NTP-Server in ihrem Netz\ + \ verf\xFCgen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a9 + ref_id: OPS.1.2.6.A9.2 + description: Die IT-Systeme des Informationsverbunds mit NTP-Dienst SOLLTEN + die Stratum-1-NTP-Server direkt oder indirekt als Zeitreferenz nutzen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a9 + ref_id: OPS.1.2.6.A9.3 + description: "Die Straum-1-Server SOLLTEN jeweils \xFCber verschiedene Zeitquellen\ + \ verf\xFCgen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6 + ref_id: OPS.1.2.6.A10 + name: "Ausschlie\xDFlich interne NTP-Server" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a10 + ref_id: OPS.1.2.6.A10.1 + description: "Jedes IT-System des Informationsverbunds mit NTP-Dienst SOLLTE\ + \ Zeitinformationen ausschlie\xDFlich von NTP-Servern innerhalb des Netzes\ + \ der Institution beziehen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6 + ref_id: OPS.1.2.6.A11 + name: Redundante NTP-Server + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a11 + ref_id: OPS.1.2.6.A11.1 + description: "IT-Systeme, bei denen die Genauigkeit der Systemzeit von erheblicher\ + \ Bedeutung ist, SOLLTEN Zeitinformationen von mindestens vier unabh\xE4ngigen\ + \ NTP-Servern beziehen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6 + ref_id: OPS.1.2.6.A12 + name: "NTP-Server mit authentifizierten Ausk\xFCnften" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a12 + ref_id: OPS.1.2.6.A12.1 + description: "NTP-Server SOLLTEN sich bei der Kommunikation gegen\xFCber Clients\ + \ authentisieren." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a12 + ref_id: OPS.1.2.6.A12.2 + description: "Dies SOLLTE auch f\xFCr die Server gelten, von denen der NTP-Server\ + \ seinerseits Zeitinformationen erh\xE4lt." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.1.2.6.a12 + ref_id: OPS.1.2.6.A12.3 + description: Die NTP-Clients SOLLTEN nur authentifizierte NTP-Daten akzeptieren. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops + ref_id: OPS.2.2 + name: Cloud-Nutzung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 + ref_id: OPS.2.2.A1 + name: "Erstellung einer Strategie f\xFCr die Cloud-Nutzung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1 + ref_id: OPS.2.2.A1.1 + description: "Eine Strategie f\xFCr die Cloud-Nutzung MUSS erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1 + ref_id: OPS.2.2.A1.2 + description: "Darin M\xDCSSEN Ziele, Chancen und Risiken definiert werden, die\ + \ die Institution mit der Cloud-Nutzung verbindet." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1 + ref_id: OPS.2.2.A1.3 + description: "Zudem M\xDCSSEN die rechtlichen und organisatorischen Rahmenbedingungen\ + \ sowie die technischen Anforderungen untersucht werden, die sich aus der\ + \ Nutzung von Cloud-Diensten ergeben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1 + ref_id: OPS.2.2.A1.4 + description: "Die Ergebnisse dieser Untersuchung M\xDCSSEN in einer Machbarkeitsstudie\ + \ dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1 + ref_id: OPS.2.2.A1.5 + description: "Es MUSS festgelegt werden, welche Dienste in welchem Bereitstellungsmodell\ + \ zuk\xFCnftig von Cloud-Diensteanbietenden bezogen werden sollen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1 + ref_id: OPS.2.2.A1.6 + description: "Zudem MUSS sichergestellt werden, dass bereits in der Planungsphase\ + \ zur Cloud-Nutzung alle grundlegenden technischen und organisatorischen Sicherheitsaspekte\ + \ ausreichend ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1 + ref_id: OPS.2.2.A1.7 + description: "F\xFCr den geplanten Cloud-Dienst SOLLTE eine grobe individuelle\ + \ Sicherheitsanalyse durchgef\xFChrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1 + ref_id: OPS.2.2.A1.8 + description: "Diese SOLLTE wiederholt werden, wenn sich technische und organisatorische\ + \ Rahmenbedingungen wesentlich ver\xE4ndern." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a1 + ref_id: OPS.2.2.A1.9 + description: "F\xFCr gr\xF6\xDFere Cloud-Projekte SOLLTE zudem eine Roadmap\ + \ erarbeitet werden, die festlegt, wann und wie ein Cloud-Dienst eingef\xFC\ + hrt wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 + ref_id: OPS.2.2.A2 + name: "Erstellung einer Sicherheitsrichtlinie f\xFCr die Cloud-Nutzung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a2 + ref_id: OPS.2.2.A2.1 + description: "Auf Basis der Strategie f\xFCr die Cloud-Nutzung MUSS eine Sicherheitsrichtlinie\ + \ f\xFCr die Cloud-Nutzung erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a2 + ref_id: OPS.2.2.A2.2 + description: Sie MUSS konkrete Sicherheitsvorgaben beinhalten, mit denen sich + Cloud-Dienste innerhalb der Institution umsetzen lassen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a2 + ref_id: OPS.2.2.A2.3 + description: "Au\xDFerdem M\xDCSSEN darin spezielle Sicherheitsanforderungen\ + \ an die Cloud-Diensteanbietenden sowie das festgelegte Schutzniveau f\xFC\ + r Cloud-Dienste hinsichtlich Vertraulichkeit, Integrit\xE4t und Verf\xFCgbarkeit\ + \ dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a2 + ref_id: OPS.2.2.A2.4 + description: "Wenn Cloud-Dienste von internationalen Anbietenden genutzt werden,\ + \ M\xDCSSEN die speziellen l\xE4nderspezifischen Anforderungen und gesetzlichen\ + \ Bestimmungen ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 + ref_id: OPS.2.2.A3 + name: "Service-Definition f\xFCr Cloud-Dienste" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a3 + ref_id: OPS.2.2.A3.1 + description: "F\xFCr jeden Cloud-Dienst MUSS eine Service-Definition erarbeitet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a3 + ref_id: OPS.2.2.A3.2 + description: Zudem SOLLTEN alle geplanten und genutzten Cloud-Dienste dokumentiert + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 + ref_id: OPS.2.2.A4 + name: Festlegung von Verantwortungsbereichen und Schnittstellen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a4 + ref_id: OPS.2.2.A4.1 + description: "Basierend auf der Service-Definition f\xFCr Cloud-Dienste M\xDC\ + SSEN alle relevanten Schnittstellen und Verantwortlichkeiten f\xFCr die Cloud-Nutzung\ + \ identifiziert und dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a4 + ref_id: OPS.2.2.A4.2 + description: Es MUSS klar erkennbar sein, wie die Verantwortungsbereiche zwischen + Cloud-Diensteanbietenden und der auftraggebenden Institution voneinander abgegrenzt + sind. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 + ref_id: OPS.2.2.A5 + name: Planung der sicheren Migration zu einem Cloud-Dienst + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a5 + ref_id: OPS.2.2.A5.1 + description: Bevor zu einem Cloud-Dienst migriert wird, SOLLTE ein Migrationskonzept + erstellt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a5 + ref_id: OPS.2.2.A5.2 + description: "Daf\xFCr SOLLTEN zun\xE4chst organisatorische Regelungen sowie\ + \ die Aufgabenverteilung festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a5 + ref_id: OPS.2.2.A5.3 + description: Zudem SOLLTEN bestehende Betriebsprozesse hinsichtlich der Cloud-Nutzung + identifiziert und angepasst werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a5 + ref_id: OPS.2.2.A5.4 + description: "Es SOLLTE sichergestellt werden, dass die eigene IT ausreichend\ + \ im Migrationsprozess ber\xFCcksichtigt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a5.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a5 + ref_id: OPS.2.2.A5.5 + description: "Auch SOLLTEN die Zust\xE4ndigen ermitteln, ob die Mitarbeitenden\ + \ auf Seiten der Institution zus\xE4tzlich geschult werden sollten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 + ref_id: OPS.2.2.A6 + name: Planung der sicheren Einbindung von Cloud-Diensten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a6 + ref_id: OPS.2.2.A6.1 + description: "Bevor ein Cloud-Dienst genutzt wird, SOLLTE sorgf\xE4ltig geplant\ + \ werden, wie er in die IT der Institution eingebunden werden soll." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a6 + ref_id: OPS.2.2.A6.2 + description: "Hierf\xFCr SOLLTE mindestens gepr\xFCft werden, ob Anpassungen\ + \ der Schnittstellen, der Netzanbindung, des Administrationsmodells sowie\ + \ des Datenmanagementmodells notwendig sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a6 + ref_id: OPS.2.2.A6.3 + description: "Die Ergebnisse SOLLTEN dokumentiert und regelm\xE4\xDFig aktualisiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 + ref_id: OPS.2.2.A7 + name: "Erstellung eines Sicherheitskonzeptes f\xFCr die Cloud-Nutzung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a7 + ref_id: OPS.2.2.A7.1 + description: "Auf Grundlage der identifizierten Sicherheitsanforderungen (siehe\ + \ OPS.2.2.A2 Erstellung einer Sicherheitsrichtlinie f\xFCr die Cloud-Nutzung)\ + \ SOLLTE ein Sicherheitskonzept f\xFCr die Nutzung von Cloud-Diensten erstellt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 + ref_id: OPS.2.2.A8 + name: "Sorgf\xE4ltige Auswahl von Cloud-Diensteanbietenden" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a8 + ref_id: OPS.2.2.A8.1 + description: "Basierend auf der Service-Definition f\xFCr den Cloud-Dienst SOLLTE\ + \ ein detailliertes Anforderungsprofil f\xFCr Cloud-Diensteanbietende erstellt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a8 + ref_id: OPS.2.2.A8.2 + description: Eine Leistungsbeschreibung und ein Lastenheft SOLLTEN erstellt + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a8 + ref_id: OPS.2.2.A8.3 + description: "F\xFCr die Bewertung von Cloud-Diensteanbietenden SOLLTEN auch\ + \ erg\xE4nzende Informationsquellen herangezogen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a8 + ref_id: OPS.2.2.A8.4 + description: "Ebenso SOLLTEN verf\xFCgbare Service-Beschreibungen der Cloud-Diensteanbietenden\ + \ sorgf\xE4ltig gepr\xFCft und hinterfragt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 + ref_id: OPS.2.2.A9 + name: Vertragsgestaltung mit den Cloud-Diensteanbietenden + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a9 + ref_id: OPS.2.2.A9.1 + description: Die vertraglichen Regelungen zwischen der auftraggebenden Institution + und den Cloud-Diensteanbietenden SOLLTEN in Art, Umfang und Detaillierungsgrad + dem Schutzbedarf der Informationen angepasst sein, die im Zusammenhang mit + der Cloud-Nutzung stehen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a9 + ref_id: OPS.2.2.A9.2 + description: Es SOLLTE geregelt werden, an welchem Standort die Cloud-Diensteanbietenden + ihre Leistung erbringen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a9 + ref_id: OPS.2.2.A9.3 + description: "Zus\xE4tzlich SOLLTEN Eskalationsstufen und Kommunikationswege\ + \ zwischen der Institution und den Cloud-Diensteanbietenden definiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a9 + ref_id: OPS.2.2.A9.4 + description: "Auch SOLLTE vereinbart werden, wie die Daten der Institution sicher\ + \ zu l\xF6schen sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a9.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a9 + ref_id: OPS.2.2.A9.5 + description: "Ebenso SOLLTEN K\xFCndigungsregelungen schriftlich fixiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a9.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a9 + ref_id: OPS.2.2.A9.6 + description: "Die Cloud-Diensteanbietenden SOLLTEN alle Subunternehmen offenlegen,\ + \ die sie f\xFCr den Cloud-Dienst ben\xF6tigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 + ref_id: OPS.2.2.A10 + name: Sichere Migration zu einem Cloud-Dienst + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a10 + ref_id: OPS.2.2.A10.1 + description: Die Migration zu einem Cloud-Dienst SOLLTE auf Basis des erstellten + Migrationskonzeptes erfolgen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a10 + ref_id: OPS.2.2.A10.2 + description: "W\xE4hrend der Migration SOLLTE \xFCberpr\xFCft werden, ob das\ + \ Sicherheitskonzept f\xFCr die Cloud-Nutzung an potenzielle neue Anforderungen\ + \ angepasst werden muss." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a10 + ref_id: OPS.2.2.A10.3 + description: "Auch SOLLTEN alle Notfallvorsorgema\xDFnahmen vollst\xE4ndig und\ + \ aktuell sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a10 + ref_id: OPS.2.2.A10.4 + description: "Die Migration zu einem Cloud-Dienst SOLLTE zun\xE4chst in einem\ + \ Testlauf \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a10.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a10 + ref_id: OPS.2.2.A10.5 + description: "Ist der Cloud-Dienst in den produktiven Betrieb \xFCbergegangen,\ + \ SOLLTE abgeglichen werden, ob die Cloud-Diensteanbietenden die definierten\ + \ Anforderungen der Institution erf\xFCllen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 + ref_id: OPS.2.2.A11 + name: "Erstellung eines Notfallkonzeptes f\xFCr einen Cloud-Dienst" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a11 + ref_id: OPS.2.2.A11.1 + description: "F\xFCr die genutzten Cloud-Dienste SOLLTE ein Notfallkonzept erstellt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a11 + ref_id: OPS.2.2.A11.2 + description: "Es SOLLTE alle notwendigen Angaben zu Zust\xE4ndigkeiten und Kontaktpersonen\ + \ enthalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a11 + ref_id: OPS.2.2.A11.3 + description: Zudem SOLLTEN detaillierte Regelungen hinsichtlich der Datensicherung + getroffen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a11.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a11 + ref_id: OPS.2.2.A11.4 + description: Auch Vorgaben zu redundant auszulegenden Management-Tools und Schnittstellensystemen + SOLLTEN festgehalten sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 + ref_id: OPS.2.2.A12 + name: Aufrechterhaltung der Informationssicherheit im laufenden Cloud-Nutzungs-Betrieb + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a12 + ref_id: OPS.2.2.A12.1 + description: "Alle f\xFCr die eingesetzten Cloud-Dienste erstellten Dokumentationen\ + \ und Richtlinien SOLLTEN regelm\xE4\xDFig aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a12 + ref_id: OPS.2.2.A12.2 + description: "Es SOLLTE au\xDFerdem periodisch kontrolliert werden, ob die vertraglich\ + \ zugesicherten Leistungen erbracht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a12 + ref_id: OPS.2.2.A12.3 + description: "Auch SOLLTEN sich die Cloud-Diensteanbietenden und die Institution\ + \ nach M\xF6glichkeit regelm\xE4\xDFig abstimmen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a12 + ref_id: OPS.2.2.A12.4 + description: "Ebenso SOLLTE geplant und ge\xFCbt werden, wie auf Systemausf\xE4\ + lle zu reagieren ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 + ref_id: OPS.2.2.A13 + name: Nachweis einer ausreichenden Informationssicherheit bei der Cloud-Nutzung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a13 + ref_id: OPS.2.2.A13.1 + description: "Die Institution SOLLTE sich von den Cloud-Diensteanbietenden regelm\xE4\ + \xDFig nachweisen lassen, dass die vereinbarten Sicherheitsanforderungen erf\xFC\ + llt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a13 + ref_id: OPS.2.2.A13.2 + description: Der Nachweis SOLLTE auf einem international anerkannten Regelwerk + basieren (z. B. IT-Grundschutz, ISO/IEC 27001, Anforderungskatalog Cloud Computing + (C5), Cloud Controls Matrix der Cloud Security Alliance). + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a13 + ref_id: OPS.2.2.A13.3 + description: "Die Institution SOLLTE pr\xFCfen, ob der Geltungsbereich und Schutzbedarf\ + \ die genutzten Cloud-Dienste erfasst." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a13.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a13 + ref_id: OPS.2.2.A13.4 + description: "Nutzen Cloud-Diensteanbietende Subunternehmen, um die Cloud-Dienste\ + \ zu erbringen, SOLLTEN Cloud-Diensteanbietende der Institution regelm\xE4\ + \xDFig nachweisen, dass diese Subunternehmen die notwendigen Audits durchf\xFC\ + hren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 + ref_id: OPS.2.2.A14 + name: "Geordnete Beendigung eines Cloud-Nutzungs-Verh\xE4ltnisses" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a14 + ref_id: OPS.2.2.A14.1 + description: "Wenn das Dienstleistungsverh\xE4ltnis mit den Cloud-Diensteanbietenden\ + \ beendet wird, SOLLTE sichergestellt sein, dass dadurch die Gesch\xE4ftst\xE4\ + tigkeit oder die Fachaufgaben der Institution nicht beeintr\xE4chtigt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a14 + ref_id: OPS.2.2.A14.2 + description: "Die Vertr\xE4ge mit den Cloud-Diensteanbietenden SOLLTEN regeln,\ + \ wie das jeweilige Dienstleistungsverh\xE4ltnis geordnet aufgel\xF6st werden\ + \ kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 + ref_id: OPS.2.2.A15 + name: "Sicherstellung der Portabilit\xE4t von Cloud-Diensten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a15 + ref_id: OPS.2.2.A15.1 + description: "Die Institution SOLLTE alle Anforderungen definieren, die es erm\xF6\ + glichen, Cloud-Diensteanbietende zu wechseln oder den Cloud-Dienst bzw. die\ + \ Daten in die eigene IT-Infrastruktur zur\xFCckzuholen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a15 + ref_id: OPS.2.2.A15.2 + description: "Zudem SOLLTE die Institution regelm\xE4\xDFig Portabilit\xE4tstests\ + \ durchf\xFChren." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a15 + ref_id: OPS.2.2.A15.3 + description: "In den Vertr\xE4gen mit den Cloud-Diensteanbietenden SOLLTEN Vorgaben\ + \ festgehalten werden, mit denen sich die notwendige Portabilit\xE4t gew\xE4\ + hrleisten l\xE4sst." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 + ref_id: OPS.2.2.A16 + name: "Durchf\xFChrung eigener Datensicherungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a16 + ref_id: OPS.2.2.A16.1 + description: "Die Institution SOLLTE pr\xFCfen, ob, zus\xE4tzlich zu den vertraglich\ + \ festgelegten Datensicherungen der Cloud-Diensteanbietenden, eigene Datensicherungen\ + \ erstellt werden sollen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a16 + ref_id: OPS.2.2.A16.2 + description: Zudem SOLLTE sie detaillierte Anforderungen an einen Backup-Service + erstellen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 + ref_id: OPS.2.2.A17 + name: "Einsatz von Verschl\xFCsselung bei Cloud-Nutzung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a17 + ref_id: OPS.2.2.A17.1 + description: "Wenn Daten durch Cloud-Diensteanbietende verschl\xFCsselt werden,\ + \ SOLLTE vertraglich geregelt werden, welche Verschl\xFCsselungsmechanismen\ + \ und welche Schl\xFCssell\xE4ngen eingesetzt werden d\xFCrfen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a17 + ref_id: OPS.2.2.A17.2 + description: "Wenn eigene Verschl\xFCsselungsmechanismen genutzt werden, SOLLTE\ + \ ein geeignetes Schl\xFCsselmanagement sichergestellt sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a17 + ref_id: OPS.2.2.A17.3 + description: "Bei der Verschl\xFCsselung SOLLTEN die eventuellen Besonderheiten\ + \ des gew\xE4hlten Cloud-Service-Modells ber\xFCcksichtigt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 + ref_id: OPS.2.2.A18 + name: Einsatz von Verbunddiensten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a18 + ref_id: OPS.2.2.A18.1 + description: "Es SOLLTE gepr\xFCft werden, ob bei einem Cloud-Nutzungs-Vorhaben\ + \ Verbunddienste (Federation Services) eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a18 + ref_id: OPS.2.2.A18.2 + description: "Es SOLLTE sichergestellt sein, dass in einem SAML (Security Assertion\ + \ Markup Language)-Ticket nur die erforderlichen Informationen an die Cloud-Diensteanbietenden\ + \ \xFCbertragen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a18 + ref_id: OPS.2.2.A18.3 + description: "Die Berechtigungen SOLLTEN regelm\xE4\xDFig \xFCberpr\xFCft werden,\ + \ sodass nur berechtigten Benutzenden ein SAML-Ticket ausgestellt wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2 + ref_id: OPS.2.2.A19 + name: "Sicherheits\xFCberpr\xFCfung von Mitarbeitenden" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a19 + ref_id: OPS.2.2.A19.1 + description: "Mit externen Cloud-Diensteanbietenden SOLLTE vertraglich vereinbart\ + \ werden, dass in geeigneter Weise \xFCberpr\xFCft wird, ob das eingesetzte\ + \ Personal qualifiziert und vertrauensw\xFCrdig ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.2.a19 + ref_id: OPS.2.2.A19.2 + description: Dazu SOLLTEN gemeinsam Kriterien festgelegt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops + ref_id: OPS.2.3 + name: 'Nutzung von Outsourcing ' + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 + ref_id: OPS.2.3.A1 + name: "Erstellung von Anforderungsprofilen f\xFCr Prozesse" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a1 + ref_id: OPS.2.3.A1.1 + description: "Falls keine Business-Impact-Analyse (BIA) vorhanden ist, M\xDC\ + SSEN Anforderungsprofile in Form von Steckbriefen f\xFCr die Prozesse angefertigt\ + \ werden, die potenziell ausgelagert werden sollen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a1 + ref_id: OPS.2.3.A1.2 + description: "Diese Anforderungsprofile M\xDCSSEN die Funktion, verarbeite Daten,\ + \ Schnittstellen sowie eine Bewertung der Informationssicherheit enthalten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a1 + ref_id: OPS.2.3.A1.3 + description: "Insbesondere M\xDCSSEN die Abh\xE4ngigkeiten zwischen den Prozessen\ + \ sowie zu untergeordneten Teilprozessen ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a1 + ref_id: OPS.2.3.A1.4 + description: "Die Anforderungsprofile M\xDCSSEN die Kritikalit\xE4t des jeweiligen\ + \ Prozesses f\xFCr den ordentlichen Gesch\xE4ftsbetrieb abbilden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 + ref_id: OPS.2.3.A2 + name: Verfolgung eines risikoorientierten Ansatzes im Auslagerungsmanagement + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a2 + ref_id: OPS.2.3.A2.1 + description: "F\xFCr Prozesse, die potenziell ausgelagert werden sollen, MUSS\ + \ risikoorientiert betrachtet und entschieden werden, ob diese ausgelagert\ + \ werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a2 + ref_id: OPS.2.3.A2.2 + description: "F\xFCr diese Bewertung SOLLTEN die Anforderungsprofile als Grundlage\ + \ genutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a2 + ref_id: OPS.2.3.A2.3 + description: Wenn der Prozess ausgelagert wird, SOLLTE das Resultat im Auslagerungsregister + abgelegt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a2 + ref_id: OPS.2.3.A2.4 + description: "Um \xC4nderungen an Prozessen oder der Gef\xE4hrdungslage zu ber\xFC\ + cksichtigen, M\xDCSSEN in regelm\xE4\xDFigen Abst\xE4nden sowie anlassbezogen\ + \ die ausgelagerten Prozesse erneut risikoorientiert betrachtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 + ref_id: OPS.2.3.A3 + name: Festlegung von Eignungsanforderungen an Anbietende von Outsourcing + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a3 + ref_id: OPS.2.3.A3.1 + description: "Interne Eignungsanforderungen an potenzielle Anbietende von Outsourcing\ + \ M\xDCSSEN festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a3 + ref_id: OPS.2.3.A3.2 + description: "Diese Eignungsanforderungen M\xDCSSEN die erforderlichen Kompetenzen,\ + \ um den Prozess aus Sicht der Informationssicherheit abzusichern, sowie die\ + \ Reputation hinsichtlich der Vertrauensw\xFCrdigkeit und Zuverl\xE4ssigkeit\ + \ ber\xFCcksichtigen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a3 + ref_id: OPS.2.3.A3.3 + description: "Diese Eignungsanforderungen SOLLTEN auf Basis der Unternehmensstrategie\ + \ (siehe OPS.2.3.A8 Erstellung einer Strategie f\xFCr Outsourcing-Vorhaben)\ + \ erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a3 + ref_id: OPS.2.3.A3.4 + description: "Es MUSS gepr\xFCft werden, ob potenzielle Interessenkonflikte\ + \ vorliegen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a3 + ref_id: OPS.2.3.A3.5 + description: "Ferner SOLLTEN die Anbietenden von Outsourcing regelm\xE4\xDF\ + ig gegen die Eignungsanforderungen gepr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a3.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a3 + ref_id: OPS.2.3.A3.6 + description: "Wenn die Anbietenden von Outsourcing nicht die Eignungsanforderungen\ + \ erf\xFCllen, SOLLTEN Handlungsma\xDFnahmen getroffen und in einem Ma\xDF\ + nahmenkatalog festgehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 + ref_id: OPS.2.3.A4 + name: "Grundanforderungen an Vertr\xE4ge mit Anbietenden von Outsourcing" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a4 + ref_id: OPS.2.3.A4.1 + description: "Einheitliche Grundanforderungen an Outsourcing-Vertr\xE4ge M\xDC\ + SSEN entwickelt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a4 + ref_id: OPS.2.3.A4.2 + description: "Diese Grundanforderungen M\xDCSSEN Aspekte der Informationssicherheit,\ + \ einen Zustimmungsvorbehalt bei Weiterverlagerungen sowie ein Recht auf Pr\xFC\ + fung, Revision und Audit beinhalten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a4 + ref_id: OPS.2.3.A4.3 + description: "Bei der Entwicklung der Grundanforderungen SOLLTEN die Resultate\ + \ der risikoorientierten Betrachtung sowie Eignungsanforderungen an Anbietende\ + \ von Outsourcing mit einflie\xDFen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a4 + ref_id: OPS.2.3.A4.4 + description: "Mit den Anbietenden von Outsourcing SOLLTE eine Verschwiegenheitserkl\xE4\ + rung zum Schutz von sensiblen Daten vereinbart werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a4 + ref_id: OPS.2.3.A4.5 + description: "Die Grundanforderungen M\xDCSSEN in Vereinbarungen und Vertr\xE4\ + gen einheitlich umgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a4.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a4 + ref_id: OPS.2.3.A4.6 + description: "Auf Basis der Grundanforderungen SOLLTE eine einheitliche Vertragsvorlage\ + \ erstellt und f\xFCr alle Outsourcing-Vorhaben genutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 + ref_id: OPS.2.3.A5 + name: "Vereinbarung der Mandantenf\xE4higkeit" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a5 + ref_id: OPS.2.3.A5.1 + description: "In einer Vereinbarung zur Mandantenf\xE4higkeit mit den Anbietenden\ + \ von Outsourcing MUSS sichergestellt werden, dass die Daten und Verarbeitungskontexte\ + \ durch den Anbietenden von Outsourcing ausreichend sicher getrennt sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a5 + ref_id: OPS.2.3.A5.2 + description: In dieser Vereinbarung SOLLTE ein Mandantentrennungskonzept von + den Anbietenden von Outsourcing gefordert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a5 + ref_id: OPS.2.3.A5.3 + description: "Das Mandantentrennungskonzept SOLLTE zwischen mandantenabh\xE4\ + ngigen und mandanten\xFCbergreifenden Daten und Objekten unterscheiden und\ + \ darlegen, mit welchen Mechanismen die Anbietenden von Outsourcing trennen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 + ref_id: OPS.2.3.A6 + name: "Festlegung von Sicherheitsanforderungen und Erstellung eines Sicherheitskonzeptes\ + \ f\xFCr das Outsourcing-Vorhaben" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a6 + ref_id: OPS.2.3.A6.1 + description: "Mit den Anbietenden von Outsourcing MUSS vertraglich vereinbart\ + \ werden, dass IT-Grundschutz umgesetzt oder mindestens die Anforderungen\ + \ aus den relevanten Bausteinen geeignet erf\xFCllt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a6 + ref_id: OPS.2.3.A6.2 + description: "Dar\xFCber hinaus SOLLTE mit den Anbietenden von Outsourcing vereinbart\ + \ werden, dass sie ein Managementsystem f\xFCr Informationssicherheit (ISMS)\ + \ etablieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a6 + ref_id: OPS.2.3.A6.3 + description: "Die Nutzenden von Outsourcing M\xDCSSEN f\xFCr jedes Outsourcing-Vorhaben\ + \ ein Sicherheitskonzept basierend auf den sich aus dem IT-Grundschutz ergebenen\ + \ Sicherheitsanforderungen erstellen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a6 + ref_id: OPS.2.3.A6.4 + description: Dabei MUSS das Sicherheitskonzept der Nutzenden mit den Anbietenden + von Outsourcing abgestimmt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a6 + ref_id: OPS.2.3.A6.5 + description: "Ebenso SOLLTE jeder Anbietende ein individuelles Sicherheitskonzept\ + \ f\xFCr das jeweilige Outsourcing-Vorhaben vorlegen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a6.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a6 + ref_id: OPS.2.3.A6.6 + description: "Das Sicherheitskonzept der Anbietenden von Outsourcing und dessen\ + \ Umsetzung SOLLTE zu einem gesamten Sicherheitskonzept zusammengef\xFChrt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a6.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a6 + ref_id: OPS.2.3.A6.7 + description: "Wenn Risikoanalysen notwendig sind, M\xDCSSEN Vereinbarungen getroffen\ + \ werden, wie die Risikoanalyse gepr\xFCft und gegebenenfalls in das eigene\ + \ Risikomanagement \xFCberf\xFChrt werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a6.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a6 + ref_id: OPS.2.3.A6.8 + description: "Die Nutzenden von Outsourcing oder unabh\xE4ngige Dritte M\xDC\ + SSEN regelm\xE4\xDFig \xFCberpr\xFCfen, ob das Sicherheitskonzept wirksam\ + \ ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 + ref_id: OPS.2.3.A7 + name: "Regelungen f\xFCr eine geplante oder ungeplante Beendigung eines Outsourcing-Verh\xE4\ + ltnisses" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a7 + ref_id: OPS.2.3.A7.1 + description: "F\xFCr geplante sowie ungeplante Beendigungen des Outsourcing-Verh\xE4\ + ltnisses M\xDCSSEN Regelungen getroffen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a7 + ref_id: OPS.2.3.A7.2 + description: "Es MUSS festgelegt werden, wie alle Informationen, Daten und Hardware\ + \ der Nutzenden vom Anbietenden von Outsourcing zur\xFCckgegeben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a7 + ref_id: OPS.2.3.A7.3 + description: "Hierbei M\xDCSSEN gesetzliche Vorgaben zur Aufbewahrung von Daten\ + \ beachtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a7 + ref_id: OPS.2.3.A7.4 + description: "Ferner SOLLTE \xFCberpr\xFCft werden, ob die Zugangs-, Zutritts-\ + \ und Zugriffsrechte f\xFCr die Anbietenden von Outsourcing mit der Beendigung\ + \ des Outsourcing-Verh\xE4ltnisses aufgehoben wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 + ref_id: OPS.2.3.A8 + name: "Erstellung einer Strategie f\xFCr Outsourcing-Vorhaben" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a8 + ref_id: OPS.2.3.A8.1 + description: "Eine Strategie f\xFCr Outsourcing-Vorhaben SOLLTE erstellt und\ + \ etabliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a8 + ref_id: OPS.2.3.A8.2 + description: In dieser Strategie SOLLTEN die Ziele, Chancen und Risiken der + Outsourcing-Vorhaben beschrieben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a8 + ref_id: OPS.2.3.A8.3 + description: "Die Strategie SOLL der Institution einen Rahmen f\xFCr die Anforderungsprofile,\ + \ die Eignungsanforderung an Anbietende von Outsourcing sowie dem Auslagerungsmanagement\ + \ vorgeben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a8 + ref_id: OPS.2.3.A8.4 + description: "Dar\xFCber hinaus SOLLTEN neben den wirtschaftlichen, technischen,\ + \ organisatorischen und rechtlichen Rahmenbedingungen auch die relevanten\ + \ Aspekte der Informationssicherheit ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a8.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a8 + ref_id: OPS.2.3.A8.5 + description: "Es SOLLTE eine Multi-Sourcing Strategie verfolgt werden, um Engp\xE4\ + sse sowie Abh\xE4ngigkeiten von Anbietenden von Outsourcing zu vermeiden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a8.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a8 + ref_id: OPS.2.3.A8.6 + description: "Die Nutzenden von Outsourcing SOLLTEN ausreichend F\xE4higkeiten,\ + \ Kompetenzen sowie Ressourcen behalten, um einer Abh\xE4ngigkeit gegen\xFC\ + ber den Anbietenden von Outsourcing vorzubeugen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 + ref_id: OPS.2.3.A9 + name: Etablierung einer Richtlinie zur Auslagerung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a9 + ref_id: OPS.2.3.A9.1 + description: "Auf Basis der Strategie f\xFCr Outsourcing-Vorhaben SOLLTE eine\ + \ Richtlinie f\xFCr den Bezug von Outsourcing-Dienstleistungen erstellt und\ + \ in der Institution etabliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a9 + ref_id: OPS.2.3.A9.2 + description: "Diese SOLLTE die allgemeinen Anforderungen basierend auf der Anforderung\ + \ OPS.2.3.A4 Grundanforderungen an Vertr\xE4ge mit Anbietenden von Outsourcing\ + \ sowie weitere Aspekte der Informationssicherheit f\xFCr Outsourcing-Vorhaben\ + \ standardisieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a9 + ref_id: OPS.2.3.A9.3 + description: "Das Test- und Freigabeverfahren f\xFCr Outsourcing-Vorhaben SOLLTE\ + \ in dieser Richtlinie geregelt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a9 + ref_id: OPS.2.3.A9.4 + description: "Dar\xFCber hinaus SOLLTEN Ma\xDFnahmen ber\xFCcksichtigt sein,\ + \ um Compliance-Risiken bei Anbietenden von Outsourcing sowie bei Sub-Dienstleistenden\ + \ zu bew\xE4ltigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 + ref_id: OPS.2.3.A10 + name: "Etablierung einer zust\xE4ndigen Person f\xFCr das Auslagerungsmanagement" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a10 + ref_id: OPS.2.3.A10.1 + description: "Die verschiedenen Outsourcing-Vorhaben SOLLTEN durch eine zust\xE4\ + ndige Person f\xFCr das Auslagerungsmanagement verwaltet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a10 + ref_id: OPS.2.3.A10.2 + description: "Die zust\xE4ndige Person SOLLTE ernannt und die Befugnisse festgelegt\ + \ und dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a10 + ref_id: OPS.2.3.A10.3 + description: "Die zust\xE4ndige Person SOLLTE als Schnittstelle in der Kommunikation\ + \ zwischen den Nutzenden und Anbietenden von Outsourcing eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a10 + ref_id: OPS.2.3.A10.4 + description: "Dar\xFCber hinaus SOLLTE die zust\xE4ndige Person Berichte \xFC\ + ber das Outsourcing in regelm\xE4\xDFigen Abst\xE4nden und anlassbezogen anfertigen\ + \ und der Institutionsleitung \xFCbergeben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a10.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a10 + ref_id: OPS.2.3.A10.5 + description: "In der Vertragsgestaltung SOLLTE die zust\xE4ndige Person einbezogen\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a10.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a10 + ref_id: OPS.2.3.A10.6 + description: "Die zust\xE4ndige Person SOLLTE ein angemessenes Kontingent von\ + \ Arbeitstagen f\xFCr die Aufgaben des Auslagerungsmanagements einger\xE4\ + umt bekommen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a10.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a10 + ref_id: OPS.2.3.A10.7 + description: "Dar\xFCber hinaus SOLLTE die zust\xE4ndige Person hinsichtlich\ + \ Informationssicherheit geschult und sensibilisiert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 + ref_id: OPS.2.3.A11 + name: "F\xFChrung eines Auslagerungsregisters" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a11 + ref_id: OPS.2.3.A11.1 + description: "Die zust\xE4ndige Person f\xFCr das Auslagerungsmanagement SOLLTE\ + \ ein Auslagerungsregister erstellen und pflegen, dass die Dokumentation der\ + \ Outsourcing-Prozesse und Vorhaben in der Institution zentralisiert." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a11 + ref_id: OPS.2.3.A11.2 + description: "Dieses SOLLTE auf der Basis der Anforderungsprofile erstellt werden\ + \ und Informationen zu den Anbietenden von Outsourcing, Leistungskennzahlen,\ + \ Kritikalit\xE4t des Prozesses, abgeschlossene Vertr\xE4gen und Vereinbarungen\ + \ sowie \xC4nderungen enthalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a11 + ref_id: OPS.2.3.A11.3 + description: "\xC4nderungen am Auslagerungsregister SOLLTEN geeignet nachgehalten\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 + ref_id: OPS.2.3.A12 + name: Erstellung von Auslagerungsberichten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a12 + ref_id: OPS.2.3.A12.1 + description: "Die zust\xE4ndige Person f\xFCr das Auslagerungsmanagement SOLLTE\ + \ regelm\xE4\xDFig interne Auslagerungsberichte auf Basis des Auslagerungsregisters\ + \ erstellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a12 + ref_id: OPS.2.3.A12.2 + description: Diese Auslagerungsberichte SOLLTEN den aktuellen Status des Outsourcing-Vorhabens + mit allgemeinen Problemen und Risiken sowie Aspekte der Informationssicherheit + enthalten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a12 + ref_id: OPS.2.3.A12.3 + description: Der Auslagerungsbericht SOLLTE der Institutionsleitung vorgelegt + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 + ref_id: OPS.2.3.A13 + name: Bereitstellung der erforderlichen Kompetenzen bei der Vertragsgestaltung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a13 + ref_id: OPS.2.3.A13.1 + description: "Die Vertr\xE4ge SOLLTEN durch verschiedene Vertreter aus unterschiedlichen\ + \ Bereichen gestaltet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a13 + ref_id: OPS.2.3.A13.2 + description: "Dabei SOLLTE ein Interessenkonflikt zwischen operativem Gesch\xE4\ + ft und Informationssicherheit vermieden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 + ref_id: OPS.2.3.A14 + name: "Erweiterte Anforderungen an Vertr\xE4ge mit Anbietenden von Outsourcing" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a14 + ref_id: OPS.2.3.A14.1 + description: "Mit Anbietenden von Outsourcing SOLLTE vereinbart werden, auf\ + \ welche Bereiche und Dienste die Anbietenden im Netz der Nutzenden von Outsourcing\ + \ zugreifen d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a14 + ref_id: OPS.2.3.A14.2 + description: Der Umgang mit anfallenden Metadaten SOLLTE geregelt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a14 + ref_id: OPS.2.3.A14.3 + description: "Die Nutzenden SOLLTEN Leistungskennzahlen f\xFCr die Anbietenden\ + \ von Outsourcing definieren und im Vertrag festlegen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a14.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a14 + ref_id: OPS.2.3.A14.4 + description: "F\xFCr den Fall, dass die vereinbarten Leistungskennzahlen unzureichend\ + \ erf\xFCllt werden, SOLLTEN mit den Anbietenden von Outsourcing Konsequenzen,\ + \ wie z. B. Vertragsstrafen, festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a14.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a14 + ref_id: OPS.2.3.A14.5 + description: "Die Vertr\xE4ge SOLLTEN K\xFCndigungsoptionen, um das Outsourcing-Verh\xE4\ + ltnisses aufzul\xF6sen, enthalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a14.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a14 + ref_id: OPS.2.3.A14.6 + description: "Hierbei SOLLTE auch geregelt sein, wie das Eigentum der Nutzenden\ + \ von Outsourcing zur\xFCckgegeben wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a14.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a14 + ref_id: OPS.2.3.A14.7 + description: Im Vertrag SOLLTEN Verantwortlichkeiten hinsichtlich des Notfall- + und Krisenmanagements definiert und benannt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 + ref_id: OPS.2.3.A15 + name: Anbindung an die Netze der Outsourcing-Partner + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a15 + ref_id: OPS.2.3.A15.1 + description: Bevor das Datennetz der Nutzenden an das Datennetz der Anbietenden + von Outsourcing angebunden wird, SOLLTEN alle sicherheitsrelevanten Aspekte + schriftlich vereinbart werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a15 + ref_id: OPS.2.3.A15.2 + description: "Es SOLLTE gepr\xFCft und dokumentiert werden, dass die Vereinbarungen\ + \ f\xFCr die Netzanbindung eingehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a15 + ref_id: OPS.2.3.A15.3 + description: "Das geforderte Sicherheitsniveau SOLLTE nachweislich bei den Anbietenden\ + \ von Outsourcing umgesetzt und \xFCberpr\xFCft werden, bevor die Netzanbindung\ + \ zu den Nutzenden von Outsourcing aktiviert wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a15.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a15 + ref_id: OPS.2.3.A15.4 + description: Bevor die Netze angebunden werden, SOLLTE mit Testdaten die Verbindung + getestet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a15.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a15 + ref_id: OPS.2.3.A15.5 + description: Gibt es Sicherheitsprobleme auf einer der beiden Seiten, SOLLTE + festgelegt sein, wer informiert und wie eskaliert wird. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 + ref_id: OPS.2.3.A16 + name: "Pr\xFCfung der Anbietenden von Outsourcing" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a16 + ref_id: OPS.2.3.A16.1 + description: "Die Anbietenden von Outsourcing SOLLTEN hinsichtlich der vertraglich\ + \ festgelegten Sicherheitsanforderungen \xFCberpr\xFCft und die Resultate\ + \ dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a16 + ref_id: OPS.2.3.A16.2 + description: "Die Anbietenden von Outsourcing sind in regelm\xE4\xDFigen Abst\xE4\ + nden und anlassbezogen zu auditieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 + ref_id: OPS.2.3.A17 + name: "Regelungen f\xFCr den Einsatz des Personals von Anbietenden von Outsourcing" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a17 + ref_id: OPS.2.3.A17.1 + description: "Die Besch\xE4ftigten der Anbietenden von Outsourcing SOLLTEN schriftlich\ + \ verpflichtet werden, einschl\xE4gige Gesetze, Vorschriften sowie die Regelungen\ + \ der Nutzenden von Outsourcing einzuhalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a17 + ref_id: OPS.2.3.A17.2 + description: "Die Besch\xE4ftigten der Anbietenden von Outsourcing SOLLTEN geregelt\ + \ in ihre Aufgaben eingewiesen und \xFCber bestehende Regelungen zur Informationssicherheit\ + \ unterrichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a17 + ref_id: OPS.2.3.A17.3 + description: "F\xFCr die Besch\xE4ftigten der Anbietenden von Outsourcing SOLLTEN\ + \ Vertretungsregelungen existieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a17.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a17 + ref_id: OPS.2.3.A17.4 + description: "Es SOLLTE ein geregeltes Verfahren festgelegt werden, das beschreibt,\ + \ wie das Auftragsverh\xE4ltnis mit den Besch\xE4ftigten der Anbietenden von\ + \ Outsourcing beendet wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a17.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a17 + ref_id: OPS.2.3.A17.5 + description: Fremdpersonal der Anbietenden von Outsourcing, das kurzfristig + oder nur einmal eingesetzt wird, SOLLTE wie Besuchende behandelt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 + ref_id: OPS.2.3.A18 + name: "\xDCberpr\xFCfung der Vereinbarungen mit Anbietenden von Outsourcing" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a18 + ref_id: OPS.2.3.A18.1 + description: "Vereinbarungen mit Anbietenden von Outsourcing hinsichtlich der\ + \ Angemessenheit der festgelegten Sicherheitsanforderungen sowie sonstigen\ + \ Sicherheitsanforderungen SOLLTEN in regelm\xE4\xDFigen Abst\xE4nden und\ + \ anlassbezogen \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a18 + ref_id: OPS.2.3.A18.2 + description: Vereinbarungen mit Anbietenden von Outsourcing mit unzureichend + festgelegten Sicherheitsanforderungen SOLLTEN nachgebessert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a18 + ref_id: OPS.2.3.A18.3 + description: "Die Anbietenden von Outsourcing SOLLTEN dazu verpflichtet werden,\ + \ bei ver\xE4nderter Gef\xE4hrdungs- oder Gesetzeslage, die festgelegten Sicherheitsanforderungen\ + \ nachzubessern." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 + ref_id: OPS.2.3.A19 + name: "\xDCberpr\xFCfung der Handlungsalternativen hinsichtlich einer geplanten\ + \ oder ungeplanten Beendigung eines Outsourcing-Verh\xE4ltnisses" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a19 + ref_id: OPS.2.3.A19.1 + description: "Handlungsalternativen SOLLTEN entwickelt werden f\xFCr den Fall\ + \ einer geplanten oder ungeplanten Beendigung des Outsourcing-Verh\xE4ltnisses." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a19 + ref_id: OPS.2.3.A19.2 + description: "Das Resultat SOLLTE in einem Ma\xDFnahmenkatalog f\xFCr geplante\ + \ und ungeplante Beendigung des Outsourcing-Verh\xE4ltnisses dokumentiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a19.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a19 + ref_id: OPS.2.3.A19.3 + description: "Dabei SOLLTEN auch alternative Anbietende von Outsourcing ermittelt\ + \ werden, die \xFCber das notwendige Niveau an Informationssicherheit verf\xFC\ + gen, um den Prozess sicher umzusetzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a19.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a19 + ref_id: OPS.2.3.A19.4 + description: "Dies SOLLTE in regelm\xE4\xDFigen Abst\xE4nden und anlassbezogen\ + \ gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 + ref_id: OPS.2.3.A20 + name: Etablierung sowie Einbeziehung von Anbietenden von Outsourcing im Notfallkonzept + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a20 + ref_id: OPS.2.3.A20.1 + description: Ein Notfallkonzept SOLLTE in der Institution etabliert sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a20.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a20 + ref_id: OPS.2.3.A20.2 + description: "Dies SOLLTE auf der Basis einer Business-Impact-Analyse basieren\ + \ und die Abh\xE4ngigkeiten der ausgelagerten Prozesse mit den intern verbliebenen\ + \ Prozessen ber\xFCcksichtigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a20.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a20 + ref_id: OPS.2.3.A20.3 + description: "Das Notfallkonzept SOLLTE den Anbietenden von Outsourcing in seiner\ + \ Notfallvorsorge und -bew\xE4ltigung ber\xFCcksichtigen und mit diesem abgestimmt\ + \ sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a20.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a20 + ref_id: OPS.2.3.A20.4 + description: "Dabei SOLLTEN die Schnittstellen zu Anbietenden von Outsourcing\ + \ mit Verantwortlichen benannt und besetzt werden, um einen Informationsaustausch\ + \ sowie eine effektive Kollaboration in einer Not- oder Krisensituation zu\ + \ erm\xF6glichen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a20.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a20 + ref_id: OPS.2.3.A20.5 + description: "Gemeinsame Not- und Krisenfallpl\xE4ne SOLLTEN f\xFCr eine St\xF6\ + rung oder einen Ausfall der Anbietenden von Outsourcing erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a20.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a20 + ref_id: OPS.2.3.A20.6 + description: "Standardisierte Protokolle und Berichte SOLLTEN zur Meldung von\ + \ Sicherheitsvorf\xE4llen etabliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 + ref_id: OPS.2.3.A21 + name: "Abschluss von ESCROW-Vertr\xE4gen bei softwarenahen Dienstleistungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a21 + ref_id: OPS.2.3.A21.1 + description: Wird Software von Anbietenden von Outsourcing bezogen, SOLLTE ein + ESCROW-Vertrag abgeschlossen werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a21.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a21 + ref_id: OPS.2.3.A21.2 + description: "Dieser SOLLTE Verwertungs- und Bearbeitungsrechte der Software\ + \ sowie Herausgabef\xE4lle des Quellcodes regeln." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a21.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a21 + ref_id: OPS.2.3.A21.3 + description: "Dar\xFCber hinaus SOLLTE festgelegt werden, wie h\xE4ufig der\ + \ Quellcode hinterlegt und dokumentiert wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a21.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a21 + ref_id: OPS.2.3.A21.4 + description: "Weiterhin SOLLTEN Geheimhaltungspflichten \xFCber den hinterlegten\ + \ Quellcode und die zugeh\xF6rige Dokumentation geregelt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 + ref_id: OPS.2.3.A22 + name: "Durchf\xFChrung von gemeinsamen Notfall- und Krisen\xFCbungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a22 + ref_id: OPS.2.3.A22.1 + description: "Gemeinsame Notfall- und Krisen\xFCbungen mit den Anbietenden von\ + \ Outsourcing SOLLTEN durchgef\xFChrt und dokumentiert werden (siehe DER.4\ + \ Notfallmanagement)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a22.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a22 + ref_id: OPS.2.3.A22.2 + description: "Das Resultat der \xDCbung SOLLTE dazu genutzt werden, um das Notfallkonzept\ + \ sowie insbesondere die gemeinsamen Ma\xDFnahmenpl\xE4ne zu verbessern." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a22.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a22 + ref_id: OPS.2.3.A22.3 + description: "Die Notfall- und Krisen\xFCbungen SOLLTEN regelm\xE4\xDFig und\ + \ anlassbezogen durchgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a23 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 + ref_id: OPS.2.3.A23 + name: "Einsatz von Verschl\xFCsselungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a23.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a23 + ref_id: OPS.2.3.A23.1 + description: "Sensible Daten SOLLTEN angemessen verschl\xFCsselt werden, wenn\ + \ sie zum Anbietenden von Outsourcing \xFCbertragen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a23.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a23 + ref_id: OPS.2.3.A23.2 + description: "Die abgelegten Daten SOLLTEN durch eine Datenverschl\xFCsselung\ + \ oder eine Verschl\xFCsselung des Speichermediums gesch\xFCtzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a23.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a23 + ref_id: OPS.2.3.A23.3 + description: "Nach M\xF6glichkeit SOLLTE eine vom BSI gepr\xFCfte und freigegebene\ + \ Verschl\xFCsselungssoftware genutzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a24 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 + ref_id: OPS.2.3.A24 + name: "Sicherheits- und Eignungs\xFCberpr\xFCfung von Mitarbeitenden" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a24.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a24 + ref_id: OPS.2.3.A24.1 + description: "Mit externen Anbietenden von Outsourcing SOLLTE vertraglich vereinbart\ + \ werden, dass die Vertrauensw\xFCrdigkeit des eingesetzten Personals geeignet\ + \ \xFCberpr\xFCft wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a24.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a24 + ref_id: OPS.2.3.A24.2 + description: Dazu SOLLTEN gemeinsam Kriterien festgelegt und dokumentiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a25 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3 + ref_id: OPS.2.3.A25 + name: "Errichtung und Nutzung einer Sandbox f\xFCr eingehende Daten vom Anbietenden\ + \ von Outsourcing" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a25.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a25 + ref_id: OPS.2.3.A25.1 + description: "F\xFCr eingehende Daten vom Anbietenden von Outsourcing SOLLTE\ + \ eine Sandbox eingerichtet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a25.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a25 + ref_id: OPS.2.3.A25.2 + description: "Hierbei SOLLTEN E-Mail-Anh\xE4nge in der Sandbox standardisiert\ + \ ge\xF6ffnet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a25.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.2.3.a25 + ref_id: OPS.2.3.A25.3 + description: Updates und Anwendungen eines softwarenahen Anbietenden von Outsourcing + SOLLTEN in der Sandbox initial getestet werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops + ref_id: OPS.3.2 + name: 'Anbieten von Outsourcing ' + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 + ref_id: OPS.3.2.A1 + name: Einhaltung der Schutzziele der Informationssicherheit durch ein Informationssicherheitsmanagement + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a1 + ref_id: OPS.3.2.A1.1 + description: "Der Schutzbedarf f\xFCr Vertraulichkeit, Integrit\xE4t und Verf\xFC\ + gbarkeit von Nutzenden von Outsourcing MUSS im Outsourcing-Prozess ber\xFC\ + cksichtigen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a1 + ref_id: OPS.3.2.A1.2 + description: Dabei MUSS sichergestellt werden, dass das von den Nutzenden von + Outsourcing geforderte Minimum an Informationssicherheit eingehalten wird. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a1 + ref_id: OPS.3.2.A1.3 + description: "Zudem M\xDCSSEN die geltenden regulatorischen und gesetzlichen\ + \ Aspekte ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 + ref_id: OPS.3.2.A2 + name: "Grundanforderungen an Vertr\xE4ge mit Nutzenden von Outsourcing" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a2 + ref_id: OPS.3.2.A2.1 + description: "Einheitliche Grundanforderungen an Outsourcing-Vertr\xE4ge M\xDC\ + SSEN entwickelt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a2 + ref_id: OPS.3.2.A2.2 + description: "Diese SOLLTEN einheitlich in Vertr\xE4gen umgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a2 + ref_id: OPS.3.2.A2.3 + description: "Diese Grundanforderungen M\xDCSSEN Aspekte der Informationssicherheit\ + \ und Sicherheitsanforderungen der Nutzenden von Outsourcing beinhalten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a2 + ref_id: OPS.3.2.A2.4 + description: "Zudem M\xDCSSEN sie beinhalten, wie mit Weiterverlagerungen durch\ + \ die Anbietenden umgegangen wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a2 + ref_id: OPS.3.2.A2.5 + description: "Die Grundanforderungen M\xDCSSEN beinhalten, dass die Nutzenden\ + \ das Recht haben Pr\xFCfungen, Revisionen und Auditierungen durchzuf\xFC\ + hren, um sicherzustellen, dass die vertraglich geregelten Anforderungen an\ + \ die Informationssicherheit eingehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a2.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a2 + ref_id: OPS.3.2.A2.6 + description: "Mit den Nutzenden von Outsourcing SOLLTE eine Verschwiegenheitserkl\xE4\ + rung zum Schutz von sensiblen Daten, Vereinbarungen zum Informationsaustausch\ + \ und Service-Level-Agreements vereinbart werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a2.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a2 + ref_id: OPS.3.2.A2.7 + description: "Die Grundanforderungen M\xDCSSEN in Vereinbarungen und Vertr\xE4\ + gen einheitlich umgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a2.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a2 + ref_id: OPS.3.2.A2.8 + description: "Auf Basis der Grundanforderungen SOLLTE eine einheitliche Vertragsvorlage\ + \ erstellt und f\xFCr alle Outsourcing-Vorhaben genutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 + ref_id: OPS.3.2.A3 + name: Weitergabe der vertraglich geregelten Bestimmungen mit Nutzenden von Outsourcing + an Sub-Dienstleistende + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a3 + ref_id: OPS.3.2.A3.1 + description: "Werden Prozesse von Anbietenden von Outsourcing weiter an Sub-Dienstleistende\ + \ verlagert, M\xDCSSEN die vertraglichen Bestimmungen mit den Nutzenden von\ + \ Outsourcing an die Sub-Dienstleistenden weitergegeben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a3 + ref_id: OPS.3.2.A3.2 + description: "Dies MUSS in den Vertr\xE4gen mit den Sub-Dienstleistenden entsprechend\ + \ festlegt und durchgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a3 + ref_id: OPS.3.2.A3.3 + description: "Auf Nachfrage von Nutzenden von Outsourcing M\xDCSSEN diese Vertr\xE4\ + ge vorgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 + ref_id: OPS.3.2.A4 + name: Erstellung eines Mandantentrennungskonzepts + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a4 + ref_id: OPS.3.2.A4.1 + description: Es MUSS ein Mandantentrennungskonzept erstellt und umgesetzt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a4 + ref_id: OPS.3.2.A4.2 + description: Das Mandantentrennungskonzept MUSS sicherstellen, dass Daten und + Verarbeitungskontexte verschiedener Nutzender von Outsourcing ausreichend + sicher getrennt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a4 + ref_id: OPS.3.2.A4.3 + description: "Dabei MUSS zwischen mandantenabh\xE4ngigen und mandanten\xFCbergreifenden\ + \ Daten und Objekten unterschieden werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a4 + ref_id: OPS.3.2.A4.4 + description: Es MUSS dargelegt werden, mit welchen Mechanismen die Anbietenden + von Outsourcing die Mandanten trennen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a4 + ref_id: OPS.3.2.A4.5 + description: "Die ben\xF6tigten Mechanismen zur Mandantentrennung M\xDCSSEN\ + \ durch die Anbietenden von Outsourcing ausreichend umgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a4.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a4 + ref_id: OPS.3.2.A4.6 + description: "Das Mandantentrennungskonzept MUSS durch die Anbietenden von Outsourcing\ + \ erstellt und den Nutzenden von Outsourcing zur Verf\xFCgung gestellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a4.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a4 + ref_id: OPS.3.2.A4.7 + description: "Dar\xFCber hinaus MUSS es f\xFCr den Schutzbedarf der Daten der\ + \ Nutzenden von Outsourcing eine angemessene Sicherheit bieten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 + ref_id: OPS.3.2.A5 + name: "Erstellung eines Sicherheitskonzepts f\xFCr die Outsourcing-Dienstleistung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a5 + ref_id: OPS.3.2.A5.1 + description: "Die Anbietenden von Outsourcing M\xDCSSEN f\xFCr ihre Dienstleistungen\ + \ ein Sicherheitskonzept erstellen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a5 + ref_id: OPS.3.2.A5.2 + description: "F\xFCr individuelle Outsourcing-Vorhaben M\xDCSSEN zus\xE4tzlich\ + \ spezifische Sicherheitskonzepte erstellt werden, die auf den Sicherheitsanforderungen\ + \ der Nutzenden von Outsourcing basieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a5 + ref_id: OPS.3.2.A5.3 + description: "Das Sicherheitskonzept f\xFCr das jeweilige Outsourcing-Vorhaben\ + \ SOLLTE jedem und jeder Nutzenden von Outsourcing vorgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a5 + ref_id: OPS.3.2.A5.4 + description: "Das Sicherheitskonzept der Anbietenden von Outsourcing und dessen\ + \ Umsetzung SOLLTE zu einem gesamten Sicherheitskonzept zusammengef\xFChrt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a5.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a5 + ref_id: OPS.3.2.A5.5 + description: "Anbietende und Nutzende von Outsourcing M\xDCSSEN gemeinsam Sicherheitsziele\ + \ erarbeiten und diese dokumentieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a5.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a5 + ref_id: OPS.3.2.A5.6 + description: "Es MUSS au\xDFerdem eine gemeinsame Klassifikation f\xFCr alle\ + \ schutzbed\xFCrftigen Informationen erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a5.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a5 + ref_id: OPS.3.2.A5.7 + description: "Dar\xFCber hinaus M\xDCSSEN die Anbietenden von Outsourcing regelm\xE4\ + \xDFig \xFCberpr\xFCfen, ob das Sicherheitskonzept umgesetzt wurde." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 + ref_id: OPS.3.2.A6 + name: "Regelungen f\xFCr eine geplante und ungeplante Beendigung eines Outsourcing-Verh\xE4\ + ltnisses" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a6 + ref_id: OPS.3.2.A6.1 + description: "Es M\xDCSSEN Regelungen getroffen werden, wie verfahren wird,\ + \ wenn Outsourcing-Verh\xE4ltnisse geplant oder ungeplant beendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a6 + ref_id: OPS.3.2.A6.2 + description: "Es MUSS festgelegt werden, wie alle Informationen, Daten und Hardware\ + \ der Nutzenden von den Anbietenden von Outsourcing zur\xFCckgegeben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a6 + ref_id: OPS.3.2.A6.3 + description: "Anschlie\xDFend M\xDCSSEN die verbleibenden Datenbest\xE4nde der\ + \ Nutzenden von Outsourcing nach Ablauf der gesetzlichen Vorgaben zur Datenaufbewahrung\ + \ sicher gel\xF6scht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a6 + ref_id: OPS.3.2.A6.4 + description: Dies MUSS durch die Anbietenden von Outsourcing dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a6 + ref_id: OPS.3.2.A6.5 + description: "Ferner SOLLTE \xFCberpr\xFCft werden, ob die Zugangs-, Zutritts-\ + \ und Zugriffsrechte f\xFCr die Nutzenden von Outsourcing aufgehoben wurden,\ + \ nachdem das Outsourcing-Verh\xE4ltnis beendet wurde." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 + ref_id: OPS.3.2.A7 + name: Bereitstellung der ausgelagerten Dienstleistung durch multiple Sub-Dienstleistende + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a7 + ref_id: OPS.3.2.A7.1 + description: "Werden Prozesse von Anbietenden von Outsourcing weiter an Sub-Dienstleistende\ + \ verlagert, SOLLTEN die Anbietenden von Outsourcing mehrere qualifizierte\ + \ Sub-Dienstleistende zur Verf\xFCgung haben, falls Sub-Dienstleistende ausfallen\ + \ oder k\xFCndigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a7 + ref_id: OPS.3.2.A7.2 + description: Dies SOLLTE gemeinsam mit den Nutzenden von Outsourcing dokumentiert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 + ref_id: OPS.3.2.A8 + name: "Erstellung einer Richtlinie f\xFCr die Outsourcing-Dienstleistungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a8 + ref_id: OPS.3.2.A8.1 + description: "Es SOLLTE eine Richtlinie f\xFCr das Anbieten von Outsourcing-Dienstleistungen\ + \ erstellt und in der Institution etabliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a8 + ref_id: OPS.3.2.A8.2 + description: Diese SOLLTE das Test- und Freigabeverfahren regeln. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a8 + ref_id: OPS.3.2.A8.3 + description: "Dabei SOLLTE die Weiterverlagerung an Sub-Dienstleistende ber\xFC\ + cksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a8 + ref_id: OPS.3.2.A8.4 + description: "Die Richtlinie SOLLTE Ma\xDFnahmen ber\xFCcksichtigen, um Compliance-Risiken\ + \ bei Anbietenden von Outsourcing sowie bei Sub-Dienstleistenden zu bew\xE4\ + ltigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 + ref_id: OPS.3.2.A9 + name: "\xDCberpr\xFCfung der Vereinbarung mit Nutzenden von Outsourcing" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a9 + ref_id: OPS.3.2.A9.1 + description: "Vereinbarungen mit Nutzenden von Outsourcing hinsichtlich der\ + \ Angemessenheit der festgelegten Sicherheitsanforderungen sowie sonstigen\ + \ Sicherheitsanforderungen SOLLTEN in regelm\xE4\xDFigen Abst\xE4nden und\ + \ anlassbezogen \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a9 + ref_id: OPS.3.2.A9.2 + description: Vereinbarungen mit Nutzenden von Outsourcing mit unzureichend festgelegten + Sicherheitsanforderungen SOLLTEN nachgebessert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a9 + ref_id: OPS.3.2.A9.3 + description: "Bei ver\xE4nderter Gef\xE4hrdungs- oder Gesetzeslage SOLLTEN die\ + \ festgelegten Sicherheitsanforderungen nachgebessert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a9 + ref_id: OPS.3.2.A9.4 + description: "Alle \xC4nderungen SOLLTEN durch die Anbietenden von Outsourcing\ + \ dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 + ref_id: OPS.3.2.A10 + name: Etablierung eines sicheren Kommunikationskanals und Festlegung der Kommunikationspartner + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a10 + ref_id: OPS.3.2.A10.1 + description: Die Anbietenden von Outsourcing SOLLTEN einen sicheren Kommunikationskanal + zu den Nutzenden von Outsourcing einrichten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a10 + ref_id: OPS.3.2.A10.2 + description: "Es SOLLTE dokumentiert sein, welche Informationen \xFCber diesen\ + \ Kommunikationskanal an den Outsourcing-Partner \xFCbermittelt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a10 + ref_id: OPS.3.2.A10.3 + description: "Dabei SOLLTE sichergestellt werden, dass an den jeweiligen Enden\ + \ des Kommunikationskanals entsprechend Zust\xE4ndige benannt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a10 + ref_id: OPS.3.2.A10.4 + description: "Dabei SOLLTE regelm\xE4\xDFig und anlassbezogen \xFCberpr\xFC\ + ft werden, ob diese Personen noch in ihrer Funktion als dedizierte Kommunikationspartner\ + \ besch\xE4ftigt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a10.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a10 + ref_id: OPS.3.2.A10.5 + description: Zwischen den Outsourcing-Partnern SOLLTE geregelt sein, nach welchen + Kriterien welcher Kommunikationspartner welche Informationen erhalten darf. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 + ref_id: OPS.3.2.A11 + name: Etablierung eines Notfallkonzepts + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a11 + ref_id: OPS.3.2.A11.1 + description: Ein Notfallkonzept SOLLTE in der Institution etabliert sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a11 + ref_id: OPS.3.2.A11.2 + description: "In diesem Notfallkonzept SOLLTEN Nutzende von Outsourcing sowie\ + \ Sub-Dienstleistende ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 + ref_id: OPS.3.2.A12 + name: "Durchf\xFChrung einer risikoorientierten Betrachtung von Prozessen, Anwendungen\ + \ und IT-Systemen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a12 + ref_id: OPS.3.2.A12.1 + description: "Werden Prozesse, Anwendungen oder IT-Systeme neu aufgebaut und\ + \ Kunden bereitgestellt, SOLLTEN diese regelm\xE4\xDFig und anlassbezogen\ + \ risikoorientiert betrachtet und dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a12 + ref_id: OPS.3.2.A12.2 + description: "Aus den sich daraus ergebenen Ergebnissen SOLLTEN geeignete Ma\xDF\ + nahmen festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a12 + ref_id: OPS.3.2.A12.3 + description: "Dar\xFCber hinaus SOLLTEN die Resultate dazu verwendet werden,\ + \ um das Informationssicherheitsmanagement weiter zu verbessern." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 + ref_id: OPS.3.2.A13 + name: Anbindung an die Netze der Outsourcing-Partner + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a13 + ref_id: OPS.3.2.A13.1 + description: Bevor das Datennetz der Anbietenden an das Datennetz der Nutzenden + von Outsourcing angebunden wird, SOLLTEN alle sicherheitsrelevanten Aspekte + schriftlich vereinbart werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a13 + ref_id: OPS.3.2.A13.2 + description: "Bevor beide Netze verbunden werden, SOLLTEN sie auf bekannte Sicherheitsl\xFC\ + cken analysiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a13 + ref_id: OPS.3.2.A13.3 + description: "Es SOLLTE gepr\xFCft werden, ob die Vereinbarungen f\xFCr die\ + \ Netzanbindung eingehalten werden und das geforderte Sicherheitsniveau nachweislich\ + \ erreicht wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a13.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a13 + ref_id: OPS.3.2.A13.4 + description: Bevor die Netze angebunden werden, SOLLTE mit Testdaten die Verbindung + getestet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a13.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a13 + ref_id: OPS.3.2.A13.5 + description: Gibt es Sicherheitsprobleme auf einer der beiden Seiten, SOLLTE + festgelegt sein, wer informiert und wie eskaliert wird. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 + ref_id: OPS.3.2.A14 + name: "\xDCberwachung der Prozesse, Anwendungen und IT-Systeme" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a14 + ref_id: OPS.3.2.A14.1 + description: "Die f\xFCr Kunden eingesetzten Prozesse, Anwendungen und IT-Systeme\ + \ SOLLTEN kontinuierlich \xFCberwacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 + ref_id: OPS.3.2.A15 + name: "Berichterstattung gegen\xFCber den Nutzenden von Outsourcing" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a15 + ref_id: OPS.3.2.A15.1 + description: "Die Anbietenden von Outsourcing SOLLTEN den Nutzenden von Outsourcing\ + \ in festgelegten Abst\xE4nden Berichte \xFCber den ausgelagerten Prozess\ + \ bereitstellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a15 + ref_id: OPS.3.2.A15.2 + description: "Es SOLLTE ein Bericht an die Nutzenden von Outsourcing versendet\ + \ werden, wenn \xC4nderungen am Prozess durch die Anbietenden von Outsourcing\ + \ oder Sub-Dienstleistenden stattfanden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a15 + ref_id: OPS.3.2.A15.3 + description: Dazu SOLLTEN standardisierte Protokolle zur Berichterstattung etabliert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 + ref_id: OPS.3.2.A16 + name: "Transparenz \xFCber die Outsourcing-Kette der ausgelagerten Kundenprozesse" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a16 + ref_id: OPS.3.2.A16.1 + description: "Die Anbietenden von Outsourcing SOLLTEN ein Auslagerungsregister\ + \ f\xFCr die in Kundenprozessen eingesetzten Sub-Dienstleistenden f\xFChren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a16 + ref_id: OPS.3.2.A16.2 + description: "Dieses SOLLTE Informationen zu den Sub-Dienstleistenden, Leistungskennzahlen,\ + \ Kritikalit\xE4t der Prozesse, abgeschlossenen Vertr\xE4gen und Vereinbarung\ + \ sowie \xC4nderungen enthalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a16 + ref_id: OPS.3.2.A16.3 + description: "\xC4nderungen am Auslagerungsregister SOLLTEN nachgehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a16.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a16 + ref_id: OPS.3.2.A16.4 + description: Das Auslagerungsregister SOLLTE auch die Weiterverlagerungen durch + die Sub-Dienstleistenden behandeln. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a16.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a16 + ref_id: OPS.3.2.A16.5 + description: "Die Anbietenden von Outsourcing SOLLTEN das Auslagerungsregister\ + \ regelm\xE4\xDFig und anlassbezogen \xFCberpr\xFCfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 + ref_id: OPS.3.2.A17 + name: Zutritts-, Zugangs- und Zugriffskontrolle + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a17 + ref_id: OPS.3.2.A17.1 + description: "Zutritts-, Zugangs- und Zugriffsberechtigungen SOLLTEN sowohl\ + \ f\xFCr das Personal der Anbietenden von Outsourcing als auch f\xFCr das\ + \ Personal der Nutzenden von Outsourcing geregelt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a17 + ref_id: OPS.3.2.A17.2 + description: "Ebenfalls SOLLTEN Zutritts-, Zugangs- und Zugriffsberechtigungen\ + \ f\xFCr Auditoren und andere Pr\xFCfer festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a17 + ref_id: OPS.3.2.A17.3 + description: "Dabei SOLLTEN nur so viele Rechte vergeben werden, wie f\xFCr\ + \ die T\xE4tigkeit notwendig ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 + ref_id: OPS.3.2.A18 + name: "Regelungen f\xFCr den Einsatz von Sub-Dienstleistenden" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a18 + ref_id: OPS.3.2.A18.1 + description: "Personal der Anbietenden von Outsourcing sowie der Sub-Dienstleistenden\ + \ SOLLTEN in ihre Aufgaben eingewiesen und \xFCber bestehende Regelungen zur\ + \ Informationssicherheit der Anbietenden von Outsourcing unterrichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a18 + ref_id: OPS.3.2.A18.2 + description: "Soweit es gefordert ist, SOLLTEN das Personal der Anbietenden\ + \ von Outsourcing sowie der Sub-Dienstleistenden nach Vorgaben der Nutzenden\ + \ von Outsourcing \xFCberpr\xFCft werden, z. B. durch ein F\xFChrungszeugnis." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a18 + ref_id: OPS.3.2.A18.3 + description: "Das Personal der Anbietenden von Outsourcing sowie der Sub-Dienstleistenden\ + \ SOLLTEN schriftlich dazu verpflichtet werden, einschl\xE4gige Gesetze und\ + \ Vorschriften, Vertraulichkeitsvereinbarungen sowie interne Regelungen einzuhalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a18.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a18 + ref_id: OPS.3.2.A18.4 + description: Es SOLLTEN Vertretungsregelungen in allen Bereichen existieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 + ref_id: OPS.3.2.A19 + name: "Sicherheits\xFCberpr\xFCfung von Besch\xE4ftigten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a19 + ref_id: OPS.3.2.A19.1 + description: "Die Vertrauensw\xFCrdigkeit des Personals der Anbietenden von\ + \ Outsourcing SOLLTE durch geeignete Nachweise \xFCberpr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a19 + ref_id: OPS.3.2.A19.2 + description: Es SOLLTEN mit den Nutzenden von Outsourcing vertragliche Kriterien + vereinbart werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 + ref_id: OPS.3.2.A20 + name: "Verschl\xFCsselte Daten\xFCbertragung und -speicherung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a20 + ref_id: OPS.3.2.A20.1 + description: "F\xFCr die \xDCbertragung von Daten von und zu den Nutzenden von\ + \ Outsourcing sowie die Speicherung SOLLTE mit den Nutzenden von Outsourcing\ + \ eine sicheres Verschl\xFCsselungsverfahren festgelegt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a20.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a20 + ref_id: OPS.3.2.A20.2 + description: "Dabei SOLLTE sich die eingesetzte Verschl\xFCsselungsmethode am\ + \ Schutzbedarf der Daten orientieren." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a20.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a20 + ref_id: OPS.3.2.A20.3 + description: "Die Verschl\xFCsselungsmethode SOLLTE regelm\xE4\xDFig und anlassbezogen\ + \ auf ihre Funktionsf\xE4higkeit hin \xFCberpr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2 + ref_id: OPS.3.2.A21 + name: "Durchf\xFChrung von gemeinsamen Notfall- und Krisen\xFCbungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a21 + ref_id: OPS.3.2.A21.1 + description: "Gemeinsame Notfall- und Krisen\xFCbungen mit den Nutzenden von\ + \ Outsourcing SOLLTEN durchgef\xFChrt und dokumentiert werden (siehe DER.4\ + \ Notfallmanagement)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a21.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a21 + ref_id: OPS.3.2.A21.2 + description: "Das Resultat der \xDCbung SOLLTE dazu genutzt werden, um das Notfallkonzept\ + \ sowie insbesondere die gemeinsamen Ma\xDFnahmenpl\xE4ne zu verbessern." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a21.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:ops.3.2.a21 + ref_id: OPS.3.2.A21.3 + description: "Die Notfall- und Krisen\xFCbungen SOLLTEN regelm\xE4\xDFig und\ + \ anlassbezogen durchgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp + assessable: false + depth: 1 + ref_id: ORP + name: Organisation und Personal + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp + ref_id: ORP.1 + name: Organisation + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1 + ref_id: ORP.1.A1 + name: Festlegung von Verantwortlichkeiten und Regelungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a1 + ref_id: ORP.1.A1.1 + description: "Innerhalb einer Institution M\xDCSSEN alle relevanten Aufgaben\ + \ und Funktionen klar definiert und voneinander abgegrenzt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a1 + ref_id: ORP.1.A1.2 + description: "Es M\xDCSSEN verbindliche Regelungen f\xFCr die Informationssicherheit\ + \ f\xFCr die verschiedenen betrieblichen Aspekte \xFCbergreifend festgelegt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a1 + ref_id: ORP.1.A1.3 + description: "Die Organisationsstrukturen sowie verbindliche Regelungen M\xDC\ + SSEN anlassbezogen \xFCberarbeitet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a1 + ref_id: ORP.1.A1.4 + description: "Die \xC4nderungen M\xDCSSEN allen Mitarbeitenden bekannt gegeben\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1 + ref_id: ORP.1.A2 + name: "Zuweisung der Zust\xE4ndigkeiten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a2 + ref_id: ORP.1.A2.1 + description: "F\xFCr alle Gesch\xE4ftsprozesse, Anwendungen, IT-Systeme, R\xE4\ + ume und Geb\xE4ude sowie Kommunikationsverbindungen MUSS festgelegt werden,\ + \ wer f\xFCr diese und deren Sicherheit zust\xE4ndig ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a2 + ref_id: ORP.1.A2.2 + description: "Alle Mitarbeitenden M\xDCSSEN dar\xFCber informiert sein, insbesondere\ + \ wof\xFCr sie zust\xE4ndig sind und welche damit verbundenen Aufgaben sie\ + \ wahrnehmen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1 + ref_id: ORP.1.A3 + name: Beaufsichtigung oder Begleitung von Fremdpersonen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a3 + ref_id: ORP.1.A3.1 + description: "Institutionsfremde Personen M\xDCSSEN von Mitarbeitenden zu den\ + \ R\xE4umen begleitet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a3 + ref_id: ORP.1.A3.2 + description: "Die Mitarbeitenden der Institution M\xDCSSEN institutionsfremde\ + \ Personen in sensiblen Bereichen beaufsichtigen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a3 + ref_id: ORP.1.A3.3 + description: "Die Mitarbeitenden SOLLTEN dazu angehalten werden, institutionsfremde\ + \ Personen in den R\xE4umen der Institution nicht unbeaufsichtigt zu lassen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1 + ref_id: ORP.1.A4 + name: Funktionstrennung zwischen unvereinbaren Aufgaben + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a4 + ref_id: ORP.1.A4.1 + description: "Die Aufgaben und die hierf\xFCr erforderlichen Rollen und Funktionen\ + \ M\xDCSSEN so strukturiert sein, dass unvereinbare Aufgaben wie operative\ + \ und kontrollierende Funktionen auf verschiedene Personen verteilt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a4 + ref_id: ORP.1.A4.2 + description: "F\xFCr unvereinbare Funktionen MUSS eine Funktionstrennung festgelegt\ + \ und dokumentiert sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a4 + ref_id: ORP.1.A4.3 + description: "Auch Vertreter M\xDCSSEN der Funktionstrennung unterliegen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1 + ref_id: ORP.1.A8 + name: "Betriebsmittel- und Ger\xE4teverwaltung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a8 + ref_id: ORP.1.A8.1 + description: "Alle Ger\xE4te und Betriebsmittel, die Einfluss auf die Informationssicherheit\ + \ haben und die zur Aufgabenerf\xFCllung und zur Einhaltung der Sicherheitsanforderungen\ + \ erforderlich sind, SOLLTEN in ausreichender Menge vorhanden sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a8 + ref_id: ORP.1.A8.2 + description: "Es SOLLTE geeignete Pr\xFCf- und Genehmigungsverfahren vor Einsatz\ + \ der Ger\xE4te und Betriebsmittel geben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a8 + ref_id: ORP.1.A8.3 + description: "Ger\xE4te und Betriebsmittel SOLLTEN in geeigneten Bestandsverzeichnissen\ + \ aufgelistet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a8 + ref_id: ORP.1.A8.4 + description: "Um den Missbrauch von Daten zu verhindern, SOLLTE die zuverl\xE4\ + ssige L\xF6schung oder Vernichtung von Ger\xE4ten und Betriebsmitteln geregelt\ + \ sein (siehe hierzu CON.6 L\xF6schen und Vernichten)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1 + ref_id: ORP.1.A13 + name: "Sicherheit bei Umz\xFCgen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a13 + ref_id: ORP.1.A13.1 + description: "Vor einem Umzug SOLLTEN fr\xFChzeitig Sicherheitsrichtlinien erarbeitet\ + \ bzw. aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a13 + ref_id: ORP.1.A13.2 + description: "Alle Mitarbeitenden SOLLTEN \xFCber die vor, w\xE4hrend und nach\ + \ dem Umzug relevanten Sicherheitsma\xDFnahmen informiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a13 + ref_id: ORP.1.A13.3 + description: "Nach dem Umzug SOLLTE \xFCberpr\xFCft werden, ob das transportierte\ + \ Umzugsgut vollst\xE4ndig und unbesch\xE4digt bzw. unver\xE4ndert angekommen\ + \ ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1 + ref_id: ORP.1.A15 + name: Ansprechperson zu Informationssicherheitsfragen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a15 + ref_id: ORP.1.A15.1 + description: "In jeder Institution MUSS es Ansprechpersonen f\xFCr Sicherheitsfragen\ + \ geben, die sowohl scheinbar einfache wie auch komplexe oder technische Fragen\ + \ beantworten k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a15 + ref_id: ORP.1.A15.2 + description: "Die Ansprechpersonen M\xDCSSEN allen Mitarbeitenden der Institution\ + \ bekannt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a15 + ref_id: ORP.1.A15.3 + description: "Diesbez\xFCgliche Informationen M\xDCSSEN in der Institution f\xFC\ + r alle verf\xFCgbar und leicht zug\xE4nglich sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1 + ref_id: ORP.1.A16 + name: Richtlinie zur sicheren IT-Nutzung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16 + ref_id: ORP.1.A16.1 + description: "Es SOLLTE eine Richtlinie erstellt werden, in der f\xFCr alle\ + \ Mitarbeitenden transparent beschrieben wird, welche Rahmenbedingungen bei\ + \ der IT-Nutzung eingehalten werden m\xFCssen und welche Sicherheitsma\xDF\ + nahmen zu ergreifen sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16 + ref_id: ORP.1.A16.2 + description: 'Die Richtlinie SOLLTE folgende Punkte abdecken:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16 + ref_id: ORP.1.A16.3 + description: "\u2022 Sicherheitsziele der Institution," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16 + ref_id: ORP.1.A16.4 + description: "\u2022 wichtige Begriffe," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16 + ref_id: ORP.1.A16.5 + description: "\u2022 Aufgaben und Rollen mit Bezug zur Informationssicherheit," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16 + ref_id: ORP.1.A16.6 + description: "\u2022 Ansprechperson zu Fragen der Informationssicherheit sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16 + ref_id: ORP.1.A16.7 + description: "\u2022 von den Mitarbeitenden umzusetzende und einzuhaltende Sicherheitsma\xDF\ + nahmen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16 + ref_id: ORP.1.A16.8 + description: Die Richtlinie SOLLTE allen Benutzenden zur Kenntnis gegeben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16 + ref_id: ORP.1.A16.9 + description: "Jeder neue Benutzende SOLLTE die Kenntnisnahme und Beachtung der\ + \ Richtlinie schriftlich best\xE4tigen, bevor er die Informationstechnik nutzen\ + \ darf." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16 + ref_id: ORP.1.A16.10 + description: "Benutzende SOLLTEN die Richtlinie regelm\xE4\xDFig oder nach gr\xF6\ + \xDFeren \xC4nderungen erneut best\xE4tigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a16 + ref_id: ORP.1.A16.11 + description: "Die Richtlinie sollte zum Nachlesen f\xFCr alle Mitarbeitenden\ + \ frei zug\xE4nglich abgelegt werden, beispielsweise im Intranet." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1 + ref_id: ORP.1.A17 + name: "Mitf\xFChrverbot von Mobiltelefonen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a17 + ref_id: ORP.1.A17.1 + description: "Mobiltelefone SOLLTEN NICHT zu vertraulichen Besprechungen und\ + \ Gespr\xE4chen mitgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.1.a17 + ref_id: ORP.1.A17.2 + description: "Falls erforderlich, SOLLTE dies durch Mobilfunk-Detektoren \xFC\ + berpr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp + ref_id: ORP.2 + name: Personal + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2 + ref_id: ORP.2.A1 + name: Geregelte Einarbeitung neuer Mitarbeitender + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a1 + ref_id: ORP.2.A1.1 + description: "Die Personalabteilung sowie die Vorgesetzten M\xDCSSEN daf\xFC\ + r sorgen, dass Mitarbeitende zu Beginn ihrer Besch\xE4ftigung in ihre neuen\ + \ Aufgaben eingearbeitet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a1 + ref_id: ORP.2.A1.2 + description: "Die Mitarbeitenden M\xDCSSEN \xFCber bestehende Regelungen, Handlungsanweisungen\ + \ und Verfahrensweisen informiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a1 + ref_id: ORP.2.A1.3 + description: "Eine Checkliste und ein direkter Ansprechpartner oder Ansprechpartnerin\ + \ (\u201EPate oder Patin\u201C) kann hierbei hilfreich sein und SOLLTE etabliert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2 + ref_id: ORP.2.A2 + name: Geregelte Verfahrensweise beim Weggang von Mitarbeitenden + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2 + ref_id: ORP.2.A2.1 + description: Verlassen Mitarbeitende die Institution, MUSS der oder die Nachfolgende + rechtzeitig eingewiesen werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2 + ref_id: ORP.2.A2.2 + description: Dies SOLLTE idealerweise durch den oder die ausscheidenden Mitarbeitenden + erfolgen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2 + ref_id: ORP.2.A2.3 + description: "Ist eine direkte \xDCbergabe nicht m\xF6glich, MUSS von den ausscheidenden\ + \ Mitarbeitenden eine ausf\xFChrliche Dokumentation angefertigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2 + ref_id: ORP.2.A2.4 + description: "Au\xDFerdem M\xDCSSEN von ausscheidenden Mitarbeitenden alle im\ + \ Rahmen ihrer T\xE4tigkeit erhaltenen Unterlagen, Schl\xFCssel und Ger\xE4\ + te sowie Ausweise und Zutrittsberechtigungen eingezogen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2 + ref_id: ORP.2.A2.5 + description: Vor der Verabschiedung MUSS noch einmal auf Verschwiegenheitsverpflichtungen + hingewiesen werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2 + ref_id: ORP.2.A2.6 + description: Es SOLLTE besonders darauf geachtet werden, dass keine Interessenkonflikte + auftreten. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2 + ref_id: ORP.2.A2.7 + description: Um nach einem Stellenwechsel Interessenkonflikte zu vermeiden, + SOLLTEN Konkurrenzverbote und Karenzzeiten vereinbart werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2 + ref_id: ORP.2.A2.8 + description: "Weiterhin M\xDCSSEN Notfall- und andere Ablaufpl\xE4ne aktualisiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2 + ref_id: ORP.2.A2.9 + description: "Alle betroffenen Stellen innerhalb der Institution, wie z. B.\ + \ das Sicherheitspersonal oder die IT-Abteilung, M\xDCSSEN \xFCber das Ausscheiden\ + \ des oder der Mitarbeitenden informiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2 + ref_id: ORP.2.A2.10 + description: Damit alle verbundenen Aufgaben, die beim Ausscheiden des oder + der Mitarbeitenden anfallen, erledigt werden, SOLLTE hier ebenfalls eine Checkliste + angelegt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a2 + ref_id: ORP.2.A2.11 + description: Zudem SOLLTE es einen festen Ansprechpartner oder Ansprechpartnerin + der Personalabteilung geben, der den Weggang von Mitarbeitenden begleitet. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2 + ref_id: ORP.2.A3 + name: Festlegung von Vertretungsregelungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a3 + ref_id: ORP.2.A3.1 + description: "Die Vorgesetzten M\xDCSSEN daf\xFCr sorgen, dass im laufenden\ + \ Betrieb Vertretungsregelungen umgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a3 + ref_id: ORP.2.A3.2 + description: "Daf\xFCr MUSS sichergestellt werden, dass es f\xFCr alle wesentlichen\ + \ Gesch\xE4ftsprozesse und Aufgaben praktikable Vertretungsregelungen gibt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a3 + ref_id: ORP.2.A3.3 + description: Bei diesen Regelungen MUSS der Aufgabenumfang der Vertretung im + Vorfeld klar definiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a3 + ref_id: ORP.2.A3.4 + description: "Es MUSS sichergestellt werden, dass die Vertretung \xFCber das\ + \ daf\xFCr n\xF6tige Wissen verf\xFCgt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a3 + ref_id: ORP.2.A3.5 + description: "Ist dies nicht der Fall, MUSS \xFCberpr\xFCft werden, wie der\ + \ Vertretenden zu schulen ist oder ob es ausreicht, den aktuellen Verfahrens-\ + \ oder Projektstand ausreichend zu dokumentieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a3.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a3 + ref_id: ORP.2.A3.6 + description: "Ist es im Ausnahmefall nicht m\xF6glich, f\xFCr einzelne Mitarbeitende\ + \ einen kompetenten Vertretenden zu benennen oder zu schulen, MUSS fr\xFC\ + hzeitig entschieden werden, ob externes Personal daf\xFCr hinzugezogen werden\ + \ kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2 + ref_id: ORP.2.A4 + name: "Festlegung von Regelungen f\xFCr den Einsatz von Fremdpersonal" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a4 + ref_id: ORP.2.A4.1 + description: "Wird externes Personal besch\xE4ftigt, MUSS dieses wie alle eigenen\ + \ Mitarbeitenden dazu verpflichtet werden, geltende Gesetze, Vorschriften\ + \ und interne Regelungen einzuhalten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a4 + ref_id: ORP.2.A4.2 + description: Fremdpersonal, das kurzfristig oder einmalig eingesetzt wird, MUSS + in sicherheitsrelevanten Bereichen beaufsichtigt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a4 + ref_id: ORP.2.A4.3 + description: "Bei l\xE4ngerfristig besch\xE4ftigtem Fremdpersonal MUSS dieses\ + \ wie die eigenen Mitarbeitenden in seine Aufgaben eingewiesen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a4 + ref_id: ORP.2.A4.4 + description: "Auch f\xFCr diese Mitarbeitende MUSS eine Vertretungsregelung\ + \ eingef\xFChrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a4 + ref_id: ORP.2.A4.5 + description: "Verl\xE4sst das Fremdpersonal die Institution, M\xDCSSEN Arbeitsergebnisse\ + \ wie bei eigenem Personal geregelt \xFCbergeben und eventuell ausgeh\xE4\ + ndigte Zugangsberechtigungen zur\xFCckgegeben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2 + ref_id: ORP.2.A5 + name: "Vertraulichkeitsvereinbarungen f\xFCr den Einsatz von Fremdpersonal" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a5 + ref_id: ORP.2.A5.1 + description: "Bevor externe Personen Zugang und Zugriff zu vertraulichen Informationen\ + \ erhalten, M\xDCSSEN mit ihnen Vertraulichkeitsvereinbarungen in schriftlicher\ + \ Form geschlossen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a5 + ref_id: ORP.2.A5.2 + description: "In diesen Vertraulichkeitsvereinbarungen M\xDCSSEN alle wichtigen\ + \ Aspekte zum Schutz von institutionsinternen Informationen ber\xFCcksichtigt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2 + ref_id: ORP.2.A7 + name: "\xDCberpr\xFCfung der Vertrauensw\xFCrdigkeit von Mitarbeitenden" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a7 + ref_id: ORP.2.A7.1 + description: "Neue Mitarbeitende SOLLTEN auf ihre Vertrauensw\xFCrdigkeit hin\ + \ \xFCberpr\xFCft werden, bevor sie eingestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a7 + ref_id: ORP.2.A7.2 + description: "Soweit m\xF6glich, SOLLTEN alle an der Personalauswahl Beteiligten\ + \ kontrollieren, ob die Angaben der Bewerbenden, die relevant f\xFCr die Einsch\xE4\ + tzung ihrer Vertrauensw\xFCrdigkeit sind, glaubhaft sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a7 + ref_id: ORP.2.A7.3 + description: "Insbesondere SOLLTE sorgf\xE4ltig gepr\xFCft werden, ob der vorgelegte\ + \ Lebenslauf korrekt, plausibel und vollst\xE4ndig ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a7 + ref_id: ORP.2.A7.4 + description: "Dabei SOLLTEN auff\xE4llig erscheinende Angaben \xFCberpr\xFC\ + ft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2 + ref_id: ORP.2.A13 + name: "Sicherheits\xFCberpr\xFCfung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a13 + ref_id: ORP.2.A13.1 + description: "Im Hochsicherheitsbereich SOLLTE eine zus\xE4tzliche Sicherheits\xFC\ + berpr\xFCfung zus\xE4tzlich zur grundlegenden \xDCberpr\xFCfung der Vertrauensw\xFC\ + rdigkeit von Mitarbeitenden durchgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a13 + ref_id: ORP.2.A13.2 + description: "Arbeiten Mitarbeitende mit nach dem Geheimschutz klassifizierten\ + \ Verschlusssachen, SOLLTEN sich die entsprechenden Mitarbeitenden einer Sicherheits\xFC\ + berpr\xFCfung nach dem Sicherheits\xFCberpr\xFCfungsgesetz (S\xDCG) unterziehen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a13 + ref_id: ORP.2.A13.3 + description: "Diesbez\xFCglich SOLLTE der oder die Informationssicherheitsbeauftragte\ + \ den Geheimschutzbeauftragten oder die Geheimschutzbeauftragte bzw. Sicherheitsbevollm\xE4\ + chtigten oder Sicherheitsbevollm\xE4chtigte der Institution einbeziehen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2 + ref_id: ORP.2.A14 + name: "Aufgaben und Zust\xE4ndigkeiten von Mitarbeitenden" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a14 + ref_id: ORP.2.A14.1 + description: "Alle Mitarbeitenden M\xDCSSEN dazu verpflichtet werden, geltende\ + \ Gesetze, Vorschriften und interne Regelungen einzuhalten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a14 + ref_id: ORP.2.A14.2 + description: "Den Mitarbeitenden MUSS der rechtliche Rahmen ihre T\xE4tigkeit\ + \ bekannt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a14 + ref_id: ORP.2.A14.3 + description: "Die Aufgaben und Zust\xE4ndigkeiten von Mitarbeitenden M\xDCSSEN\ + \ in geeigneter Weise dokumentiert sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a14.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a14 + ref_id: ORP.2.A14.4 + description: "Au\xDFerdem M\xDCSSEN alle Mitarbeitenden darauf hingewiesen werden,\ + \ dass alle w\xE4hrend der Arbeit erhaltenen Informationen ausschlie\xDFlich\ + \ zum internen Gebrauch bestimmt sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a14.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a14 + ref_id: ORP.2.A14.5 + description: "Den Mitarbeitenden MUSS bewusst gemacht werden, die Informationssicherheit\ + \ der Institution auch au\xDFerhalb der Arbeitszeit und au\xDFerhalb des Betriebsgel\xE4\ + ndes zu sch\xFCtzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2 + ref_id: ORP.2.A15 + name: Qualifikation des Personals + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a15 + ref_id: ORP.2.A15.1 + description: "Mitarbeitende M\xDCSSEN regelm\xE4\xDFig geschult bzw. weitergebildet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a15 + ref_id: ORP.2.A15.2 + description: In allen Bereichen MUSS sichergestellt werden, dass kein Mitarbeitende + mit veralteten Wissensstand arbeitet. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a15 + ref_id: ORP.2.A15.3 + description: "Weiterhin SOLLTE den Mitarbeitenden w\xE4hrend ihrer Besch\xE4\ + ftigung die M\xF6glichkeit gegeben werden, sich im Rahmen ihres T\xE4tigkeitsfeldes\ + \ weiterzubilden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a15.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a15 + ref_id: ORP.2.A15.4 + description: "Werden Stellen besetzt, M\xDCSSEN die erforderlichen Qualifikationen\ + \ und F\xE4higkeiten genau formuliert sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a15.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a15 + ref_id: ORP.2.A15.5 + description: "Anschlie\xDFend SOLLTE gepr\xFCft werden, ob diese bei den Bewerbenden\ + \ f\xFCr die Stelle tats\xE4chlich vorhanden sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a15.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.2.a15 + ref_id: ORP.2.A15.6 + description: "Es MUSS sichergestellt sein, dass Stellen nur von Mitarbeitenden\ + \ besetzt werden, f\xFCr die sie qualifiziert sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp + ref_id: ORP.3 + name: Sensibilisierung und Schulung zur Informationssicherheit + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3 + ref_id: ORP.3.A1 + name: "Sensibilisierung der Institutionsleitung f\xFCr Informationssicherheit" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a1 + ref_id: ORP.3.A1.1 + description: "Die Institutionsleitung MUSS ausreichend f\xFCr Sicherheitsfragen\ + \ sensibilisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a1 + ref_id: ORP.3.A1.2 + description: "Die Sicherheitskampagnen und Schulungsma\xDFnahmen M\xDCSSEN von\ + \ der Institutionsleitung unterst\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a1 + ref_id: ORP.3.A1.3 + description: "Vor dem Beginn eines Sensibilisierungs- und Schulungsprogramms\ + \ zur Informationssicherheit MUSS die Unterst\xFCtzung der Institutionsleitung\ + \ eingeholt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a1 + ref_id: ORP.3.A1.4 + description: "Alle Vorgesetzten M\xDCSSEN die Informationssicherheit unterst\xFC\ + tzen, indem sie mit gutem Beispiel vorangehen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a1 + ref_id: ORP.3.A1.5 + description: "F\xFChrungskr\xE4fte M\xDCSSEN die Sicherheitsvorgaben umsetzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a1 + ref_id: ORP.3.A1.6 + description: "Hier\xFCber hinaus M\xDCSSEN sie ihre Mitarbeitenden auf deren\ + \ Einhaltung hinweisen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3 + ref_id: ORP.3.A3 + name: Einweisung des Personals in den sicheren Umgang mit IT + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a3 + ref_id: ORP.3.A3.1 + description: "Alle Mitarbeitenden und externen Benutzenden M\xDCSSEN in den\ + \ sicheren Umgang mit IT-, ICS- und IoT-Komponenten eingewiesen und sensibilisiert\ + \ werden, soweit dies f\xFCr ihre Arbeitszusammenh\xE4nge relevant ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a3 + ref_id: ORP.3.A3.2 + description: "Daf\xFCr M\xDCSSEN verbindliche, verst\xE4ndliche und aktuelle\ + \ Richtlinien zur Nutzung der jeweiligen Komponenten zur Verf\xFCgung stehen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a3 + ref_id: ORP.3.A3.3 + description: Werden IT-, ICS- oder IoT-Systeme oder -Dienste in einer Weise + benutzt, die den Interessen der Institution widersprechen, MUSS dies kommuniziert + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3 + ref_id: ORP.3.A4 + name: Konzeption und Planung eines Sensibilisierungs- und Schulungsprogramms + zur Informationssicherheit + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a4 + ref_id: ORP.3.A4.1 + description: Sensibilisierungs- und Schulungsprogramme zur Informationssicherheit + SOLLTEN sich an den jeweiligen Zielgruppen orientieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a4 + ref_id: ORP.3.A4.2 + description: "Dazu SOLLTE eine Zielgruppenanalyse durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a4 + ref_id: ORP.3.A4.3 + description: "Hierbei SOLLTEN Schulungsma\xDFnahmen auf die speziellen Anforderungen\ + \ und unterschiedlichen Hintergr\xFCnde fokussiert werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a4 + ref_id: ORP.3.A4.4 + description: Es SOLLTE ein zielgruppenorientiertes Sensibilisierungs- und Schulungsprogramm + zur Informationssicherheit erstellt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a4 + ref_id: ORP.3.A4.5 + description: "Dieses Schulungsprogramm SOLLTE den Mitarbeitenden alle Informationen\ + \ und F\xE4higkeiten vermitteln, die erforderlich sind, um in der Institution\ + \ geltende Sicherheitsregelungen und -ma\xDFnahmen umsetzen zu k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a4.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a4 + ref_id: ORP.3.A4.6 + description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft und aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3 + ref_id: ORP.3.A6 + name: "Durchf\xFChrung von Sensibilisierungen und Schulungen zur Informationssicherheit" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a6 + ref_id: ORP.3.A6.1 + description: Alle Mitarbeitenden SOLLTEN entsprechend ihren Aufgaben und Verantwortlichkeiten + zu Informationssicherheitsthemen geschult werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3 + ref_id: ORP.3.A7 + name: Schulung zur Vorgehensweise nach IT-Grundschutz + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a7 + ref_id: ORP.3.A7.1 + description: Informationssicherheitsbeauftragte SOLLTEN mit dem IT-Grundschutz + vertraut sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a7 + ref_id: ORP.3.A7.2 + description: Wurde ein Schulungsbedarf identifiziert, SOLLTE eine geeignete + IT-Grundschutz-Schulung geplant werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a7 + ref_id: ORP.3.A7.3 + description: "F\xFCr die Planung einer Schulung SOLLTE der Online-Kurs des BSI\ + \ zum IT-Grundschutz ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a7 + ref_id: ORP.3.A7.4 + description: "Innerhalb der Schulung SOLLTE die Vorgehensweise anhand praxisnaher\ + \ Beispiele ge\xFCbt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a7 + ref_id: ORP.3.A7.5 + description: "Es SOLLTE gepr\xFCft werden, ob der oder die Informationssicherheitsbeauftragte\ + \ sich zu einem BSI IT-Grundschutz-Praktiker qualifizieren lassen sollten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3 + ref_id: ORP.3.A8 + name: Messung und Auswertung des Lernerfolgs + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a8 + ref_id: ORP.3.A8.1 + description: Die Lernerfolge im Bereich Informationssicherheit SOLLTEN zielgruppenbezogen + gemessen und ausgewertet werden, um festzustellen, inwieweit die in den Sensibilisierungs- + und Schulungsprogrammen zur Informationssicherheit beschriebenen Ziele erreicht + sind. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a8 + ref_id: ORP.3.A8.2 + description: "Die Messungen SOLLTEN sowohl quantitative als auch qualitative\ + \ Aspekte der Sensibilisierungs- und Schulungsprogramme zur Informationssicherheit\ + \ ber\xFCcksichtigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a8 + ref_id: ORP.3.A8.3 + description: "Die Ergebnisse SOLLTEN bei der Verbesserung des Sensibilisierungs-\ + \ und Schulungsangebots zur Informationssicherheit in geeigneter Weise einflie\xDF\ + en." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a8 + ref_id: ORP.3.A8.4 + description: "Der oder die Informationssicherheitsbeauftragte SOLLTE sich regelm\xE4\ + \xDFig mit der Personalabteilung und den anderen f\xFCr die Sicherheit relevanten\ + \ Ansprechpartnern (Datenschutz, Gesundheits- und Arbeitsschutz, Brandschutz\ + \ etc.) \xFCber die Effizienz der Aus- und Weiterbildung austauschen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3 + ref_id: ORP.3.A9 + name: Spezielle Schulung von exponierten Personen und Institutionen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.3.a9 + ref_id: ORP.3.A9.1 + description: "Besonders exponierte Personen SOLLTEN vertiefende Schulungen in\ + \ Hinblick auf m\xF6gliche Gef\xE4hrdungen sowie geeignete Verhaltensweisen\ + \ und Vorsichtsma\xDFnahmen erhalten." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp + ref_id: ORP.4 + name: "Identit\xE4ts- und Berechtigungsmanagement" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 + ref_id: ORP.4.A1 + name: "Regelung f\xFCr die Einrichtung und L\xF6schung von Benutzenden und Benutzendengruppen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a1 + ref_id: ORP.4.A1.1 + description: "Es MUSS geregelt werden, wie Benutzendenkennungen und -gruppen\ + \ einzurichten und zu l\xF6schen sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a1 + ref_id: ORP.4.A1.2 + description: "Jede Benutzendenkennung MUSS eindeutig einer Person zugeordnet\ + \ werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a1 + ref_id: ORP.4.A1.3 + description: "Benutzendenkennungen, die l\xE4ngere Zeit inaktiv sind, SOLLTEN\ + \ deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a1 + ref_id: ORP.4.A1.4 + description: "Alle Benutzenden und Benutzendengruppen D\xDCRFEN NUR \xFCber\ + \ separate administrative Rollen eingerichtet und gel\xF6scht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a1 + ref_id: ORP.4.A1.5 + description: "Nicht ben\xF6tigte Benutzendenkennungen, wie z. B. standardm\xE4\ + \xDFig eingerichtete Gastkonten oder Standard-Administrierendenkennungen,\ + \ M\xDCSSEN geeignet deaktiviert oder gel\xF6scht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 + ref_id: ORP.4.A2 + name: "Einrichtung, \xC4nderung und Entzug von Berechtigungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a2 + ref_id: ORP.4.A2.1 + description: "Benutzendenkennungen und Berechtigungen D\xDCRFEN NUR aufgrund\ + \ des tats\xE4chlichen Bedarfs und der Notwendigkeit zur Aufgabenerf\xFCllung\ + \ vergeben werden (Prinzip der geringsten Berechtigungen, englisch Least Privileges\ + \ und Erforderlichkeitsprinzip, englisch Need-to-know)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a2 + ref_id: ORP.4.A2.2 + description: "Bei personellen Ver\xE4nderungen M\xDCSSEN die nicht mehr ben\xF6\ + tigten Benutzendenkennungen und Berechtigungen entfernt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a2 + ref_id: ORP.4.A2.3 + description: "Beantragen Mitarbeitende Berechtigungen, die \xFCber den Standard\ + \ hinausgehen, D\xDCRFEN diese NUR nach zus\xE4tzlicher Begr\xFCndung und\ + \ Pr\xFCfung vergeben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a2 + ref_id: ORP.4.A2.4 + description: "Zugriffsberechtigungen auf Systemverzeichnisse und -dateien SOLLTEN\ + \ restriktiv eingeschr\xE4nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a2 + ref_id: ORP.4.A2.5 + description: "Alle Berechtigungen M\xDCSSEN \xFCber separate administrative\ + \ Rollen eingerichtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 + ref_id: ORP.4.A3 + name: Dokumentation der Benutzendenkennungen und Rechteprofile + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a3 + ref_id: ORP.4.A3.1 + description: Es MUSS dokumentiert werden, welche Benutzendenkennungen, angelegte + Benutzendengruppen und Rechteprofile zugelassen und angelegt wurden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a3 + ref_id: ORP.4.A3.2 + description: "Die Dokumentation der zugelassenen Benutzendenkennungen, angelegten\ + \ Benutzendengruppen und Rechteprofile MUSS regelm\xE4\xDFig daraufhin \xFC\ + berpr\xFCft werden, ob sie den tats\xE4chlichen Stand der Rechtevergabe widerspiegelt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a3 + ref_id: ORP.4.A3.3 + description: "Dabei MUSS auch gepr\xFCft werden, ob die Rechtevergabe noch den\ + \ Sicherheitsanforderungen und den aktuellen Aufgaben der Benutzenden entspricht." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a3 + ref_id: ORP.4.A3.4 + description: "Die Dokumentation MUSS vor unberechtigtem Zugriff gesch\xFCtzt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a3 + ref_id: ORP.4.A3.5 + description: Sofern sie in elektronischer Form erfolgt, SOLLTE sie in das Datensicherungsverfahren + einbezogen werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 + ref_id: ORP.4.A4 + name: Aufgabenverteilung und Funktionstrennung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a4 + ref_id: ORP.4.A4.1 + description: "Die von der Institution definierten unvereinbaren Aufgaben und\ + \ Funktionen (siehe Baustein ORP.1 Organisation) M\xDCSSEN durch das Identit\xE4\ + ts- und Berechtigungsmanagement getrennt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 + ref_id: ORP.4.A5 + name: Vergabe von Zutrittsberechtigungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a5 + ref_id: ORP.4.A5.1 + description: Es MUSS festgelegt werden, welche Zutrittsberechtigungen an welche + Personen im Rahmen ihrer Funktion vergeben bzw. ihnen entzogen werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a5 + ref_id: ORP.4.A5.2 + description: Die Ausgabe bzw. der Entzug von verwendeten Zutrittsmittel wie + Chipkarten MUSS dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a5 + ref_id: ORP.4.A5.3 + description: "Wenn Zutrittsmittel kompromittiert wurden, M\xDCSSEN sie ausgewechselt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a5 + ref_id: ORP.4.A5.4 + description: "Die Zutrittsberechtigten SOLLTEN f\xFCr den korrekten Umgang mit\ + \ den Zutrittsmitteln geschult werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a5.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a5 + ref_id: ORP.4.A5.5 + description: "Bei l\xE4ngeren Abwesenheiten SOLLTEN berechtigte Personen vor\xFC\ + bergehend gesperrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 + ref_id: ORP.4.A6 + name: Vergabe von Zugangsberechtigungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a6 + ref_id: ORP.4.A6.1 + description: Es MUSS festgelegt werden, welche Zugangsberechtigungen an welche + Personen im Rahmen ihrer Funktion vergeben bzw. ihnen entzogen werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a6 + ref_id: ORP.4.A6.2 + description: Werden Zugangsmittel wie Chipkarten verwendet, so MUSS die Ausgabe + bzw. der Entzug dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a6 + ref_id: ORP.4.A6.3 + description: "Wenn Zugangsmittel kompromittiert wurden, M\xDCSSEN sie ausgewechselt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a6 + ref_id: ORP.4.A6.4 + description: "Die Zugangsberechtigten SOLLTEN f\xFCr den korrekten Umgang mit\ + \ den Zugangsmitteln geschult werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a6 + ref_id: ORP.4.A6.5 + description: "Bei l\xE4ngeren Abwesenheiten SOLLTEN berechtigte Personen vor\xFC\ + bergehend gesperrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 + ref_id: ORP.4.A7 + name: Vergabe von Zugriffsrechten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a7 + ref_id: ORP.4.A7.1 + description: Es MUSS festgelegt werden, welche Zugriffsrechte an welche Personen + im Rahmen ihrer Funktion vergeben bzw. ihnen entzogen werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a7 + ref_id: ORP.4.A7.2 + description: Werden im Rahmen der Zugriffskontrolle Chipkarten oder Token verwendet, + so MUSS die Ausgabe bzw. der Entzug dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a7 + ref_id: ORP.4.A7.3 + description: "Die Anwendenden SOLLTEN f\xFCr den korrekten Umgang mit Chipkarten\ + \ oder Token geschult werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a7 + ref_id: ORP.4.A7.4 + description: "Bei l\xE4ngeren Abwesenheiten SOLLTEN berechtigte Personen vor\xFC\ + bergehend gesperrt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 + ref_id: ORP.4.A8 + name: Regelung des Passwortgebrauchs + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8 + ref_id: ORP.4.A8.1 + description: "Die Institution MUSS den Passwortgebrauch verbindlich regeln (siehe\ + \ auch ORP.4.A22 Regelung zur Passwortqualit\xE4t und ORP.4.A23 Regelung f\xFC\ + r passwortverarbeitende Anwendungen und IT-Systeme)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8 + ref_id: ORP.4.A8.2 + description: "Dabei MUSS gepr\xFCft werden, ob Passw\xF6rter als alleiniges\ + \ Authentisierungsverfahren eingesetzt werden sollen, oder ob andere Authentisierungsmerkmale\ + \ bzw. -verfahren zus\xE4tzlich zu oder anstelle von Passw\xF6rtern verwendet\ + \ werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8 + ref_id: ORP.4.A8.3 + description: "Passw\xF6rter D\xDCRFEN NICHT mehrfach verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8 + ref_id: ORP.4.A8.4 + description: "F\xFCr jedes IT-System bzw. jede Anwendung MUSS ein eigenst\xE4\ + ndiges Passwort verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8 + ref_id: ORP.4.A8.5 + description: "Passw\xF6rter, die leicht zu erraten sind oder in g\xE4ngigen\ + \ Passwortlisten gef\xFChrt werden, D\xDCRFEN NICHT verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8 + ref_id: ORP.4.A8.6 + description: "Passw\xF6rter M\xDCSSEN geheim gehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8 + ref_id: ORP.4.A8.7 + description: "Sie D\xDCRFEN NUR den Benutzenden pers\xF6nlich bekannt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8 + ref_id: ORP.4.A8.8 + description: "Passw\xF6rter D\xDCRFEN NUR unbeobachtet eingegeben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8 + ref_id: ORP.4.A8.9 + description: "Passw\xF6rter D\xDCRFEN NICHT auf programmierbaren Funktionstasten\ + \ von Tastaturen oder M\xE4usen gespeichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8 + ref_id: ORP.4.A8.10 + description: "Ein Passwort DARF NUR f\xFCr eine Hinterlegung f\xFCr einen Notfall\ + \ schriftlich fixiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8 + ref_id: ORP.4.A8.11 + description: Es MUSS dann sicher aufbewahrt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8 + ref_id: ORP.4.A8.12 + description: "Die Nutzung eines Passwort-Managers SOLLTE gepr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8.13 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8 + ref_id: ORP.4.A8.13 + description: "Bei Passwort-Managern mit Funktionen oder Plug-ins, mit denen\ + \ Passw\xF6rter \xFCber Onlinedienste Dritter synchronisiert oder anderweitig\ + \ an Dritte \xFCbertragen werden, M\xDCSSEN diese Funktionen und Plug-ins\ + \ deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8.14 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a8 + ref_id: ORP.4.A8.14 + description: Ein Passwort MUSS gewechselt werden, wenn es unautorisierten Personen + bekannt geworden ist oder der Verdacht dazu besteht. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 + ref_id: ORP.4.A9 + name: Identifikation und Authentisierung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a9 + ref_id: ORP.4.A9.1 + description: Der Zugriff auf alle IT-Systeme und Dienste MUSS durch eine angemessene + Identifikation und Authentisierung der zugreifenden Benutzenden, Dienste oder + IT-Systeme abgesichert sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a9 + ref_id: ORP.4.A9.2 + description: "Vorkonfigurierte Authentisierungsmittel M\xDCSSEN vor dem produktiven\ + \ Einsatz ge\xE4ndert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 + ref_id: ORP.4.A10 + name: Schutz von Benutzendenkennungen mit weitreichenden Berechtigungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a10 + ref_id: ORP.4.A10.1 + description: "Benutzendenkennungen mit weitreichenden Berechtigungen SOLLTEN\ + \ mit einer Mehr-Faktor-Authentisierung, z. B. mit kryptografischen Zertifikaten,\ + \ Chipkarten oder Token, gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 + ref_id: ORP.4.A11 + name: "Zur\xFCcksetzen von Passw\xF6rtern" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a11 + ref_id: ORP.4.A11.1 + description: "F\xFCr das Zur\xFCcksetzen von Passw\xF6rtern SOLLTE ein angemessenes\ + \ sicheres Verfahren definiert und umgesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a11 + ref_id: ORP.4.A11.2 + description: "Die Mitarbeitenden des IT-Betriebs, die Passw\xF6rter zur\xFC\ + cksetzen k\xF6nnen, SOLLTEN entsprechend geschult werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a11 + ref_id: ORP.4.A11.3 + description: "Bei h\xF6herem Schutzbedarf des Passwortes SOLLTE eine Strategie\ + \ definiert werden, falls Mitarbeitende des IT-Betriebs aufgrund fehlender\ + \ sicherer M\xF6glichkeiten der \xDCbermittlung des Passwortes die Verantwortung\ + \ nicht \xFCbernehmen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 + ref_id: ORP.4.A12 + name: "Entwicklung eines Authentisierungskonzeptes f\xFCr IT-Systeme und Anwendungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a12 + ref_id: ORP.4.A12.1 + description: Es SOLLTE ein Authentisierungskonzept erstellt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a12 + ref_id: ORP.4.A12.2 + description: "Darin SOLLTE f\xFCr jedes IT-System und jede Anwendung definiert\ + \ werden, welche Funktions- und Sicherheitsanforderungen an die Authentisierung\ + \ gestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a12 + ref_id: ORP.4.A12.3 + description: "Authentisierungsinformationen M\xDCSSEN kryptografisch sicher\ + \ gespeichert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a12 + ref_id: ORP.4.A12.4 + description: "Authentisierungsinformationen D\xDCRFEN NICHT unverschl\xFCsselt\ + \ \xFCber unsichere Netze \xFCbertragen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 + ref_id: ORP.4.A13 + name: Geeignete Auswahl von Authentisierungsmechanismen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a13 + ref_id: ORP.4.A13.1 + description: Es SOLLTEN dem Schutzbedarf angemessene Identifikations- und Authentisierungsmechanismen + verwendet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a13 + ref_id: ORP.4.A13.2 + description: "Authentisierungsdaten SOLLTEN durch das IT-System bzw. die IT-Anwendungen\ + \ bei der Verarbeitung jederzeit gegen Aussp\xE4hung, Ver\xE4nderung und Zerst\xF6\ + rung gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a13 + ref_id: ORP.4.A13.3 + description: "Das IT-System bzw. die IT-Anwendung SOLLTE nach jedem erfolglosen\ + \ Authentisierungsversuch weitere Anmeldeversuche zunehmend verz\xF6gern (Time\ + \ Delay)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a13.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a13 + ref_id: ORP.4.A13.4 + description: "Die Gesamtdauer eines Anmeldeversuchs SOLLTE begrenzt werden k\xF6\ + nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a13.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a13 + ref_id: ORP.4.A13.5 + description: "Nach \xDCberschreitung der vorgegebenen Anzahl erfolgloser Authentisierungsversuche\ + \ SOLLTE das IT-System bzw. die IT-Anwendung die Benutzendenkennung sperren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 + ref_id: ORP.4.A14 + name: Kontrolle der Wirksamkeit der Benutzendentrennung am IT-System bzw. an + der Anwendung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a14 + ref_id: ORP.4.A14.1 + description: "In angemessenen Zeitabst\xE4nden SOLLTE \xFCberpr\xFCft werden,\ + \ ob die Benutzenden von IT-Systemen bzw. Anwendungen sich regelm\xE4\xDF\ + ig nach Aufgabenerf\xFCllung abmelden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a14 + ref_id: ORP.4.A14.2 + description: Ebenso SOLLTE kontrolliert werden, dass nicht mehrere Benutzende + unter der gleichen Kennung arbeiten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 + ref_id: ORP.4.A15 + name: "Vorgehensweise und Konzeption der Prozesse beim Identit\xE4ts- und Berechtigungsmanagement" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a15 + ref_id: ORP.4.A15.1 + description: "F\xFCr das Identit\xE4ts- und Berechtigungsmanagement SOLLTEN\ + \ folgenden Prozesse definiert und umgesetzt werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a15 + ref_id: ORP.4.A15.2 + description: "\u2022 Richtlinien verwalten," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a15 + ref_id: ORP.4.A15.3 + description: "\u2022 Identit\xE4tsprofile verwalten," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a15.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a15 + ref_id: ORP.4.A15.4 + description: "\u2022 Benutzendenkennungen verwalten," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a15.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a15 + ref_id: ORP.4.A15.5 + description: "\u2022 Berechtigungsprofile verwalten sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a15.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a15 + ref_id: ORP.4.A15.6 + description: "\u2022 Rollen verwalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 + ref_id: ORP.4.A16 + name: "Richtlinien f\xFCr die Zugriffs- und Zugangskontrolle" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a16 + ref_id: ORP.4.A16.1 + description: "Es SOLLTE eine Richtlinie f\xFCr die Zugriffs- und Zugangskontrolle\ + \ von IT-Systemen, IT-Komponenten und Datennetzen erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a16 + ref_id: ORP.4.A16.2 + description: Es SOLLTEN Standard-Rechteprofile benutzt werden, die den Funktionen + und Aufgaben der Mitarbeitenden entsprechen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a16 + ref_id: ORP.4.A16.3 + description: "F\xFCr jedes IT-System und jede IT-Anwendung SOLLTE eine schriftliche\ + \ Zugriffsregelung existieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 + ref_id: ORP.4.A17 + name: "Geeignete Auswahl von Identit\xE4ts- und Berechtigungsmanagement-Systemen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a17 + ref_id: ORP.4.A17.1 + description: "Beim Einsatz eines Identit\xE4ts- und Berechtigungsmanagement-Systems\ + \ SOLLTE dieses f\xFCr die Institution und deren jeweilige Gesch\xE4ftsprozesse,\ + \ Organisationsstrukturen und Abl\xE4ufe sowie deren Schutzbedarf geeignet\ + \ sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a17 + ref_id: ORP.4.A17.2 + description: "Das Identit\xE4ts- und Berechtigungsmanagement-System SOLLTE die\ + \ in der Institution vorhandenen Vorgaben zum Umgang mit Identit\xE4ten und\ + \ Berechtigungen abbilden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a17 + ref_id: ORP.4.A17.3 + description: "Das ausgew\xE4hlte Identit\xE4ts- und Berechtigungsmanagement-System\ + \ SOLLTE den Grundsatz der Funktionstrennung unterst\xFCtzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a17.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a17 + ref_id: ORP.4.A17.4 + description: "Das Identit\xE4ts- und Berechtigungsmanagement-System SOLLTE angemessen\ + \ vor Angriffen gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 + ref_id: ORP.4.A18 + name: Einsatz eines zentralen Authentisierungsdienstes + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a18 + ref_id: ORP.4.A18.1 + description: "Um ein zentrales Identit\xE4ts- und Berechtigungsmanagement aufzubauen,\ + \ SOLLTE ein zentraler netzbasierter Authentisierungsdienst eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a18 + ref_id: ORP.4.A18.2 + description: "Der Einsatz eines zentralen netzbasierten Authentisierungsdienstes\ + \ SOLLTE sorgf\xE4ltig geplant werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a18 + ref_id: ORP.4.A18.3 + description: "Dazu SOLLTEN die Sicherheitsanforderungen dokumentiert werden,\ + \ die f\xFCr die Auswahl eines solchen Dienstes relevant sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 + ref_id: ORP.4.A19 + name: Einweisung aller Mitarbeitenden in den Umgang mit Authentisierungsverfahren + und -mechanismen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a19 + ref_id: ORP.4.A19.1 + description: Alle Mitarbeitende SOLLTEN in den korrekten Umgang mit dem Authentisierungsverfahren + eingewiesen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a19 + ref_id: ORP.4.A19.2 + description: "Es SOLLTE verst\xE4ndliche Richtlinien f\xFCr den Umgang mit Authentisierungsverfahren\ + \ geben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a19.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a19 + ref_id: ORP.4.A19.3 + description: "Die Mitarbeitenden SOLLTEN \xFCber relevante Regelungen informiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 + ref_id: ORP.4.A20 + name: "Notfallvorsorge f\xFCr das Identit\xE4ts- und Berechtigungsmanagement-System" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a20 + ref_id: ORP.4.A20.1 + description: "Es SOLLTE gepr\xFCft werden, inwieweit ein ausgefallenes Identit\xE4\ + ts- und Berechtigungsmanagement-System sicherheitskritisch f\xFCr die Gesch\xE4\ + ftsprozesse ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a20.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a20 + ref_id: ORP.4.A20.2 + description: "Es SOLLTEN Vorkehrungen getroffen werden, um bei einem ausgefallenen\ + \ Identit\xE4ts- und Berechtigungsmanagement-System weiterhin arbeitsf\xE4\ + hig zu sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a20.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a20 + ref_id: ORP.4.A20.3 + description: "Insbesondere SOLLTE das im Notfallkonzept vorgesehene Berechtigungskonzept\ + \ weiterhin anwendbar sein, wenn das Identit\xE4ts- und Berechtigungsmanagement-System\ + \ ausgefallen ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 + ref_id: ORP.4.A21 + name: Mehr-Faktor-Authentisierung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a21 + ref_id: ORP.4.A21.1 + description: Es SOLLTE eine sichere Mehr-Faktor-Authentisierung, z. B. mit kryptografischen + Zertifikaten, Chipkarten oder Token, zur Authentisierung verwendet werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 + ref_id: ORP.4.A22 + name: "Regelung zur Passwortqualit\xE4t" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a22 + ref_id: ORP.4.A22.1 + description: "In Abh\xE4ngigkeit von Einsatzzweck und Schutzbedarf M\xDCSSEN\ + \ sichere Passw\xF6rter geeigneter Qualit\xE4t gew\xE4hlt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a22.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a22 + ref_id: ORP.4.A22.2 + description: Das Passwort MUSS so komplex sein, dass es nicht leicht zu erraten + ist. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a22.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a22 + ref_id: ORP.4.A22.3 + description: "Das Passwort DARF NICHT zu kompliziert sein, damit Benutzende\ + \ in der Lage sind, das Passwort mit vertretbarem Aufwand regelm\xE4\xDFig\ + \ zu verwenden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 + ref_id: ORP.4.A23 + name: "Regelung f\xFCr passwortverarbeitende Anwendungen und IT-Systeme" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23 + ref_id: ORP.4.A23.1 + description: IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund + zum Wechsel des Passworts auffordern. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23 + ref_id: ORP.4.A23.2 + description: Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23 + ref_id: ORP.4.A23.3 + description: "Es M\xDCSSEN Ma\xDFnahmen ergriffen werden, um die Kompromittierung\ + \ von Passw\xF6rtern zu erkennen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23 + ref_id: ORP.4.A23.4 + description: "Ist dies nicht m\xF6glich, so SOLLTE gepr\xFCft werden, ob die\ + \ Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden\ + \ k\xF6nnen und Passw\xF6rter in gewissen Abst\xE4nden gewechselt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23 + ref_id: ORP.4.A23.5 + description: "Standardpassw\xF6rter M\xDCSSEN durch ausreichend starke Passw\xF6\ + rter ersetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23 + ref_id: ORP.4.A23.6 + description: "Vordefinierte Kennungen M\xDCSSEN ge\xE4ndert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23 + ref_id: ORP.4.A23.7 + description: "Es SOLLTE sichergestellt werden, dass die m\xF6gliche Passwortl\xE4\ + nge auch im vollen Umfang von verarbeitenden IT-Systemen gepr\xFCft wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23 + ref_id: ORP.4.A23.8 + description: "Nach einem Passwortwechsel D\xDCRFEN alte Passw\xF6rter NICHT\ + \ mehr genutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23 + ref_id: ORP.4.A23.9 + description: "Passw\xF6rter M\xDCSSEN so sicher wie m\xF6glich gespeichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23 + ref_id: ORP.4.A23.10 + description: "Bei Kennungen f\xFCr technische Konten, Dienstkonten, Schnittstellen\ + \ oder Vergleichbares SOLLTE ein Passwortwechsel sorgf\xE4ltig geplant und\ + \ gegebenenfalls mit den Anwendungsverantwortlichen abgestimmt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23 + ref_id: ORP.4.A23.11 + description: "Bei der Authentisierung in vernetzten Systemen D\xDCRFEN Passw\xF6\ + rter NICHT unverschl\xFCsselt \xFCber unsichere Netze \xFCbertragen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23 + ref_id: ORP.4.A23.12 + description: "Wenn Passw\xF6rter in einem Intranet \xFCbertragen werden, SOLLTEN\ + \ sie verschl\xFCsselt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23.13 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a23 + ref_id: ORP.4.A23.13 + description: Bei erfolglosen Anmeldeversuchen SOLLTEN die passwortverarbeitenden + Anwendungen oder die IT-Systeme keinen Hinweis darauf geben, ob Passwort oder + Kennung falsch sind. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a24 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4 + ref_id: ORP.4.A24 + name: "Vier-Augen-Prinzip f\xFCr administrative T\xE4tigkeiten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a24.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a24 + ref_id: ORP.4.A24.1 + description: "Administrative T\xE4tigkeiten SOLLTEN nur durch zwei Personen\ + \ durchgef\xFChrt werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a24.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a24 + ref_id: ORP.4.A24.2 + description: Dazu SOLLTEN bei Mehr-Faktor-Authentisierung die Faktoren auf die + zwei Personen verteilt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a24.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.4.a24 + ref_id: ORP.4.A24.3 + description: "Bei der Nutzung von Passw\xF6rtern SOLLTEN diese in zwei Teile\ + \ zerlegt werden und jede der zwei Personen enth\xE4lt einen Teil." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp + ref_id: ORP.5 + name: Compliance Management (Anforderungsmanagement) + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5 + ref_id: ORP.5.A1 + name: Identifikation der Rahmenbedingungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a1 + ref_id: ORP.5.A1.1 + description: "Alle gesetzlichen, vertraglichen und sonstigen Vorgaben mit Auswirkungen\ + \ auf das Informationssicherheitsmanagement M\xDCSSEN identifiziert und dokumentiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a1 + ref_id: ORP.5.A1.2 + description: "Die f\xFCr die einzelnen Bereiche der Institution relevanten gesetzlichen,\ + \ vertraglichen und sonstigen Vorgaben SOLLTEN in einer strukturierten \xDC\ + bersicht herausgearbeitet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a1 + ref_id: ORP.5.A1.3 + description: Die Dokumentation MUSS auf dem aktuellen Stand gehalten werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5 + ref_id: ORP.5.A2 + name: Beachtung der Rahmenbedingungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a2 + ref_id: ORP.5.A2.1 + description: "Die als sicherheitsrelevant identifizierten Anforderungen M\xDC\ + SSEN bei der Planung und Konzeption von Gesch\xE4ftsprozessen, Anwendungen\ + \ und IT-Systemen oder bei der Beschaffung neuer Komponenten einflie\xDFen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a2 + ref_id: ORP.5.A2.2 + description: "F\xFChrungskr\xE4fte, die eine rechtliche Verantwortung f\xFC\ + r die Institution tragen, M\xDCSSEN f\xFCr die Einhaltung der gesetzlichen,\ + \ vertraglichen und sonstigen Vorgaben sorgen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a2 + ref_id: ORP.5.A2.3 + description: "Die Verantwortlichkeiten und Zust\xE4ndigkeiten f\xFCr die Einhaltung\ + \ dieser Vorgaben M\xDCSSEN festgelegt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a2 + ref_id: ORP.5.A2.4 + description: "Es M\xDCSSEN geeignete Ma\xDFnahmen identifiziert und umgesetzt\ + \ werden, um Verst\xF6\xDFe gegen relevante Anforderungen zu vermeiden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a2 + ref_id: ORP.5.A2.5 + description: "Wenn solche Verst\xF6\xDFe erkannt werden, M\xDCSSEN sachgerechte\ + \ Korrekturma\xDFnahmen ergriffen werden, um die Abweichungen zu beheben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5 + ref_id: ORP.5.A4 + name: Konzeption und Organisation des Compliance Managements + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a4 + ref_id: ORP.5.A4.1 + description: In der Institution SOLLTE ein Prozess aufgebaut werden, um alle + relevanten gesetzlichen, vertraglichen und sonstigen Vorgaben mit Auswirkungen + auf das Informationssicherheitsmanagement zu identifizieren. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a4 + ref_id: ORP.5.A4.2 + description: "Es SOLLTEN geeignete Prozesse und Organisationsstrukturen aufgebaut\ + \ werden, um basierend auf der Identifikation und Beachtung der rechtlichen\ + \ Rahmenbedingungen, den \xDCberblick \xFCber die verschiedenen rechtlichen\ + \ Anforderungen an die einzelnen Bereiche der Institution zu gew\xE4hrleisten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a4 + ref_id: ORP.5.A4.3 + description: "Daf\xFCr SOLLTEN Zust\xE4ndige f\xFCr das Compliance Management\ + \ festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a4 + ref_id: ORP.5.A4.4 + description: "Compliance-Beauftragte und Informationssicherheitsbeauftragte\ + \ SOLLTEN sich regelm\xE4\xDFig austauschen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a4 + ref_id: ORP.5.A4.5 + description: "Sie SOLLTEN gemeinsam Sicherheitsanforderungen ins Compliance\ + \ Management integrieren, sicherheitsrelevante Anforderungen in Sicherheitsma\xDF\ + nahmen \xFCberf\xFChren und deren Umsetzung kontrollieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5 + ref_id: ORP.5.A5 + name: Ausnahmegenehmigungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a5 + ref_id: ORP.5.A5.1 + description: "Ist es in Einzelf\xE4llen erforderlich, von getroffenen Regelungen\ + \ abzuweichen, SOLLTE die Ausnahme begr\xFCndet und durch eine autorisierte\ + \ Stelle nach einer Risikoabsch\xE4tzung genehmigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a5 + ref_id: ORP.5.A5.2 + description: "Es SOLLTE ein Genehmigungsverfahren f\xFCr Ausnahmegenehmigungen\ + \ geben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a5 + ref_id: ORP.5.A5.3 + description: "Es SOLLTE eine \xDCbersicht \xFCber alle erteilten Ausnahmegenehmigungen\ + \ erstellt und gepflegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a5 + ref_id: ORP.5.A5.4 + description: "Ein entsprechendes Verfahren f\xFCr die Dokumentation und ein\ + \ \xDCberpr\xFCfungsprozess SOLLTE etabliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a5.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a5 + ref_id: ORP.5.A5.5 + description: Alle Ausnahmegenehmigungen SOLLTEN befristet sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5 + ref_id: ORP.5.A8 + name: "Regelm\xE4\xDFige \xDCberpr\xFCfungen des Compliance Managements" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a8 + ref_id: ORP.5.A8.1 + description: "Es SOLLTE ein Verfahren etabliert sein, wie das Compliance Management\ + \ und die sich daraus ergebenden Anforderungen und Ma\xDFnahmen regelm\xE4\ + \xDFig auf ihre Effizienz und Effektivit\xE4t \xFCberpr\xFCft werden (siehe\ + \ auch DER.3.1 Audits und Revisionen)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:orp.5.a8 + ref_id: ORP.5.A8.2 + description: "Es SOLLTE regelm\xE4\xDFig gepr\xFCft werden, ob die Organisationsstruktur\ + \ und die Prozesse des Compliance Managements angemessen sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys + assessable: false + depth: 1 + ref_id: SYS + name: IT-Systeme + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys + ref_id: SYS.1.1 + name: Allgemeiner Server + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 + ref_id: SYS.1.1.A1 + name: Zugriffsschutz und Nutzung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a1 + ref_id: SYS.1.1.A1.1 + description: "Physische Server M\xDCSSEN an Orten betrieben werden, zu denen\ + \ nur berechtigte Personen Zutritt haben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a1 + ref_id: SYS.1.1.A1.2 + description: "Physische Server M\xDCSSEN daher in Rechenzentren, Serverr\xE4\ + umen oder abschlie\xDFbaren Serverschr\xE4nken aufgestellt beziehungsweise\ + \ eingebaut werden (siehe hierzu die entsprechenden Bausteine der Schicht\ + \ INF Infrastruktur)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a1 + ref_id: SYS.1.1.A1.3 + description: Bei virtualisierten Servern MUSS der Zugriff auf die Ressourcen + der Instanz und deren Konfiguration ebenfalls auf die berechtigten Personen + begrenzt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a1 + ref_id: SYS.1.1.A1.4 + description: "Server D\xDCRFEN NICHT als Arbeitsplatzrechner genutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a1 + ref_id: SYS.1.1.A1.5 + description: "Server D\xDCRFEN NICHT zur Erledigung von Aufgaben und T\xE4tigkeiten\ + \ verwendet werden, die grunds\xE4tzlich auf einem Client-System aus- und\ + \ durchgef\xFChrt werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a1 + ref_id: SYS.1.1.A1.6 + description: "Insbesondere D\xDCRFEN vorhandene Anwendungen, wie Webbrowser,\ + \ auf dem Server NICHT f\xFCr das Abrufen von Informationen aus dem Internet\ + \ oder das Herunterladen von Software, Treibern und Updates verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a1.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a1 + ref_id: SYS.1.1.A1.7 + description: "Als Arbeitsplatz genutzte IT-Systeme D\xDCRFEN NICHT als Server\ + \ genutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 + ref_id: SYS.1.1.A2 + name: Authentisierung an Servern + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a2 + ref_id: SYS.1.1.A2.1 + description: "F\xFCr die Anmeldung von Benutzenden und Diensten am Server M\xDC\ + SSEN Authentisierungsverfahren eingesetzt werden, die dem Schutzbedarf der\ + \ Server angemessen sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a2 + ref_id: SYS.1.1.A2.2 + description: "Dies SOLLTE in besonderem Ma\xDFe f\xFCr administrative Zug\xE4\ + nge ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a2 + ref_id: SYS.1.1.A2.3 + description: "Soweit m\xF6glich, SOLLTE dabei auf zentrale, netzbasierte Authentisierungsdienste\ + \ zur\xFCckgegriffen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 + ref_id: SYS.1.1.A5 + name: Schutz von Schnittstellen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a5 + ref_id: SYS.1.1.A5.1 + description: "Es MUSS gew\xE4hrleistet werden, dass nur daf\xFCr vorgesehene\ + \ Wechselspeicher und sonstige Ger\xE4te an die Server angeschlossen werden\ + \ k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a5 + ref_id: SYS.1.1.A5.2 + description: "Alle Schnittstellen, die nicht verwendet werden, M\xDCSSEN deaktiviert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 + ref_id: SYS.1.1.A6 + name: "Deaktivierung nicht ben\xF6tigter Dienste" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a6 + ref_id: SYS.1.1.A6.1 + description: "Alle nicht ben\xF6tigten Serverrollen, Features und Funktionen,\ + \ sonstige Software und Dienste M\xDCSSEN deaktiviert oder deinstalliert werden,\ + \ vor allem Netzdienste." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a6 + ref_id: SYS.1.1.A6.2 + description: "Auch alle nicht ben\xF6tigten Funktionen in der Firmware M\xDC\ + SSEN deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a6 + ref_id: SYS.1.1.A6.3 + description: "Die Empfehlungen des Betriebssystemherstellers SOLLTEN hierbei\ + \ als Orientierung ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a6 + ref_id: SYS.1.1.A6.4 + description: "Auf Servern SOLLTE der Speicherplatz f\xFCr die einzelnen Benutzenden,\ + \ aber auch f\xFCr Anwendungen, geeignet beschr\xE4nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a6 + ref_id: SYS.1.1.A6.5 + description: "Die getroffenen Entscheidungen SOLLTEN so dokumentiert werden,\ + \ dass nachvollzogen werden kann, welche Konfiguration und Softwareausstattung\ + \ f\xFCr die Server gew\xE4hlt wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 + ref_id: SYS.1.1.A9 + name: Einsatz von Virenschutz-Programmen auf Servern + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a9 + ref_id: SYS.1.1.A9.1 + description: "Abh\xE4ngig vom installierten Betriebssystem, den bereitgestellten\ + \ Diensten und von anderen vorhandenen Schutzmechanismen des Servers MUSS\ + \ gepr\xFCft werden, ob Viren-Schutzprogramme eingesetzt werden sollen und\ + \ k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a9 + ref_id: SYS.1.1.A9.2 + description: "Soweit vorhanden, M\xDCSSEN konkrete Aussagen, ob ein Virenschutz\ + \ notwendig ist, aus den betreffenden Betriebssystem-Bausteinen des IT-Grundschutz-Kompendiums\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 + ref_id: SYS.1.1.A10 + name: Protokollierung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a10 + ref_id: SYS.1.1.A10.1 + description: "Generell M\xDCSSEN alle sicherheitsrelevanten Systemereignisse\ + \ protokolliert werden, dazu geh\xF6ren mindestens:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a10 + ref_id: SYS.1.1.A10.2 + description: "\u2022 Systemstarts und Reboots," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a10 + ref_id: SYS.1.1.A10.3 + description: "\u2022 erfolgreiche und erfolglose Anmeldungen am IT-System (Betriebssystem\ + \ und Anwendungssoftware)," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a10 + ref_id: SYS.1.1.A10.4 + description: "\u2022 fehlgeschlagene Berechtigungspr\xFCfungen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a10.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a10 + ref_id: SYS.1.1.A10.5 + description: "\u2022 blockierte Datenstr\xF6me (Verst\xF6\xDFe gegen ACLs oder\ + \ Firewallregeln)," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a10.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a10 + ref_id: SYS.1.1.A10.6 + description: "\u2022 Einrichtung oder \xC4nderungen von Benutzenden, Gruppen\ + \ und Berechtigungen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a10.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a10 + ref_id: SYS.1.1.A10.7 + description: "\u2022 sicherheitsrelevante Fehlermeldungen (z. B. Hardwaredefekte,\ + \ \xDCberschreitung von Kapazit\xE4tsgrenzen) sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a10.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a10 + ref_id: SYS.1.1.A10.8 + description: "\u2022 Warnmeldungen von Sicherheitssystemen (z. B. Virenschutz)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 + ref_id: SYS.1.1.A11 + name: "Festlegung einer Sicherheitsrichtlinie f\xFCr Server" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a11 + ref_id: SYS.1.1.A11.1 + description: Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution + SOLLTEN die Anforderungen an Server in einer separaten Sicherheitsrichtlinie + konkretisiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a11 + ref_id: SYS.1.1.A11.2 + description: "Diese Richtlinie SOLLTE allen Administrierenden und anderen Personen,\ + \ die an der Beschaffung und dem Betrieb der Server beteiligt sind, bekannt\ + \ und Grundlage f\xFCr deren Arbeit sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a11 + ref_id: SYS.1.1.A11.3 + description: "Die Umsetzung der in der Richtlinie geforderten Inhalte SOLLTE\ + \ regelm\xE4\xDFig \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a11.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a11 + ref_id: SYS.1.1.A11.4 + description: Die Ergebnisse SOLLTEN sinnvoll dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 + ref_id: SYS.1.1.A12 + name: Planung des Server-Einsatzes + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12 + ref_id: SYS.1.1.A12.1 + description: Jedes Server-System SOLLTE geeignet geplant werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12 + ref_id: SYS.1.1.A12.2 + description: "Dabei SOLLTEN mindestens folgende Punkte ber\xFCcksichtigt werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12 + ref_id: SYS.1.1.A12.3 + description: "\u2022 Auswahl der Plattform (Hardware oder virtualisierte Ressourcen),\ + \ des Betriebssystems und der Anwendungssoftware," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12 + ref_id: SYS.1.1.A12.4 + description: "\u2022 Dimensionierung der Hardware (Leistung, Speicher, Bandbreite\ + \ etc.)," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12 + ref_id: SYS.1.1.A12.5 + description: "\u2022 Art und Anzahl der Kommunikationsschnittstellen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12 + ref_id: SYS.1.1.A12.6 + description: "\u2022 Leistungsaufnahme, W\xE4rmelast, Platzbedarf und Bauform," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12 + ref_id: SYS.1.1.A12.7 + description: "\u2022 administrative Zug\xE4nge (siehe SYS.1.1.A5 Schutz von\ + \ Schnittstellen)," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12 + ref_id: SYS.1.1.A12.8 + description: "\u2022 Zugriffe von Benutzenden," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12 + ref_id: SYS.1.1.A12.9 + description: "\u2022 Protokollierung (siehe SYS.1.1.A10 Protokollierung)," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12 + ref_id: SYS.1.1.A12.10 + description: "\u2022 Aktualisierung von Betriebssystem und Anwendungen sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12 + ref_id: SYS.1.1.A12.11 + description: "\u2022 Einbindung ins System- und Netzmanagement, in die Datensicherung\ + \ und die Schutzsysteme (Virenschutz, IDS etc.)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a12 + ref_id: SYS.1.1.A12.12 + description: "Alle Entscheidungen, die in der Planungsphase getroffen wurden,\ + \ SOLLTEN so dokumentiert werden, dass sie zu einem sp\xE4teren Zeitpunkt\ + \ nachvollzogen werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 + ref_id: SYS.1.1.A13 + name: Beschaffung von Servern + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a13 + ref_id: SYS.1.1.A13.1 + description: "Bevor ein oder mehrere Server beschafft werden, SOLLTE eine Anforderungsliste\ + \ erstellt werden, anhand derer die am Markt erh\xE4ltlichen Produkte bewertet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 + ref_id: SYS.1.1.A15 + name: Unterbrechungsfreie und stabile Stromversorgung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a15 + ref_id: SYS.1.1.A15.1 + description: Jeder Server SOLLTE an eine unterbrechungsfreie Stromversorgung + (USV) angeschlossen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 + ref_id: SYS.1.1.A16 + name: Sichere Installation und Grundkonfiguration von Servern + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a16 + ref_id: SYS.1.1.A16.1 + description: "Der vollst\xE4ndige Installations- und Konfigurationsvorgang SOLLTE\ + \ soweit wie m\xF6glich innerhalb einer gesonderten und von Produktivsystemen\ + \ abgetrennten Installationsumgebung vorgenommen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a16 + ref_id: SYS.1.1.A16.2 + description: Die Konfiguration des Betriebssystems SOLLTE vor produktiver Inbetriebnahme + des Servers bereits vorgenommen sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a16 + ref_id: SYS.1.1.A16.3 + description: "Mehrere wesentliche Funktionen und Rollen SOLLTEN NICHT durch\ + \ einen einzigen Server erf\xFCllt, sondern geeignet aufgeteilt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a16.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a16 + ref_id: SYS.1.1.A16.4 + description: "Alle sicherheitsrelevanten Einstellungen der aktivierten Dienste\ + \ und Funktionen (vgl. SYS.1.1.A6 Deaktivierung nicht ben\xF6tigter Dienste)\ + \ SOLLTEN entsprechend den Vorgaben der Sicherheitsrichtlinie f\xFCr Server\ + \ (siehe SYS.1.1.A11 Festlegung einer Sicherheitsrichtlinie f\xFCr Server)\ + \ konfiguriert, getestet und regelm\xE4\xDFig inhaltlich \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a16.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a16 + ref_id: SYS.1.1.A16.5 + description: "Dabei SOLLTE der Server unter Ber\xFCcksichtigung der Empfehlungen\ + \ des Betriebssystemherstellers und des voreingestellten Standardverhaltens\ + \ konfiguriert werden, sofern dies nicht anderen Anforderungen aus dem IT-Grundschutz\ + \ oder der Organisation widerspricht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a16.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a16 + ref_id: SYS.1.1.A16.6 + description: "Die Entscheidungen SOLLTEN dokumentiert und begr\xFCndet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a16.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a16 + ref_id: SYS.1.1.A16.7 + description: "Konfigurationsoptionen SOLLTEN in jedem Fall gesetzt werden, auch\ + \ dann, wenn das voreingestellte Standardverhalten dadurch nicht ver\xE4ndert\ + \ wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a16.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a16 + ref_id: SYS.1.1.A16.8 + description: "Sofern der Server eine Verbindung in das Internet ben\xF6tigt\ + \ oder aus dem Internet erreichbar sein muss, SOLLTE er erst mit dem Internet\ + \ verbunden werden, nachdem die Installation und die Konfiguration abgeschlossen\ + \ sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 + ref_id: SYS.1.1.A19 + name: Einrichtung lokaler Paketfilter + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a19 + ref_id: SYS.1.1.A19.1 + description: "Vorhandene lokale Paketfilter SOLLTEN \xFCber ein Regelwerk so\ + \ ausgestaltet werden, dass die eingehende und ausgehende Kommunikation auf\ + \ die erforderlichen Kommunikationspartner, Kommunikationsprotokolle sowie\ + \ Ports und Schnittstellen beschr\xE4nkt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a19 + ref_id: SYS.1.1.A19.2 + description: "Die Identit\xE4t von Remote-Systemen und die Integrit\xE4t der\ + \ Verbindungen mit diesen SOLLTE kryptografisch abgesichert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 + ref_id: SYS.1.1.A21 + name: "Betriebsdokumentation f\xFCr Server" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a21 + ref_id: SYS.1.1.A21.1 + description: "Betriebliche Aufgaben, die an einem Server durchgef\xFChrt werden,\ + \ SOLLTEN nachvollziehbar dokumentiert werden (Wer?, Wann?, Was?)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a21.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a21 + ref_id: SYS.1.1.A21.2 + description: "Aus der Dokumentation SOLLTEN insbesondere Konfigurations\xE4\ + nderungen nachvollziehbar sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a21.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a21 + ref_id: SYS.1.1.A21.3 + description: Sicherheitsrelevante Aufgaben, z. B. wer befugt ist, neue Festplatten + einzubauen, SOLLTEN dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a21.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a21 + ref_id: SYS.1.1.A21.4 + description: Alles, was automatisch dokumentiert werden kann, SOLLTE auch automatisch + dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a21.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a21 + ref_id: SYS.1.1.A21.5 + description: "Die Dokumentation SOLLTE gegen unbefugten Zugriff und Verlust\ + \ gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 + ref_id: SYS.1.1.A22 + name: Einbindung in die Notfallplanung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a22 + ref_id: SYS.1.1.A22.1 + description: "Der Server SOLLTE im Notfallmanagementprozess ber\xFCcksichtigt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a22.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a22 + ref_id: SYS.1.1.A22.2 + description: "Dazu SOLLTEN die Notfallanforderungen an den Server ermittelt\ + \ und geeignete Notfallma\xDFnahmen umgesetzt werden, z. B. indem Wiederanlaufpl\xE4\ + ne erstellt oder Passw\xF6rter und kryptografische Schl\xFCssel sicher hinterlegt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a23 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 + ref_id: SYS.1.1.A23 + name: "System\xFCberwachung und Monitoring von Servern" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a23.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a23 + ref_id: SYS.1.1.A23.1 + description: "Das Server-System SOLLTE in ein geeignetes System\xFCberwachungs-\ + \ oder Monitoringkonzept eingebunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a23.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a23 + ref_id: SYS.1.1.A23.2 + description: "Der Systemzustand sowie die Funktionsf\xE4higkeit des Servers\ + \ und der darauf betriebenen Dienste SOLLTEN laufend \xFCberwacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a23.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a23 + ref_id: SYS.1.1.A23.3 + description: "Fehlerzust\xE4nde sowie die \xDCberschreitung definierter Grenzwerte\ + \ SOLLTEN an das Betriebspersonal gemeldet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a24 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 + ref_id: SYS.1.1.A24 + name: "Sicherheitspr\xFCfungen f\xFCr Server" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a24.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a24 + ref_id: SYS.1.1.A24.1 + description: "Server SOLLTEN regelm\xE4\xDFigen Sicherheitstests unterzogen\ + \ werden, die \xFCberpr\xFCfen, ob alle Sicherheitsvorgaben eingehalten werden\ + \ und gegebenenfalls vorhandene Schwachstellen identifizieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a24.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a24 + ref_id: SYS.1.1.A24.2 + description: "Diese Sicherheitspr\xFCfungen SOLLTEN insbesondere auf Servern\ + \ mit externen Schnittstellen durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a24.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a24 + ref_id: SYS.1.1.A24.3 + description: "Um mittelbare Angriffe \xFCber infizierte IT-Systeme im eigenen\ + \ Netz zu vermeiden, SOLLTEN jedoch auch interne Server in festgelegten Zyklen\ + \ entsprechend \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a24.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a24 + ref_id: SYS.1.1.A24.4 + description: "Es SOLLTE gepr\xFCft werden, ob die Sicherheitspr\xFCfungen automatisiert,\ + \ z. B. mittels geeigneter Skripte, realisiert werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a25 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 + ref_id: SYS.1.1.A25 + name: "Geregelte Au\xDFerbetriebnahme eines Servers" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a25.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a25 + ref_id: SYS.1.1.A25.1 + description: "Bei der Au\xDFerbetriebnahme eines Servers SOLLTE sichergestellt\ + \ werden, dass keine wichtigen Daten, die eventuell auf den verbauten Datentr\xE4\ + gern gespeichert sind, verloren gehen und dass keine schutzbed\xFCrftigen\ + \ Daten zur\xFCckbleiben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a25.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a25 + ref_id: SYS.1.1.A25.2 + description: "Es SOLLTE einen \xDCberblick dar\xFCber geben, welche Daten wo\ + \ auf dem Server gespeichert sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a25.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a25 + ref_id: SYS.1.1.A25.3 + description: "Es SOLLTE rechtzeitig sichergestellt werden, dass vom Server angebotene\ + \ Dienste durch einen anderen Server \xFCbernommen werden, wenn dies erforderlich\ + \ ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a25.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a25 + ref_id: SYS.1.1.A25.4 + description: "Es SOLLTE eine Checkliste erstellt werden, die bei der Au\xDF\ + erbetriebnahme eines Servers abgearbeitet werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a25.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a25 + ref_id: SYS.1.1.A25.5 + description: "Diese Checkliste SOLLTE mindestens Aspekte zu Datensicherung,\ + \ Migration von Diensten und dem anschlie\xDFenden sicheren L\xF6schen aller\ + \ Daten umfassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a27 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 + ref_id: SYS.1.1.A27 + name: Hostbasierte Angriffserkennung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a27.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a27 + ref_id: SYS.1.1.A27.1 + description: "Hostbasierte Angriffserkennungssysteme (Host-based Intrusion Detection\ + \ Systems, IDS und Intrusion Prevention Systems, IPS) SOLLTEN eingesetzt werden,\ + \ um das Systemverhalten auf Anomalien und Missbrauch hin zu \xFCberwachen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a27.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a27 + ref_id: SYS.1.1.A27.2 + description: "Die eingesetzten IDS/IPS-Mechanismen SOLLTEN geeignet ausgew\xE4\ + hlt, konfiguriert und ausf\xFChrlich getestet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a27.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a27 + ref_id: SYS.1.1.A27.3 + description: Bei einer Angriffserkennung SOLLTE das Betriebspersonal in geeigneter + Weise alarmiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a27.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a27 + ref_id: SYS.1.1.A27.4 + description: "\xDCber Betriebssystem-Mechanismen oder geeignete Zusatzprodukte\ + \ SOLLTEN Ver\xE4nderungen an Systemdateien und Konfigurationseinstellungen\ + \ \xFCberpr\xFCft, eingeschr\xE4nkt und gemeldet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a28 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 + ref_id: SYS.1.1.A28 + name: "Steigerung der Verf\xFCgbarkeit durch Redundanz" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a28.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a28 + ref_id: SYS.1.1.A28.1 + description: "Server mit hohen Verf\xFCgbarkeitsanforderungen SOLLTEN gegen\ + \ Ausf\xE4lle in geeigneter Weise gesch\xFCtzt sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a28.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a28 + ref_id: SYS.1.1.A28.2 + description: "Hierzu SOLLTEN mindestens geeignete Redundanzen verf\xFCgbar sein\ + \ sowie Wartungsvertr\xE4ge mit den Lieferanten abgeschlossen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a28.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a28 + ref_id: SYS.1.1.A28.3 + description: "Es SOLLTE gepr\xFCft werden, ob bei sehr hohen Anforderungen Hochverf\xFC\ + gbarkeitsarchitekturen mit automatischem Failover, gegebenenfalls \xFCber\ + \ verschiedene Standorte hinweg, erforderlich sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a30 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 + ref_id: SYS.1.1.A30 + name: Ein Dienst pro Server + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a30.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a30 + ref_id: SYS.1.1.A30.1 + description: "Abh\xE4ngig von der Bedrohungslage und dem Schutzbedarf der Dienste\ + \ SOLLTE auf jedem Server jeweils nur ein Dienst betrieben werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a31 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 + ref_id: SYS.1.1.A31 + name: "Einsatz von Ausf\xFChrungskontrolle" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a31.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a31 + ref_id: SYS.1.1.A31.1 + description: "Es SOLLTE \xFCber eine Ausf\xFChrungskontrolle sichergestellt\ + \ werden, dass nur explizit erlaubte Programme und Skripte ausgef\xFChrt werden\ + \ k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a31.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a31 + ref_id: SYS.1.1.A31.2 + description: "Die Regeln SOLLTEN so eng wie m\xF6glich gefasst werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a31.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a31 + ref_id: SYS.1.1.A31.3 + description: "Falls Pfade und Hashes nicht explizit angegeben werden k\xF6nnen,\ + \ SOLLTEN alternativ auch zertifikatsbasierte oder Pfad-Regeln genutzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a33 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 + ref_id: SYS.1.1.A33 + name: Aktive Verwaltung der Wurzelzertifikate + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a33.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a33 + ref_id: SYS.1.1.A33.1 + description: "Im Zuge der Beschaffung und Installation des Servers SOLLTE dokumentiert\ + \ werden, welche Wurzelzertifikate f\xFCr den Betrieb des Servers notwendig\ + \ sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a33.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a33 + ref_id: SYS.1.1.A33.2 + description: "Auf dem Server SOLLTEN lediglich die f\xFCr den Betrieb notwendigen\ + \ und vorab dokumentierten Wurzelzertifikate enthalten sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a33.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a33 + ref_id: SYS.1.1.A33.3 + description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die vorhandenen\ + \ Wurzelzertifikate noch den Vorgaben der Institution entsprechen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a33.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a33 + ref_id: SYS.1.1.A33.4 + description: "Es SOLLTEN alle auf dem IT-System vorhandenen Zertifikatsspeicher\ + \ in die Pr\xFCfung einbezogen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a34 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 + ref_id: SYS.1.1.A34 + name: "Festplattenverschl\xFCsselung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a34.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a34 + ref_id: SYS.1.1.A34.1 + description: "Bei erh\xF6htem Schutzbedarf SOLLTEN die Datentr\xE4ger des Servers\ + \ mit einem als sicher geltenden Produkt oder Verfahren verschl\xFCsselt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a34.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a34 + ref_id: SYS.1.1.A34.2 + description: "Dies SOLLTE auch f\xFCr virtuelle Maschinen mit produktiven Daten\ + \ gelten." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a34.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a34 + ref_id: SYS.1.1.A34.3 + description: "Es SOLLTE nicht nur ein TPM allein als Schl\xFCsselschutz dienen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a34.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a34 + ref_id: SYS.1.1.A34.4 + description: Das Wiederherstellungspasswort SOLLTE an einem geeigneten sicheren + Ort gespeichert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a34.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a34 + ref_id: SYS.1.1.A34.5 + description: Bei sehr hohen Anforderungen z. B. an die Vertraulichkeit SOLLTE + eine Full Volume oder Full Disk Encryption erfolgen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a35 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 + ref_id: SYS.1.1.A35 + name: Erstellung und Pflege eines Betriebshandbuchs + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a35.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a35 + ref_id: SYS.1.1.A35.1 + description: Es SOLLTE ein Betriebshandbuch erstellt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a35.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a35 + ref_id: SYS.1.1.A35.2 + description: Darin SOLLTEN alle erforderlichen Regelungen, Anforderungen und + Einstellungen dokumentiert werden, die erforderlich sind, um Server zu betreiben. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a35.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a35 + ref_id: SYS.1.1.A35.3 + description: "F\xFCr jede Art von Server SOLLTE es ein spezifisches Betriebshandbuch\ + \ geben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a35.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a35 + ref_id: SYS.1.1.A35.4 + description: "Das Betriebshandbuch SOLLTE regelm\xE4\xDFig aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a35.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a35 + ref_id: SYS.1.1.A35.5 + description: "Das Betriebshandbuch SOLLTE vor unberechtigtem Zugriff gesch\xFC\ + tzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a35.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a35 + ref_id: SYS.1.1.A35.6 + description: "Das Betriebshandbuch SOLLTE in Notf\xE4llen zur Verf\xFCgung stehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a36 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 + ref_id: SYS.1.1.A36 + name: Absicherung des Bootvorgangs + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a36.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a36 + ref_id: SYS.1.1.A36.1 + description: "Bootloader und Betriebssystem-Kern SOLLTEN durch selbstkontrolliertes\ + \ Schl\xFCsselmaterial signiert beim Systemstart in einer vertrauensw\xFC\ + rdigen Kette gepr\xFCft werden (Secure Boot)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a36.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a36 + ref_id: SYS.1.1.A36.2 + description: "Nicht ben\xF6tigtes Schl\xFCsselmaterial SOLLTE entfernt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a37 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 + ref_id: SYS.1.1.A37 + name: Kapselung von sicherheitskritischen Anwendungen und Betriebssystemkomponenten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a37.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a37 + ref_id: SYS.1.1.A37.1 + description: "Um sowohl den unberechtigten Zugriff auf das Betriebssystem oder\ + \ andere Anwendungen bei Angriffen als auch den Zugriff vom Betriebssystem\ + \ auf besonders sch\xFCtzenswerte Dateien zu verhindern, SOLLTEN Anwendungen\ + \ und Betriebssystemkomponenten (wie beispielsweise Authentisierung oder Zertifikats\xFC\ + berpr\xFCfung) ihrem Schutzbedarf entsprechend besonders gekapselt oder anderen\ + \ Anwendungen und Betriebssystemkomponenten gegen\xFCber isoliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a37.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a37 + ref_id: SYS.1.1.A37.2 + description: "Dabei SOLLTEN insbesondere sicherheitskritische Anwendungen ber\xFC\ + cksichtigt werden, die mit Daten aus unsicheren Quellen arbeiten (z. B. Webbrowser\ + \ und B\xFCrokommunikations-Anwendungen)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a38 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 + ref_id: SYS.1.1.A38 + name: "H\xE4rtung des Host-Systems mittels Read-Only-Dateisystem" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a38.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a38 + ref_id: SYS.1.1.A38.1 + description: "Die Integrit\xE4t des Host-Systems SOLLTE durch ein Read-Only-Dateisystem\ + \ sichergestellt werden (Immutable OS)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a39 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1 + ref_id: SYS.1.1.A39 + name: Zentrale Verwaltung der Sicherheitsrichtlinien von Servern + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a39.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a39 + ref_id: SYS.1.1.A39.1 + description: Alle Einstellungen des Servers SOLLTEN durch Nutzung eines zentralen + Managementsystems (siehe auch OPS.1.1.7 Systemmanagement) verwaltet und entsprechend + dem ermittelten Schutzbedarf sowie auf den internen Richtlinien basierend + konfiguriert sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a39.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.1.a39 + ref_id: SYS.1.1.A39.2 + description: "Technisch nicht umsetzbare Konfigurationsparameter SOLLTEN dokumentiert,\ + \ begr\xFCndet und mit dem Sicherheitsmanagement abgestimmt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys + ref_id: SYS.1.2.2 + name: Windows Server 2012 + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2 + ref_id: SYS.1.2.2.A1 + name: Planung von Windows Server 2012 + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a1 + ref_id: SYS.1.2.2.A1.1 + description: "Der Einsatz von Windows Server 2012 MUSS vor der Installation\ + \ sorgf\xE4ltig geplant werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a1 + ref_id: SYS.1.2.2.A1.2 + description: "Die Anforderungen an die Hardware M\xDCSSEN vor der Beschaffung\ + \ gepr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a1 + ref_id: SYS.1.2.2.A1.3 + description: "Es MUSS eine begr\xFCndete und dokumentierte Entscheidung f\xFC\ + r eine geeignete Edition des Windows Server 2012 getroffen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a1 + ref_id: SYS.1.2.2.A1.4 + description: "Der Einsatzzweck des Servers sowie die Einbindung ins Active Directory\ + \ M\xDCSSEN dabei spezifiziert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a1 + ref_id: SYS.1.2.2.A1.5 + description: "Die Nutzung von ins Betriebssystem integrierten Cloud-Diensten\ + \ MUSS grunds\xE4tzlich abgewogen und geplant werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a1 + ref_id: SYS.1.2.2.A1.6 + description: "Wenn nicht ben\xF6tigt, MUSS die Einrichtung von Microsoft-Konten\ + \ auf dem Server blockiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2 + ref_id: SYS.1.2.2.A2 + name: Sichere Installation von Windows Server 2012 + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a2 + ref_id: SYS.1.2.2.A2.1 + description: "Es D\xDCRFEN KEINE anderen als die ben\xF6tigten Serverrollen\ + \ und Features bzw. Funktionen installiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a2 + ref_id: SYS.1.2.2.A2.2 + description: Wenn es vom Funktionsumfang her ausreichend ist, MUSS die Server-Core-Variante + installiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a2 + ref_id: SYS.1.2.2.A2.3 + description: "Andernfalls MUSS begr\xFCndet werden, warum die Server-Core-Variante\ + \ nicht gen\xFCgt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a2 + ref_id: SYS.1.2.2.A2.4 + description: "Der Server MUSS bereits w\xE4hrend der Installation auf einen\ + \ aktuellen Patch-Stand gebracht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2 + ref_id: SYS.1.2.2.A3 + name: Sichere Administration von Windows Server 2012 + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a3 + ref_id: SYS.1.2.2.A3.1 + description: "Alle Administrierenden, die f\xFCr das Server-System zust\xE4\ + ndig sind, M\xDCSSEN in den sicherheitsrelevanten Aspekten der Administration\ + \ von Windows Server 2012 geschult sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a3 + ref_id: SYS.1.2.2.A3.2 + description: "Webbrowser auf dem Server D\xDCRFEN NICHT zum Surfen im Web verwendet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2 + ref_id: SYS.1.2.2.A4 + name: Sichere Konfiguration von Windows Server 2012 + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a4 + ref_id: SYS.1.2.2.A4.1 + description: "Mehrere wesentliche Funktionen bzw. Rollen SOLLTEN NICHT durch\ + \ einen einzigen Server erf\xFCllt, sondern geeignet aufgeteilt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a4 + ref_id: SYS.1.2.2.A4.2 + description: "Vor Inbetriebnahme SOLLTE das System grundlegend geh\xE4rtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a4 + ref_id: SYS.1.2.2.A4.3 + description: "Daf\xFCr SOLLTEN funktionsspezifische und institutionsweite Sicherheitsvorlagen\ + \ erstellt und gepflegt werden, die auf die Server ausgerollt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a4 + ref_id: SYS.1.2.2.A4.4 + description: Der Internet Explorer SOLLTE auf dem Server nur in der Enhanced + Security Configuration und im Enhanced Protected Mode genutzt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2 + ref_id: SYS.1.2.2.A5 + name: Schutz vor Schadsoftware auf Windows Server 2012 + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a5 + ref_id: SYS.1.2.2.A5.1 + description: "Au\xDFer bei IT-Systemen mit Windows Server 2012, die als Stand-alone-Ger\xE4\ + t ohne Netzanschluss und Wechselmedien betrieben werden, SOLLTE vor dem ersten\ + \ Verbinden mit dem Netz oder Wechselmedien ein Virenschutzprogramm installiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a5 + ref_id: SYS.1.2.2.A5.2 + description: "Im Konzept zum Schutz vor Schadsoftware SOLLTE vorgesehen werden,\ + \ dass regelm\xE4\xDFig alle Festplatten vollst\xE4ndig gescannt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a5 + ref_id: SYS.1.2.2.A5.3 + description: "Es SOLLTEN Alarme f\xFCr Virenfunde konfiguriert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2 + ref_id: SYS.1.2.2.A6 + name: Sichere Authentisierung und Autorisierung in Windows Server 2012 + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a6 + ref_id: SYS.1.2.2.A6.1 + description: "In Windows Server 2012 R2 SOLLTEN alle Konten von Benutzenden\ + \ Mitglied der Sicherheitsgruppe \u201EGesch\xFCtzte Nutzer\u201C sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a6 + ref_id: SYS.1.2.2.A6.2 + description: "Konten f\xFCr Dienste und Computer SOLLTEN NICHT Mitglied von\ + \ \u201EGesch\xFCtzte Nutzer\u201C sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a6 + ref_id: SYS.1.2.2.A6.3 + description: "Dienste-Konten in Windows Server 2012 SOLLTEN Mitglied der Gruppe\ + \ \u201EManaged Service Account\u201C sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a6 + ref_id: SYS.1.2.2.A6.4 + description: Der PPL-Schutz des Local Credential Store LSA SOLLTE aktiviert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a6 + ref_id: SYS.1.2.2.A6.5 + description: Der Einsatz dynamischer Zugriffsregeln auf Ressourcen SOLLTE bevorzugt + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2 + ref_id: SYS.1.2.2.A8 + name: "Schutz der Systemintegrit\xE4t" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a8 + ref_id: SYS.1.2.2.A8.1 + description: "AppLocker SOLLTE aktiviert und m\xF6glichst strikt konfiguriert\ + \ sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2 + ref_id: SYS.1.2.2.A11 + name: Angriffserkennung bei Windows Server 2012 + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a11 + ref_id: SYS.1.2.2.A11.1 + description: Sicherheitsrelevante Ereignisse in Windows Server 2012 SOLLTEN + an einem zentralen Punkt gesammelt und ausgewertet werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a11 + ref_id: SYS.1.2.2.A11.2 + description: "Verschl\xFCsselte Partitionen SOLLTEN nach einer definierten Anzahl\ + \ von Entschl\xFCsselungsversuchen gesperrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2 + ref_id: SYS.1.2.2.A12 + name: "Redundanz und Hochverf\xFCgbarkeit bei Windows Server 2012" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a12 + ref_id: SYS.1.2.2.A12.1 + description: "Es SOLLTE gepr\xFCft werden, welche Verf\xFCgbarkeitsanforderungen\ + \ durch Betriebssystemfunktionen wie Distributed File System (DFS), ReFS,\ + \ Failover Cluster und Network Load Balancing bzw. NIC-Teaming (LBFO) erf\xFC\ + llt oder unterst\xFCtzt werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a12 + ref_id: SYS.1.2.2.A12.2 + description: "F\xFCr Au\xDFenstellen SOLLTE BranchCache aktiviert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2 + ref_id: SYS.1.2.2.A14 + name: "Herunterfahren verschl\xFCsselter Server und virtueller Maschinen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a14 + ref_id: SYS.1.2.2.A14.1 + description: "Um verschl\xFCsselte Daten zu sch\xFCtzen, SOLLTEN nicht ben\xF6\ + tigte Server (inklusive virtuelle Maschinen) immer heruntergefahren werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a14 + ref_id: SYS.1.2.2.A14.2 + description: "Dies SOLLTE m\xF6glichst automatisiert erfolgen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.2.a14 + ref_id: SYS.1.2.2.A14.3 + description: "Die Entschl\xFCsselung der Daten SOLLTE einen interaktiven Schritt\ + \ erfordern oder zumindest im Sicherheitsprotokoll festgehalten werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys + ref_id: SYS.1.2.3 + name: 'Windows Server ' + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3 + ref_id: SYS.1.2.3.A1 + name: Planung von Windows Server + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a1 + ref_id: SYS.1.2.3.A1.1 + description: "Es MUSS eine begr\xFCndete und dokumentierte Entscheidung f\xFC\ + r eine geeignete Edition von Windows Server getroffen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a1 + ref_id: SYS.1.2.3.A1.2 + description: "Der Einsatzzweck des Servers sowie die Einbindung ins Active Directory\ + \ M\xDCSSEN dabei spezifiziert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a1 + ref_id: SYS.1.2.3.A1.3 + description: "Die Nutzung von mitgelieferten Cloud-Diensten im Betriebssystem\ + \ MUSS grunds\xE4tzlich abgewogen und gr\xFCndlich geplant werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a1 + ref_id: SYS.1.2.3.A1.4 + description: "Wenn nicht ben\xF6tigt, MUSS die Einrichtung von Microsoft-Konten\ + \ auf dem Server blockiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3 + ref_id: SYS.1.2.3.A2 + name: Sichere Installation von Windows Server + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a2 + ref_id: SYS.1.2.3.A2.1 + description: Wenn vom Funktionsumfang her ausreichend, MUSS die Server-Core-Variante + installiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a2 + ref_id: SYS.1.2.3.A2.2 + description: "Andernfalls MUSS begr\xFCndet werden, warum die Server-Core-Variante\ + \ nicht gen\xFCgt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3 + ref_id: SYS.1.2.3.A3 + name: Telemetrie- und Nutzungsdaten unter Windows Server + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a3 + ref_id: SYS.1.2.3.A3.1 + description: "Um die \xDCbertragung von Diagnose- und Nutzungsdaten an Microsoft\ + \ stark zu reduzieren, MUSS das Telemetrie-Level 0 (Security) auf dem Windows\ + \ Server konfiguriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a3 + ref_id: SYS.1.2.3.A3.2 + description: "Wenn diese Einstellung nicht wirksam umgesetzt wird, dann MUSS\ + \ durch geeignete Ma\xDFnahmen, etwa auf Netzebene, sichergestellt werden,\ + \ dass die Daten nicht an den Hersteller \xFCbertragen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3 + ref_id: SYS.1.2.3.A4 + name: Schutz vor Ausnutzung von Schwachstellen in Anwendungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a4 + ref_id: SYS.1.2.3.A4.1 + description: "Ma\xDFnahmen zum Schutz vor Exploits SOLLTEN f\xFCr alle Programme\ + \ und Dienste aktiviert werden, die den Exploit-Schutz von Windows (vgl. Verweis\ + \ in Kapitel 4.1 Wissenswertes) unterst\xFCtzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3 + ref_id: SYS.1.2.3.A5 + name: Sichere Authentisierung und Autorisierung in Windows Server + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a5 + ref_id: SYS.1.2.3.A5.1 + description: "In Windows Server SOLLTEN alle Konten von Benutzenden Mitglied\ + \ der Sicherheitsgruppe \u201EProtected Users\u201C sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a5 + ref_id: SYS.1.2.3.A5.2 + description: "Konten f\xFCr Dienste und Computer SOLLTEN NICHT Mitglied von\ + \ \u201EProtected Users\u201C sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a5 + ref_id: SYS.1.2.3.A5.3 + description: "Dienste-Konten in Windows Server SOLLTEN Mitglied der Gruppe \u201E\ + Managed Service Account\u201C sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3 + ref_id: SYS.1.2.3.A6 + name: "Sicherheit beim Fernzugriff \xFCber RDP" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6 + ref_id: SYS.1.2.3.A6.1 + description: "Die Auswirkungen auf die Konfiguration der lokalen Firewall SOLLTEN\ + \ bei der Planung des Fernzugriffs ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6 + ref_id: SYS.1.2.3.A6.2 + description: "Die Gruppe der Berechtigten und IT-Systeme f\xFCr den Remote-Desktopzugriff\ + \ (RDP) SOLLTE durch die Zuweisung entsprechender Berechtigungen festgelegt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6 + ref_id: SYS.1.2.3.A6.3 + description: "Es SOLLTEN Mechanismen des Betriebssystems ber\xFCcksichtigt werden,\ + \ um die \xFCbertragenen Anmeldeinformationen zu sch\xFCtzen (z. B. Remote\ + \ Credential Guard oder RestrictedAdmin)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6 + ref_id: SYS.1.2.3.A6.4 + description: "In komplexen Infrastrukturen SOLLTE das RDP-Zielsystem nur durch\ + \ ein dazwischengeschaltetes RDP-Gateway erreicht werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6 + ref_id: SYS.1.2.3.A6.5 + description: "F\xFCr die Verwendung von RDP SOLLTE eine Pr\xFCfung und deren\ + \ Umsetzung sicherstellen, dass die nachfolgend aufgef\xFChrten Komfortfunktionen\ + \ im Einklang mit dem Schutzbedarf des Zielsystems stehen:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6 + ref_id: SYS.1.2.3.A6.6 + description: "\u2022 die Verwendung der Zwischenablage," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6 + ref_id: SYS.1.2.3.A6.7 + description: "\u2022 die Einbindung von Wechselmedien und Netzlaufwerken sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6 + ref_id: SYS.1.2.3.A6.8 + description: "\u2022 die Nutzung der Dateiablagen, von weiteren Ger\xE4ten und\ + \ Ressourcen, wie z. B. Smartcard-Leseger\xE4ten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6 + ref_id: SYS.1.2.3.A6.9 + description: Die eingesetzten kryptografischen Protokolle und Algorithmen SOLLTEN + den internen Vorgaben der Institution entsprechen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a6 + ref_id: SYS.1.2.3.A6.10 + description: "Sofern der Einsatz von Remote-Desktopzugriffen nicht vorgesehen\ + \ ist, SOLLTEN diese vollst\xE4ndig deaktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3 + ref_id: SYS.1.2.3.A7 + name: Verwendung der Windows PowerShell + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a7 + ref_id: SYS.1.2.3.A7.1 + description: "Die PowerShell-Ausf\xFChrung SOLLTE zentral protokolliert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a7 + ref_id: SYS.1.2.3.A7.2 + description: "Die erzeugten Protokolle SOLLTEN geeignet \xFCberwacht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a7 + ref_id: SYS.1.2.3.A7.3 + description: "Die Ausf\xFChrung von PowerShell-Skripten SOLLTE mit dem Befehl\ + \ Set-ExecutionPolicy AllSigned eingeschr\xE4nkt werden, um zu verhindern,\ + \ dass unsignierte Skripte (versehentlich) ausgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a7 + ref_id: SYS.1.2.3.A7.4 + description: "\xC4ltere Windows PowerShell-Versionen SOLLTEN deaktiviert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a7 + ref_id: SYS.1.2.3.A7.5 + description: "Der Einsatz des PowerShell Constrained Language Mode SOLLTE gepr\xFC\ + ft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a7.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a7 + ref_id: SYS.1.2.3.A7.6 + description: "Zur Einschr\xE4nkung der Windows PowerShell SOLLTE bei Windows\ + \ Server mithilfe von Just Enough Administration (JEA) eine rollenbasierte\ + \ Administration implementiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3 + ref_id: SYS.1.2.3.A8 + name: Nutzung des Virtual Secure Mode (VSM) + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.2.3.a8 + ref_id: SYS.1.2.3.A8.1 + description: "Bei der Nutzung des Virtual Secure Mode (VSM) SOLLTE ber\xFCcksichtigt\ + \ werden, dass forensische Untersuchungen, z. B. zur Sicherheitsvorfallbehandlung,\ + \ eingeschr\xE4nkt oder erschwert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys + ref_id: SYS.1.3 + name: Server unter Linux und Unix + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3 + ref_id: SYS.1.3.A2 + name: "Sorgf\xE4ltige Vergabe von IDs" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a2 + ref_id: SYS.1.3.A2.1 + description: Jeder Login-Name, jede User-ID (UID) und jede Gruppen-ID (GID) + DARF NUR einmal vorkommen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a2 + ref_id: SYS.1.3.A2.2 + description: Jedes Konto von Benutzenden MUSS Mitglied mindestens einer Gruppe + sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a2 + ref_id: SYS.1.3.A2.3 + description: Jede in der Datei /etc/passwd vorkommende GID MUSS in der Datei + /etc/group definiert sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a2 + ref_id: SYS.1.3.A2.4 + description: Jede Gruppe SOLLTE nur die Konten enthalten, die unbedingt notwendig + sind. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a2 + ref_id: SYS.1.3.A2.5 + description: "Bei vernetzten Systemen MUSS au\xDFerdem darauf geachtet werden,\ + \ dass die Vergabe von Benutzenden- und Gruppennamen, UID und GID im Systemverbund\ + \ konsistent erfolgt, wenn beim system\xFCbergreifenden Zugriff die M\xF6\ + glichkeit besteht, dass gleiche UIDs bzw. GIDs auf den Systemen unterschiedlichen\ + \ Benutzenden- bzw. Gruppennamen zugeordnet werden k\xF6nnten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3 + ref_id: SYS.1.3.A3 + name: Kein automatisches Einbinden von Wechsellaufwerken + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a3 + ref_id: SYS.1.3.A3.1 + description: "Wechseldatentr\xE4ger wie z. B. USB-Sticks oder CDs/DVDs D\xDC\ + RFEN NICHT automatisch eingebunden werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3 + ref_id: SYS.1.3.A4 + name: Schutz vor Ausnutzung von Schwachstellen in Anwendungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a4 + ref_id: SYS.1.3.A4.1 + description: Um die Ausnutzung von Schwachstellen in Anwendungen zu erschweren, + MUSS ASLR und DEP/NX im Kernel aktiviert und von den Anwendungen genutzt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a4 + ref_id: SYS.1.3.A4.2 + description: "Sicherheitsfunktionen des Kernels und der Standardbibliotheken,\ + \ wie z. B. Heap- und Stackschutz, D\xDCRFEN NICHT deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3 + ref_id: SYS.1.3.A5 + name: Sichere Installation von Software-Paketen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a5 + ref_id: SYS.1.3.A5.1 + description: "Wenn zu installierende Software aus dem Quellcode kompiliert werden\ + \ soll, DARF diese NUR unter einem unprivilegierten Konto entpackt, konfiguriert\ + \ und \xFCbersetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a5 + ref_id: SYS.1.3.A5.2 + description: "Anschlie\xDFend DARF die zu installierende Software NICHT unkontrolliert\ + \ in das Wurzeldateisystem des Betriebssystems installiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a5 + ref_id: SYS.1.3.A5.3 + description: "Wird die Software aus dem Quelltext \xFCbersetzt, SOLLTEN die\ + \ gew\xE4hlten Parameter geeignet dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a5 + ref_id: SYS.1.3.A5.4 + description: "Anhand dieser Dokumentation SOLLTE die Software jederzeit nachvollziehbar\ + \ und reproduzierbar kompiliert werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a5.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a5 + ref_id: SYS.1.3.A5.5 + description: Alle weiteren Installationsschritte SOLLTEN dabei ebenfalls dokumentiert + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3 + ref_id: SYS.1.3.A6 + name: Verwaltung von Benutzenden und Gruppen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a6 + ref_id: SYS.1.3.A6.1 + description: Zur Verwaltung von Benutzenden und Gruppen SOLLTEN die entsprechenden + Verwaltungswerkzeuge genutzt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a6 + ref_id: SYS.1.3.A6.2 + description: Von einer direkten Bearbeitung der Konfigurationsdateien /etc/passwd, + /etc/shadow, /etc/group und /etc/sudoers SOLLTE abgesehen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3 + ref_id: SYS.1.3.A8 + name: "Verschl\xFCsselter Zugriff \xFCber Secure Shell" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a8 + ref_id: SYS.1.3.A8.1 + description: "Um eine verschl\xFCsselte und authentisierte, interaktive Verbindung\ + \ zwischen zwei IT-Systemen aufzubauen, SOLLTE ausschlie\xDFlich Secure Shell\ + \ (SSH) verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a8 + ref_id: SYS.1.3.A8.2 + description: "Alle anderen Protokolle, deren Funktionalit\xE4t durch Secure\ + \ Shell abgedeckt wird, SOLLTEN vollst\xE4ndig abgeschaltet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a8 + ref_id: SYS.1.3.A8.3 + description: "F\xFCr die Authentifizierung SOLLTEN vorrangig Zertifikate anstatt\ + \ eines Passworts verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3 + ref_id: SYS.1.3.A10 + name: Verhinderung der Ausbreitung bei der Ausnutzung von Schwachstellen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a10 + ref_id: SYS.1.3.A10.1 + description: "Dienste und Anwendungen SOLLTEN mit einer individuellen Sicherheitsarchitektur\ + \ gesch\xFCtzt werden (z. B. mit AppArmor oder SELinux)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a10 + ref_id: SYS.1.3.A10.2 + description: "Auch chroot-Umgebungen sowie LXC- oder Docker-Container SOLLTEN\ + \ dabei ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a10 + ref_id: SYS.1.3.A10.3 + description: Es SOLLTE sichergestellt sein, dass mitgelieferte Standardprofile + bzw. -regeln aktiviert sind. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3 + ref_id: SYS.1.3.A14 + name: "Verhinderung des Aussp\xE4hens von Informationen \xFCber das System und\ + \ \xFCber Benutzende" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a14 + ref_id: SYS.1.3.A14.1 + description: "Die Ausgabe von Informationen \xFCber das Betriebssystem und der\ + \ Zugriff auf Protokoll- und Konfigurationsdateien SOLLTE f\xFCr Benutzende\ + \ auf das notwendige Ma\xDF beschr\xE4nkt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a14 + ref_id: SYS.1.3.A14.2 + description: "Au\xDFerdem SOLLTEN bei Befehlsaufrufen keine vertraulichen Informationen\ + \ als Parameter \xFCbergeben werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3 + ref_id: SYS.1.3.A16 + name: "Zus\xE4tzliche Verhinderung der Ausbreitung bei der Ausnutzung von Schwachstellen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a16 + ref_id: SYS.1.3.A16.1 + description: "Die Nutzung von Systemaufrufen SOLLTE insbesondere f\xFCr exponierte\ + \ Dienste und Anwendungen auf die unbedingt notwendige Anzahl beschr\xE4nkt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a16 + ref_id: SYS.1.3.A16.2 + description: "Die Standardprofile bzw. -regeln von z. B. SELinux, AppArmor SOLLTEN\ + \ manuell \xFCberpr\xFCft und unter Umst\xE4nden an die eigenen Sicherheitsrichtlinien\ + \ angepasst werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a16 + ref_id: SYS.1.3.A16.3 + description: Falls erforderlich, SOLLTEN neue Regeln bzw. Profile erstellt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3 + ref_id: SYS.1.3.A17 + name: "Zus\xE4tzlicher Schutz des Kernels" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.3.a17 + ref_id: SYS.1.3.A17.1 + description: "Es SOLLTEN speziell geh\xE4rtete Kernels (z. B. grsecurity, PaX)\ + \ und geeignete Schutzma\xDFnahmen wie Speicherschutz oder Dateisystemabsicherung\ + \ umgesetzt werden, die eine Ausnutzung von Schwachstellen und die Ausbreitung\ + \ im Betriebssystem verhindern." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys + ref_id: SYS.1.5 + name: Virtualisierung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 + ref_id: SYS.1.5.A2 + name: Sicherer Einsatz virtueller IT-Systeme + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a2 + ref_id: SYS.1.5.A2.1 + description: Jede Person, die virtuelle IT-Systeme administriert, MUSS wissen, + wie sich eine Virtualisierung auf die betriebenen IT-Systeme und Anwendungen + auswirkt. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a2 + ref_id: SYS.1.5.A2.2 + description: "Die Zugriffsrechte f\xFCr Administrierende auf virtuelle IT-Systeme\ + \ M\xDCSSEN auf das tats\xE4chlich notwendige Ma\xDF reduziert sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a2 + ref_id: SYS.1.5.A2.3 + description: "Es MUSS gew\xE4hrleistet sein, dass die f\xFCr die virtuellen\ + \ IT-Systeme notwendigen Netzverbindungen in der virtuellen Infrastruktur\ + \ verf\xFCgbar sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a2 + ref_id: SYS.1.5.A2.4 + description: "Auch MUSS gepr\xFCft werden, ob die Anforderungen an die Isolation\ + \ und Kapselung der virtuellen IT-Systeme sowie der darauf betriebenen Anwendungen\ + \ hinreichend erf\xFCllt sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a2 + ref_id: SYS.1.5.A2.5 + description: "Weiterhin M\xDCSSEN die eingesetzten virtuellen IT-Systeme den\ + \ Anforderungen an die Verf\xFCgbarkeit und den Datendurchsatz gen\xFCgen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a2.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a2 + ref_id: SYS.1.5.A2.6 + description: "Im laufenden Betrieb MUSS die Performance der virtuellen IT-Systeme\ + \ \xFCberwacht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 + ref_id: SYS.1.5.A3 + name: Sichere Konfiguration virtueller IT-Systeme + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a3 + ref_id: SYS.1.5.A3.1 + description: "Gast-Systeme D\xDCRFEN NICHT auf Ger\xE4te und Schnittstellen\ + \ des Virtualisierungsservers zugreifen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a3 + ref_id: SYS.1.5.A3.2 + description: Ist eine solche Verbindung jedoch notwendig, MUSS diese exklusiv + zugeteilt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a3 + ref_id: SYS.1.5.A3.3 + description: "Sie DARF NUR f\xFCr die notwendige Dauer von den Administrierenden\ + \ des Host-Systems hergestellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a3 + ref_id: SYS.1.5.A3.4 + description: "Daf\xFCr M\xDCSSEN verbindliche Regelungen festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a3 + ref_id: SYS.1.5.A3.5 + description: "Virtuelle IT-Systeme SOLLTEN nach den Sicherheitsrichtlinien der\ + \ Institution konfiguriert und gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 + ref_id: SYS.1.5.A4 + name: "Sichere Konfiguration eines Netzes f\xFCr virtuelle Infrastrukturen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a4 + ref_id: SYS.1.5.A4.1 + description: "Es MUSS sichergestellt werden, dass bestehende Sicherheitsmechanismen\ + \ (z. B. Firewalls) und Monitoring-Systeme nicht \xFCber virtuelle Netze umgangen\ + \ werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a4 + ref_id: SYS.1.5.A4.2 + description: "Auch MUSS ausgeschlossen sein, dass \xFCber virtuelle IT-Systeme,\ + \ die mit mehreren Netzen verbunden sind, unerw\xFCnschte Netzverbindungen\ + \ aufgebaut werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a4 + ref_id: SYS.1.5.A4.3 + description: "Netzverbindungen zwischen virtuellen IT-Systemen und physischen\ + \ IT-Systemen sowie f\xFCr virtuelle Firewalls SOLLTEN gem\xE4\xDF den Sicherheitsrichtlinien\ + \ der Institution konfiguriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 + ref_id: SYS.1.5.A5 + name: Schutz der Administrationsschnittstellen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a5 + ref_id: SYS.1.5.A5.1 + description: "Alle Administrations- und Management-Zug\xE4nge zum Managementsystem\ + \ und zu den Host-Systemen M\xDCSSEN eingeschr\xE4nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a5 + ref_id: SYS.1.5.A5.2 + description: "Es MUSS sichergestellt sein, dass aus nicht-vertrauensw\xFCrdigen\ + \ Netzen heraus nicht auf die Administrationsschnittstellen zugegriffen werden\ + \ kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a5 + ref_id: SYS.1.5.A5.3 + description: "Um die Virtualisierungsserver oder die Managementsysteme zu administrieren\ + \ bzw. zu \xFCberwachen, SOLLTEN als sicher geltende Protokolle eingesetzt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a5 + ref_id: SYS.1.5.A5.4 + description: "Sollte dennoch auf unsichere Protokolle zur\xFCckgegriffen werden,\ + \ MUSS f\xFCr die Administration ein eigenes Administrationsnetz genutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 + ref_id: SYS.1.5.A6 + name: Protokollierung in der virtuellen Infrastruktur + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a6 + ref_id: SYS.1.5.A6.1 + description: "Betriebszustand, Auslastung und Netzanbindungen der virtuellen\ + \ Infrastruktur M\xDCSSEN laufend protokolliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a6 + ref_id: SYS.1.5.A6.2 + description: "Werden Kapazit\xE4tsgrenzen erreicht, SOLLTEN virtuelle Maschinen\ + \ verschoben werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a6 + ref_id: SYS.1.5.A6.3 + description: Zudem SOLLTE eventuell die Hardware erweitert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a6 + ref_id: SYS.1.5.A6.4 + description: "Auch MUSS \xFCberwacht werden, ob die virtuellen Netze den jeweiligen\ + \ virtuellen IT-Systemen korrekt zugeordnet sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 + ref_id: SYS.1.5.A7 + name: Zeitsynchronisation in virtuellen IT-Systemen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a7 + ref_id: SYS.1.5.A7.1 + description: Die Systemzeit aller produktiv eingesetzten virtuellen IT-Systeme + MUSS immer synchron sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 + ref_id: SYS.1.5.A8 + name: Planung einer virtuellen Infrastruktur + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a8 + ref_id: SYS.1.5.A8.1 + description: Der Aufbau der virtuellen Infrastruktur SOLLTE detailliert geplant + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a8 + ref_id: SYS.1.5.A8.2 + description: "Dabei SOLLTEN die geltenden Regelungen und Richtlinien f\xFCr\ + \ den Betrieb von IT-Systemen, Anwendungen und Netzen (inklusive Speichernetzen)\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a8 + ref_id: SYS.1.5.A8.3 + description: Wenn mehrere virtuelle IT-Systeme auf einem Virtualisierungsserver + betrieben werden, SOLLTEN KEINE Konflikte hinsichtlich des Schutzbedarfs der + IT-Systeme auftreten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a8 + ref_id: SYS.1.5.A8.4 + description: "Weiterhin SOLLTEN die Aufgaben der einzelnen Gruppen, die f\xFC\ + r die Administration zust\xE4ndig sind, festgelegt und klar voneinander abgegrenzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a8.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a8 + ref_id: SYS.1.5.A8.5 + description: "Es SOLLTE auch geregelt werden, wer f\xFCr den Betrieb welcher\ + \ Komponente verantwortlich ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 + ref_id: SYS.1.5.A9 + name: "Netzplanung f\xFCr virtuelle Infrastrukturen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a9 + ref_id: SYS.1.5.A9.1 + description: "Der Aufbau des Netzes f\xFCr virtuelle Infrastrukturen SOLLTE\ + \ detailliert geplant werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a9 + ref_id: SYS.1.5.A9.2 + description: "Auch SOLLTE gepr\xFCft werden, ob f\xFCr bestimmte Virtualisierungsfunktionen\ + \ (wie z. B. die Live-Migration) ein eigenes Netz aufgebaut und genutzt werden\ + \ muss." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a9 + ref_id: SYS.1.5.A9.3 + description: "Es SOLLTE geplant werden, welche Netzsegmente aufgebaut werden\ + \ m\xFCssen (z. B. Managementnetz, Speichernetz)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a9 + ref_id: SYS.1.5.A9.4 + description: "Es SOLLTE festgelegt werden, wie die Netzsegmente sich sicher\ + \ voneinander trennen und sch\xFCtzen lassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a9.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a9 + ref_id: SYS.1.5.A9.5 + description: "Dabei SOLLTE sichergestellt werden, dass das produktive Netz vom\ + \ Managementnetz getrennt ist (siehe SYS.1.5.A11 Administration der Virtualisierungsinfrastruktur\ + \ \xFCber ein gesondertes Managementnetz)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a9.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a9 + ref_id: SYS.1.5.A9.6 + description: "Auch die Verf\xFCgbarkeitsanforderungen an das Netz SOLLTEN erf\xFC\ + llt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 + ref_id: SYS.1.5.A10 + name: "Einf\xFChrung von Verwaltungsprozessen f\xFCr virtuelle IT-Systeme" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a10 + ref_id: SYS.1.5.A10.1 + description: "F\xFCr Virtualisierungsserver und virtuelle IT-Systeme SOLLTEN\ + \ Prozesse f\xFCr die Inbetriebnahme, die Inventarisierung, den Betrieb und\ + \ die Au\xDFerbetriebnahme definiert und etabliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a10 + ref_id: SYS.1.5.A10.2 + description: "Die Prozesse SOLLTEN dokumentiert und regelm\xE4\xDFig aktualisiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a10 + ref_id: SYS.1.5.A10.3 + description: "Wenn der Einsatz von virtuellen IT-Systemen geplant wird, SOLLTE\ + \ festgelegt werden, welche Virtualisierungsfunktionen die virtuellen IT-Systeme\ + \ benutzen d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a10 + ref_id: SYS.1.5.A10.4 + description: Test- und Entwicklungsumgebungen SOLLTEN NICHT auf demselben Virtualisierungsserver + betrieben werden wie produktive virtuelle IT-Systeme. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 + ref_id: SYS.1.5.A11 + name: "Administration der Virtualisierungsinfrastruktur \xFCber ein gesondertes\ + \ Managementnetz" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a11 + ref_id: SYS.1.5.A11.1 + description: "Die Virtualisierungsinfrastruktur SOLLTE ausschlie\xDFlich \xFC\ + ber ein separates Managementnetz administriert werden (siehe NET.1.1 Netzarchitektur\ + \ und -design)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a11 + ref_id: SYS.1.5.A11.2 + description: "Die verf\xFCgbaren Sicherheitsmechanismen der eingesetzten Managementprotokolle\ + \ zur Authentisierung, Integrit\xE4tssicherung und Verschl\xFCsselung SOLLTEN\ + \ aktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a11 + ref_id: SYS.1.5.A11.3 + description: Alle unsicheren Managementprotokolle SOLLTEN deaktiviert werden + (siehe NET.1.2 Netzmanagement). + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 + ref_id: SYS.1.5.A12 + name: "Rechte- und Rollenkonzept f\xFCr die Administration einer virtuellen\ + \ Infrastruktur" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a12 + ref_id: SYS.1.5.A12.1 + description: "Anhand der in der Planung definierten Aufgaben und Rollen (siehe\ + \ SYS.1.5.A8 Planung einer virtuellen Infrastruktur) SOLLTE f\xFCr die Administration\ + \ der virtuellen IT-Systeme und Netze sowie der Virtualisierungsserver und\ + \ der Managementumgebung ein Rechte- und Rollenkonzept erstellt und umgesetzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a12 + ref_id: SYS.1.5.A12.2 + description: "Alle Komponenten der virtuellen Infrastruktur SOLLTEN in ein zentrales\ + \ Identit\xE4ts- und Berechtigungsmanagement eingebunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a12 + ref_id: SYS.1.5.A12.3 + description: Administrierende von virtuellen Maschinen und Administrierende + der Virtualisierungsumgebung SOLLTEN unterschieden werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a12 + ref_id: SYS.1.5.A12.4 + description: Sie SOLLTEN mit unterschiedlichen Zugriffsrechten ausgestattet + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a12.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a12 + ref_id: SYS.1.5.A12.5 + description: "Weiterhin SOLLTE die Managementumgebung virtuelle Maschinen zur\ + \ geeigneten Strukturierung gruppieren k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a12.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a12 + ref_id: SYS.1.5.A12.6 + description: Die Rollen der Administrierenden SOLLTEN entsprechend zugeteilt + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 + ref_id: SYS.1.5.A13 + name: "Auswahl geeigneter Hardware f\xFCr Virtualisierungsumgebungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a13 + ref_id: SYS.1.5.A13.1 + description: "Die verwendete Hardware SOLLTE kompatibel mit der eingesetzten\ + \ Virtualisierungsl\xF6sung sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a13 + ref_id: SYS.1.5.A13.2 + description: "Dabei SOLLTE darauf geachtet werden, dass das herstellende Unternehmen\ + \ der Virtualisierungsl\xF6sung \xFCber den geplanten Einsatzzeitraum auch\ + \ Support f\xFCr die betriebene Hardware anbietet." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 + ref_id: SYS.1.5.A14 + name: "Einheitliche Konfigurationsstandards f\xFCr virtuelle IT-Systeme" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a14 + ref_id: SYS.1.5.A14.1 + description: "F\xFCr die eingesetzten virtuellen IT-Systeme SOLLTEN einheitliche\ + \ Konfigurationsstandards definiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a14 + ref_id: SYS.1.5.A14.2 + description: Die virtuellen IT-Systeme SOLLTEN nach diesen Standards konfiguriert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a14 + ref_id: SYS.1.5.A14.3 + description: "Die Konfigurationsstandards SOLLTEN regelm\xE4\xDFig \xFCberpr\xFC\ + ft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a14.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a14 + ref_id: SYS.1.5.A14.4 + description: Sie SOLLTEN, falls erforderlich, angepasst werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 + ref_id: SYS.1.5.A15 + name: Betrieb von Gast-Betriebssystemen mit unterschiedlichem Schutzbedarf + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a15 + ref_id: SYS.1.5.A15.1 + description: Falls virtuelle IT-Systeme mit unterschiedlichem Schutzbedarf gemeinsam + auf einem Virtualisierungsserver betrieben werden, SOLLTE dabei sichergestellt + sein, dass die virtuellen IT-Systeme ausreichend gekapselt und voneinander + isoliert sind. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a15 + ref_id: SYS.1.5.A15.2 + description: "Auch SOLLTE dann die Netztrennung in der eingesetzten Virtualisierungsl\xF6\ + sung ausreichend sicher sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a15 + ref_id: SYS.1.5.A15.3 + description: "Ist das nicht der Fall, SOLLTEN weitergehende Sicherheitsma\xDF\ + nahmen identifiziert und umgesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 + ref_id: SYS.1.5.A16 + name: Kapselung der virtuellen Maschinen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a16 + ref_id: SYS.1.5.A16.1 + description: "Die Funktionen \u201EKopieren\u201C und \u201EEinf\xFCgen\u201C\ + \ von Informationen zwischen virtuellen Maschinen SOLLTEN deaktiviert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 + ref_id: SYS.1.5.A17 + name: "\xDCberwachung des Betriebszustands und der Konfiguration der virtuellen\ + \ Infrastruktur" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a17 + ref_id: SYS.1.5.A17.1 + description: "Der Betriebszustand der virtuellen Infrastruktur SOLLTE \xFCberwacht\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a17 + ref_id: SYS.1.5.A17.2 + description: "Dabei SOLLTE unter anderem gepr\xFCft werden, ob noch ausreichend\ + \ Ressourcen verf\xFCgbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a17 + ref_id: SYS.1.5.A17.3 + description: "Es SOLLTE auch gepr\xFCft werden, ob es eventuell Konflikte bei\ + \ gemeinsam genutzten Ressourcen eines Virtualisierungsservers gibt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a17.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a17 + ref_id: SYS.1.5.A17.4 + description: "Weiterhin SOLLTEN die Konfigurationsdateien der virtuellen IT-Systeme\ + \ regelm\xE4\xDFig auf unautorisierte \xC4nderungen \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a17.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a17 + ref_id: SYS.1.5.A17.5 + description: "Wird die Konfiguration der Virtualisierungsinfrastruktur ge\xE4\ + ndert, SOLLTEN die \xC4nderungen gepr\xFCft und getestet werden, bevor sie\ + \ umgesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 + ref_id: SYS.1.5.A19 + name: "Regelm\xE4\xDFige Audits der Virtualisierungsinfrastruktur" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a19 + ref_id: SYS.1.5.A19.1 + description: "Es SOLLTE regelm\xE4\xDFig auditiert werden, ob der Ist-Zustand\ + \ der virtuellen Infrastruktur dem in der Planung festgelegten Zustand entspricht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a19 + ref_id: SYS.1.5.A19.2 + description: "Auch SOLLTE regelm\xE4\xDFig auditiert werden, ob die Konfiguration\ + \ der virtuellen Komponenten die vorgegebene Standardkonfiguration einh\xE4\ + lt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a19.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a19 + ref_id: SYS.1.5.A19.3 + description: Die Auditergebnisse SOLLTEN nachvollziehbar dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a19.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a19 + ref_id: SYS.1.5.A19.4 + description: Abweichungen SOLLTEN behoben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 + ref_id: SYS.1.5.A20 + name: "Verwendung von hochverf\xFCgbaren Architekturen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a20 + ref_id: SYS.1.5.A20.1 + description: "Die virtuelle Infrastruktur SOLLTE hochverf\xFCgbar ausgelegt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a20.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a20 + ref_id: SYS.1.5.A20.2 + description: Alle Virtualisierungsserver SOLLTEN in Clustern zusammengeschlossen + werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 + ref_id: SYS.1.5.A21 + name: "Sichere Konfiguration virtueller IT-Systeme bei erh\xF6htem Schutzbedarf" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a21 + ref_id: SYS.1.5.A21.1 + description: "F\xFCr virtuelle IT-Systeme SOLLTEN \xDCberbuchungsfunktionen\ + \ f\xFCr Ressourcen deaktiviert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 + ref_id: SYS.1.5.A22 + name: "H\xE4rtung des Virtualisierungsservers" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a22 + ref_id: SYS.1.5.A22.1 + description: "Der Virtualisierungsserver SOLLTE geh\xE4rtet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a22.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a22 + ref_id: SYS.1.5.A22.2 + description: "Um virtuelle IT-Systeme voreinander und gegen\xFCber dem Virtualisierungsserver\ + \ zus\xE4tzlich zu isolieren und zu kapseln, SOLLTEN Mandatory Access Controls\ + \ (MACs) eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a22.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a22 + ref_id: SYS.1.5.A22.3 + description: "Ebenso SOLLTE das IT-System, auf dem die Management-Software installiert\ + \ ist, geh\xE4rtet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a23 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 + ref_id: SYS.1.5.A23 + name: "Rechte-Einschr\xE4nkung der virtuellen Maschinen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a23.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a23 + ref_id: SYS.1.5.A23.1 + description: "Alle Schnittstellen und Kommunikationskan\xE4le, die es einem\ + \ virtuellen IT-System erlauben, Informationen \xFCber das Host-System auszulesen\ + \ und abzufragen, SOLLTEN deaktiviert sein oder unterbunden werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a23.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a23 + ref_id: SYS.1.5.A23.2 + description: "Weiterhin SOLLTE ausschlie\xDFlich der Virtualisierungsserver\ + \ auf seine Ressourcen zugreifen k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a23.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a23 + ref_id: SYS.1.5.A23.3 + description: Virtuelle IT-Systeme SOLLTEN NICHT die sogenannten Pages des Arbeitsspeichers + teilen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a24 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 + ref_id: SYS.1.5.A24 + name: Deaktivierung von Snapshots virtueller IT-Systeme + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a24.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a24 + ref_id: SYS.1.5.A24.1 + description: "F\xFCr alle virtuellen IT-Systeme SOLLTE die Snapshot-Funktion\ + \ deaktiviert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a25 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 + ref_id: SYS.1.5.A25 + name: Minimale Nutzung von Konsolenzugriffen auf virtuelle IT-Systeme + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a25.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a25 + ref_id: SYS.1.5.A25.1 + description: "Direkte Zugriffe auf die emulierten Konsolen virtueller IT-Systeme\ + \ SOLLTEN auf ein Mindestma\xDF reduziert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a25.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a25 + ref_id: SYS.1.5.A25.2 + description: "Die virtuellen IT-Systeme SOLLTEN m\xF6glichst \xFCber das Netz\ + \ gesteuert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a26 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 + ref_id: SYS.1.5.A26 + name: Einsatz einer PKI + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a26.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a26 + ref_id: SYS.1.5.A26.1 + description: "F\xFCr die mit Zertifikaten gesch\xFCtzte Kommunikation zwischen\ + \ den Komponenten der IT-Infrastruktur SOLLTE eine Public-Key-Infrastruktur\ + \ (PKI) eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a27 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 + ref_id: SYS.1.5.A27 + name: Einsatz zertifizierter Virtualisierungssoftware + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a27.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a27 + ref_id: SYS.1.5.A27.1 + description: "Es SOLLTE zertifizierte Virtualisierungssoftware der Stufe EAL\ + \ 4 oder h\xF6her eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a28 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5 + ref_id: SYS.1.5.A28 + name: "Verschl\xFCsselung von virtuellen IT-Systemen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a28.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.5.a28 + ref_id: SYS.1.5.A28.1 + description: "Alle virtuellen IT-Systeme SOLLTEN verschl\xFCsselt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys + ref_id: SYS.1.6 + name: Containerisierung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 + ref_id: SYS.1.6.A1 + name: Planung des Container-Einsatzes + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a1 + ref_id: SYS.1.6.A1.1 + description: "Bevor Container eingesetzt werden, MUSS zun\xE4chst das Ziel des\ + \ Container-Einsatzes (z. B. Skalierung, Verf\xFCgbarkeit, Wegwerf-Container\ + \ zur Sicherheit oder CI/CD) festgelegt werden, damit alle sicherheitsrelevanten\ + \ Aspekte der Installation, des Betriebs und der Au\xDFerbetriebnahme geplant\ + \ werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a1 + ref_id: SYS.1.6.A1.2 + description: "Bei der Planung SOLLTE auch der Betriebsaufwand ber\xFCcksichtigt\ + \ werden, der durch Container-Einsatz oder Mischbetrieb entsteht." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a1 + ref_id: SYS.1.6.A1.3 + description: Die Planung MUSS angemessen dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 + ref_id: SYS.1.6.A2 + name: Planung der Verwaltung von Containern + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a2 + ref_id: SYS.1.6.A2.1 + description: Die Verwaltung der Container DARF NUR nach einer geeigneten Planung + erfolgen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a2 + ref_id: SYS.1.6.A2.2 + description: "Diese Planung MUSS den gesamten Lebenszyklus von Inbetrieb- bis\ + \ Au\xDFerbetriebnahme inklusive Betrieb und Updates umfassen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a2 + ref_id: SYS.1.6.A2.3 + description: "Bei der Planung der Verwaltung MUSS ber\xFCcksichtigt werden,\ + \ dass Erstellende eines Containers aufgrund der Auswirkungen auf den Betrieb\ + \ in Teilen wie Administrierende zu betrachten sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a2 + ref_id: SYS.1.6.A2.4 + description: "Start, Stopp und \xDCberwachung der Container MUSS \xFCber die\ + \ eingesetzte Verwaltungssoftware erfolgen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 + ref_id: SYS.1.6.A3 + name: Sicherer Einsatz containerisierter IT-Systeme + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a3 + ref_id: SYS.1.6.A3.1 + description: "Bei containerisierten IT-Systemen MUSS ber\xFCcksichtigt werden,\ + \ wie sich eine Containerisierung auf die betriebenen IT-Systeme und Anwendungen\ + \ auswirkt, dies betrifft insbesondere die Verwaltung und Eignung der Anwendungen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a3 + ref_id: SYS.1.6.A3.2 + description: "Es MUSS anhand des Schutzbedarfs der Anwendungen gepr\xFCft werden,\ + \ ob die Anforderungen an die Isolation und Kapselung der containerisierten\ + \ IT-Systeme und der virtuellen Netze sowie der betriebenen Anwendungen hinreichend\ + \ erf\xFCllt sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a3 + ref_id: SYS.1.6.A3.3 + description: "In diese Pr\xFCfung SOLLTEN die betriebssystemeigenen Mechanismen\ + \ mit einbezogen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a3 + ref_id: SYS.1.6.A3.4 + description: "F\xFCr die virtuellen Netze nimmt der Host die Funktion einer\ + \ Netzkomponente wahr, die Bausteine der Teilschichten NET.1 Netze und NET.3\ + \ Netzkomponenten M\xDCSSEN entsprechend ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a3 + ref_id: SYS.1.6.A3.5 + description: "Logische und Overlay-Netze M\xDCSSEN ebenfalls betrachtet und\ + \ modelliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a3.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a3 + ref_id: SYS.1.6.A3.6 + description: "Weiterhin M\xDCSSEN die eingesetzten containerisierten IT-Systeme\ + \ den Anforderungen an die Verf\xFCgbarkeit und den Datendurchsatz gen\xFC\ + gen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a3.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a3 + ref_id: SYS.1.6.A3.7 + description: "Im laufenden Betrieb SOLLTEN die Performance und der Zustand der\ + \ containerisierten IT-Systeme \xFCberwacht werden (sogenannte Health Checks)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 + ref_id: SYS.1.6.A4 + name: Planung der Bereitstellung und Verteilung von Images + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a4 + ref_id: SYS.1.6.A4.1 + description: Der Prozess zur Bereitstellung und Verteilung von Images MUSS geplant + und angemessen dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 + ref_id: SYS.1.6.A5 + name: Separierung der Administrations- und Zugangsnetze bei Containern + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a5 + ref_id: SYS.1.6.A5.1 + description: "Die Netze f\xFCr die Administration des Hosts, die Administration\ + \ der Container und deren Zugangsnetze M\xDCSSEN dem Schutzbedarf angemessen\ + \ separiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a5 + ref_id: SYS.1.6.A5.2 + description: "Grunds\xE4tzlich SOLLTE mindestens die Administration des Hosts\ + \ nur aus dem Administrationsnetz m\xF6glich sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a5 + ref_id: SYS.1.6.A5.3 + description: "Es SOLLTEN nur die f\xFCr den Betrieb notwendigen Kommunikationsbeziehungen\ + \ erlaubt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 + ref_id: SYS.1.6.A6 + name: Verwendung sicherer Images + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a6 + ref_id: SYS.1.6.A6.1 + description: "Es MUSS sichergestellt sein, dass s\xE4mtliche verwendeten Images\ + \ nur aus vertrauensw\xFCrdigen Quellen stammen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a6 + ref_id: SYS.1.6.A6.2 + description: Es MUSS eindeutig identifizierbar sein, wer das Image erstellt + hat. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a6 + ref_id: SYS.1.6.A6.3 + description: "Die Quelle MUSS danach ausgew\xE4hlt werden, dass die im Image\ + \ enthaltene Software regelm\xE4\xDFig auf Sicherheitsprobleme gepr\xFCft\ + \ wird und diese behoben sowie dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a6 + ref_id: SYS.1.6.A6.4 + description: Die Quelle MUSS diesen Umgang mit Sicherheitsproblemen zusichern + und einhalten. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a6 + ref_id: SYS.1.6.A6.5 + description: "Die verwendete Version von Basis-Images DARF NICHT abgek\xFCndigt\ + \ (\u201Edeprecated\") sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a6.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a6 + ref_id: SYS.1.6.A6.6 + description: "Es M\xDCSSEN eindeutige Versionsnummern angegeben sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a6.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a6 + ref_id: SYS.1.6.A6.7 + description: "Wenn ein Image mit einer neueren Versionsnummer verf\xFCgbar ist,\ + \ MUSS im Rahmen des Patch- und \xC4nderungsmanagement gepr\xFCft werden,\ + \ ob und wie dieses ausgerollt werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 + ref_id: SYS.1.6.A7 + name: Persistenz von Protokollierungsdaten der Container + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a7 + ref_id: SYS.1.6.A7.1 + description: "Die Speicherung der Protokollierungsdaten der Container MUSS au\xDF\ + erhalb des Containers, mindestens auf dem Container-Host, erfolgen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 + ref_id: SYS.1.6.A8 + name: Sichere Speicherung von Zugangsdaten bei Containern + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a8 + ref_id: SYS.1.6.A8.1 + description: "Zugangsdaten M\xDCSSEN so gespeichert und verwaltet werden, dass\ + \ nur berechtigte Personen und Container darauf zugreifen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a8 + ref_id: SYS.1.6.A8.2 + description: "Insbesondere MUSS sichergestellt sein, dass Zugangsdaten nur an\ + \ besonders gesch\xFCtzten Orten und nicht in den Images liegen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a8 + ref_id: SYS.1.6.A8.3 + description: "Die von der Verwaltungssoftware des Container-Dienstes bereitgestellten\ + \ Verwaltungsmechanismen f\xFCr Zugangsdaten SOLLTEN eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a8 + ref_id: SYS.1.6.A8.4 + description: "Mindestens die folgenden Zugangsdaten M\xDCSSEN sicher gespeichert\ + \ werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a8.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a8 + ref_id: SYS.1.6.A8.5 + description: "\u2022 Passw\xF6rter jeglicher Accounts," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a8.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a8 + ref_id: SYS.1.6.A8.6 + description: "\u2022 API-Keys f\xFCr von der Anwendung genutzte Dienste," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a8.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a8 + ref_id: SYS.1.6.A8.7 + description: "\u2022 Schl\xFCssel f\xFCr symmetrische Verschl\xFCsselungen sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a8.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a8 + ref_id: SYS.1.6.A8.8 + description: "\u2022 private Schl\xFCssel bei Public-Key-Authentisierung." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 + ref_id: SYS.1.6.A9 + name: "Eignung f\xFCr Container-Betrieb" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a9 + ref_id: SYS.1.6.A9.1 + description: "Die Anwendung oder der Dienst, die oder der im Container betrieben\ + \ werden soll, SOLLTE f\xFCr den Container-Betrieb geeignet sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a9 + ref_id: SYS.1.6.A9.2 + description: "Dabei SOLLTE ber\xFCcksichtigt werden, dass Container h\xE4ufiger\ + \ f\xFCr die darin ausgef\xFChrte Anwendung unvorhergesehen beendet werden\ + \ k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a9 + ref_id: SYS.1.6.A9.3 + description: "Die Ergebnisse der Pr\xFCfung nach SYS.1.6.A3 Sicherer Einsatz\ + \ containerisierter IT-Systeme SOLLTE nachvollziehbar dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 + ref_id: SYS.1.6.A10 + name: "Richtlinie f\xFCr Images und Container-Betrieb" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a10 + ref_id: SYS.1.6.A10.1 + description: Es SOLLTE eine Richtlinie erstellt und angewendet werden, die die + Anforderungen an den Betrieb der Container und die erlaubten Images festlegt. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a10 + ref_id: SYS.1.6.A10.2 + description: Die Richtlinie SOLLTE auch Anforderungen an den Betrieb und die + Bereitstellung der Images enthalten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 + ref_id: SYS.1.6.A11 + name: Nur ein Dienst pro Container + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a11 + ref_id: SYS.1.6.A11.1 + description: Jeder Container SOLLTE jeweils nur einen Dienst bereitstellen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 + ref_id: SYS.1.6.A12 + name: Verteilung sicherer Images + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a12 + ref_id: SYS.1.6.A12.1 + description: "Es SOLLTE angemessen dokumentiert werden, welche Quellen f\xFC\ + r Images als vertrauensw\xFCrdig klassifiziert wurden und warum." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a12 + ref_id: SYS.1.6.A12.2 + description: "Zus\xE4tzlich SOLLTE der Prozess angemessen dokumentiert werden,\ + \ wie Images bzw. die im Image enthaltenen Softwarebestandteile aus vertrauensw\xFC\ + rdigen Quellen bezogen und schlie\xDFlich f\xFCr den produktiven Betrieb bereitgestellt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a12 + ref_id: SYS.1.6.A12.3 + description: "Die verwendeten Images SOLLTEN \xFCber Metadaten verf\xFCgen,\ + \ die die Funktion und die Historie des Images nachvollziehbar machen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a12 + ref_id: SYS.1.6.A12.4 + description: "Digitale Signaturen SOLLTEN jedes Image gegen Ver\xE4nderung absichern." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 + ref_id: SYS.1.6.A13 + name: Freigabe von Images + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a13 + ref_id: SYS.1.6.A13.1 + description: "Alle Images f\xFCr den produktiven Betrieb SOLLTEN wie Softwareprodukte\ + \ einen Test- und Freigabeprozess gem\xE4\xDF dem Baustein OPS.1.1.6 Software-Test\ + \ und Freigaben durchlaufen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 + ref_id: SYS.1.6.A14 + name: Aktualisierung von Images + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a14 + ref_id: SYS.1.6.A14.1 + description: "Bei der Erstellung des Konzeptes f\xFCr das Patch- und \xC4nderungsmanagement\ + \ gem\xE4\xDF OPS.1.1.3 Patch- und \xC4nderungsmanagement SOLLTE entschieden\ + \ werden, wann und wie die Updates der Images bzw. der betriebenen Software\ + \ oder des betriebenen Dienstes ausgerollt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a14 + ref_id: SYS.1.6.A14.2 + description: "Bei persistenten Containern SOLLTE gepr\xFCft werden, ob in Ausnahmef\xE4\ + llen ein Update des jeweiligen Containers geeigneter ist, als den Container\ + \ vollst\xE4ndig neu zu provisionieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 + ref_id: SYS.1.6.A15 + name: Limitierung der Ressourcen pro Container + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a15 + ref_id: SYS.1.6.A15.1 + description: "F\xFCr jeden Container SOLLTEN Ressourcen auf dem Host-System,\ + \ wie CPU, fl\xFCchtiger und persistenter Speicher sowie Netzbandbreite, angemessen\ + \ reserviert und limitiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a15 + ref_id: SYS.1.6.A15.2 + description: "Es SOLLTE definiert und dokumentiert sein, wie das System im Fall\ + \ einer \xDCberschreitung dieser Limitierungen reagiert." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 + ref_id: SYS.1.6.A16 + name: Administrativer Fernzugriff auf Container + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a16 + ref_id: SYS.1.6.A16.1 + description: Administrative Zugriffe von einem Container auf den Container-Host + und umgekehrt SOLLTEN prinzipiell wie administrative Fernzugriffe betrachtet + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a16 + ref_id: SYS.1.6.A16.2 + description: Aus einem Container SOLLTEN KEINE administrativen Fernzugriffe + auf den Container-Host erfolgen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a16 + ref_id: SYS.1.6.A16.3 + description: "Applikations-Container SOLLTEN keine Fernwartungszug\xE4nge enthalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a16.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a16 + ref_id: SYS.1.6.A16.4 + description: "Administrative Zugriffe auf Applikations-Container SOLLTEN immer\ + \ \xFCber die Container-Runtime erfolgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 + ref_id: SYS.1.6.A17 + name: "Ausf\xFChrung von Containern ohne Privilegien" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a17 + ref_id: SYS.1.6.A17.1 + description: "Die Container-Runtime und alle instanziierten Container SOLLTEN\ + \ nur von einem nicht-privilegierten System-Account ausgef\xFChrt werden,\ + \ der \xFCber keine erweiterten Rechte f\xFCr den Container-Dienst und das\ + \ Betriebssystem des Host-Systems verf\xFCgt oder diese Rechte erlangen kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a17 + ref_id: SYS.1.6.A17.2 + description: "Die Container-Runtime SOLLTE durch zus\xE4tzliche Ma\xDFnahmen\ + \ gekapselt werden, etwa durch Verwendung der Virtualisierungserweiterungen\ + \ von CPUs." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a17 + ref_id: SYS.1.6.A17.3 + description: "Sofern Container ausnahmsweise Aufgaben des Host-Systems \xFC\ + bernehmen sollen, SOLLTEN die Privilegien auf dem Host-System auf das erforderliche\ + \ Minimum begrenzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a17.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a17 + ref_id: SYS.1.6.A17.4 + description: Ausnahmen SOLLTEN angemessen dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 + ref_id: SYS.1.6.A18 + name: Accounts der Anwendungsdienste + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a18 + ref_id: SYS.1.6.A18.1 + description: Die System-Accounts innerhalb eines Containers SOLLTEN keine Berechtigungen + auf dem Host-System haben. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a18 + ref_id: SYS.1.6.A18.2 + description: "Wo aus betrieblichen Gr\xFCnden diese Berechtigung notwendig ist,\ + \ SOLLTE diese nur f\xFCr unbedingt notwendige Daten und Systemzugriffe gelten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a18 + ref_id: SYS.1.6.A18.3 + description: "Der Account im Container, der f\xFCr diesen Datenaustausch notwendig\ + \ ist, SOLLTE im Host-System bekannt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 + ref_id: SYS.1.6.A19 + name: Einbinden von Datenspeichern in Container + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a19 + ref_id: SYS.1.6.A19.1 + description: "Die Container SOLLTEN NUR auf die f\xFCr den Betrieb notwendigen\ + \ Massenspeicher und Verzeichnisse zugreifen k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a19 + ref_id: SYS.1.6.A19.2 + description: "Nur wenn Berechtigungen ben\xF6tigt werden, SOLLTEN diese explizit\ + \ vergeben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a19.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a19 + ref_id: SYS.1.6.A19.3 + description: "Sofern die Container-Runtime f\xFCr einen Container lokalen Speicher\ + \ einbindet, SOLLTEN die Zugriffsrechte im Dateisystem auf den Service-Account\ + \ des Containers eingeschr\xE4nkt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a19.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a19 + ref_id: SYS.1.6.A19.4 + description: Werden Netzspeicher verwendet, so SOLLTEN die Berechtigungen auf + dem Netzspeicher selbst gesetzt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 + ref_id: SYS.1.6.A20 + name: Absicherung von Konfigurationsdaten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a20 + ref_id: SYS.1.6.A20.1 + description: Die Beschreibung der Container-Konfigurationsdaten SOLLTE versioniert + erfolgen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a20.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a20 + ref_id: SYS.1.6.A20.2 + description: "\xC4nderungen SOLLTEN nachvollziehbar dokumentiert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 + ref_id: SYS.1.6.A21 + name: Erweiterte Sicherheitsrichtlinien + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a21 + ref_id: SYS.1.6.A21.1 + description: "Erweiterte Richtlinien SOLLTEN die Berechtigungen der Container\ + \ einschr\xE4nken." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a21.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a21 + ref_id: SYS.1.6.A21.2 + description: Mandatory Access Control (MAC) oder eine vergleichbare Technik + SOLLTE diese Richtlinien erzwingen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a21.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a21 + ref_id: SYS.1.6.A21.3 + description: "Die Richtlinien SOLLTEN mindestens folgende Zugriffe einschr\xE4\ + nken:" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a21.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a21 + ref_id: SYS.1.6.A21.4 + description: "\u2022 eingehende und ausgehende Netzverbindungen," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a21.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a21 + ref_id: SYS.1.6.A21.5 + description: "\u2022 Dateisystem-Zugriffe und" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a21.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a21 + ref_id: SYS.1.6.A21.6 + description: "\u2022 Kernel-Anfragen (Syscalls)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a21.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a21 + ref_id: SYS.1.6.A21.7 + description: "Die Runtime SOLLTE die Container so starten, dass der Kernel des\ + \ Host-Systems alle nicht von der Richtlinie erlaubten Aktivit\xE4ten der\ + \ Container verhindert (z. B. durch die Einrichtung lokaler Paketfilter oder\ + \ durch Entzug von Berechtigungen) oder zumindest Verst\xF6\xDFe geeignet\ + \ meldet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 + ref_id: SYS.1.6.A22 + name: "Vorsorge f\xFCr Untersuchungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a22 + ref_id: SYS.1.6.A22.1 + description: "Um Container im Bedarfsfall f\xFCr eine sp\xE4tere Untersuchung\ + \ verf\xFCgbar zu haben, SOLLTE ein Abbild des Zustands nach festgelegten\ + \ Regeln erstellt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a23 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 + ref_id: SYS.1.6.A23 + name: "Unver\xE4nderlichkeit der Container" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a23.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a23 + ref_id: SYS.1.6.A23.1 + description: "Container SOLLTEN ihr Dateisystem w\xE4hrend der Laufzeit nicht\ + \ ver\xE4ndern k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a23.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a23 + ref_id: SYS.1.6.A23.2 + description: Dateisysteme SOLLTEN nicht mit Schreibrechten eingebunden sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a24 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 + ref_id: SYS.1.6.A24 + name: Hostbasierte Angriffserkennung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a24.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a24 + ref_id: SYS.1.6.A24.1 + description: "Das Verhalten der Container und der darin betriebenen Anwendungen\ + \ und Dienste SOLLTE \xFCberwacht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a24.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a24 + ref_id: SYS.1.6.A24.2 + description: Abweichungen von einem normalen Verhalten SOLLTEN bemerkt und gemeldet + werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a24.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a24 + ref_id: SYS.1.6.A24.3 + description: "Die Meldungen SOLLTEN im zentralen Prozess zur Behandlung von\ + \ Sicherheitsvorf\xE4llen angemessen behandelt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a24.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a24 + ref_id: SYS.1.6.A24.4 + description: "Das zu \xFCberwachende Verhalten SOLLTE mindestens umfassen:" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a24.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a24 + ref_id: SYS.1.6.A24.5 + description: "\u2022 Netzverbindungen," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a24.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a24 + ref_id: SYS.1.6.A24.6 + description: "\u2022 erstellte Prozesse," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a24.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a24 + ref_id: SYS.1.6.A24.7 + description: "\u2022 Dateisystem-Zugriffe und" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a24.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a24 + ref_id: SYS.1.6.A24.8 + description: "\u2022 Kernel-Anfragen (Syscalls)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a25 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 + ref_id: SYS.1.6.A25 + name: "Hochverf\xFCgbarkeit von containerisierten Anwendungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a25.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a25 + ref_id: SYS.1.6.A25.1 + description: "Bei hohen Verf\xFCgbarkeitsanforderungen der containerisierten\ + \ Anwendungen SOLLTE entschieden werden, auf welcher Ebene die Verf\xFCgbarkeit\ + \ realisiert werden soll (z. B. redundant auf der Ebene des Hosts)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a26 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6 + ref_id: SYS.1.6.A26 + name: Weitergehende Isolation und Kapselung von Containern + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a26.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a26 + ref_id: SYS.1.6.A26.1 + description: "Wird eine weitergehende Isolation und Kapselung von Containern\ + \ ben\xF6tigt, dann SOLLTEN folgende Ma\xDFnahmen nach steigender Wirksamkeit\ + \ gepr\xFCft werden:" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a26.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a26 + ref_id: SYS.1.6.A26.2 + description: "\u2022 feste Zuordnung von Containern zu Container-Hosts," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a26.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a26 + ref_id: SYS.1.6.A26.3 + description: "\u2022 Ausf\xFChrung der einzelnen Container und/oder des Container-Hosts\ + \ mit Hypervisoren," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a26.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.6.a26 + ref_id: SYS.1.6.A26.4 + description: "\u2022 feste Zuordnung eines einzelnen Containers zu einem einzelnen\ + \ Container-Host." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys + ref_id: SYS.1.7 + name: IBM Z + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 + ref_id: SYS.1.7.A1 + name: Einsatz restriktiver z/OS-Kennungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a1 + ref_id: SYS.1.7.A1.1 + description: "Berechtigungen mit hoher Autorisierung D\xDCRFEN NUR an Benutzende\ + \ vergeben werden, die diese Rechte f\xFCr ihre T\xE4tigkeiten ben\xF6tigen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a1 + ref_id: SYS.1.7.A1.2 + description: "Insbesondere die RACF-Attribute SPECIAL, OPERATIONS, AUDITOR und\ + \ die entsprechenden GROUP-Attribute sowie die User-ID 0 unter den Unix System\ + \ Services (USS) M\xDCSSEN restriktiv gehandhabt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a1 + ref_id: SYS.1.7.A1.3 + description: "Die Vergabe und der Einsatz dieser Berechtigungen M\xDCSSEN nachvollziehbar\ + \ sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a1 + ref_id: SYS.1.7.A1.4 + description: Die besondere Kennung IBMUSER DARF NUR bei der Neuinstallation + zur Erzeugung von Kennungen mit Attribut SPECIAL benutzt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a1 + ref_id: SYS.1.7.A1.5 + description: Diese Kennung MUSS danach dauerhaft gesperrt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a1 + ref_id: SYS.1.7.A1.6 + description: Um zu vermeiden, dass Administrierende sich dauerhaft aussperren, + MUSS ein Notfall-User-Verfahren eingerichtet werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 + ref_id: SYS.1.7.A2 + name: Absicherung sicherheitskritischer z/OS-Dienstprogramme + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a2 + ref_id: SYS.1.7.A2.1 + description: "Sicherheitskritische (Dienst-)Programme und Kommandos sowie deren\ + \ Alias-Namen M\xDCSSEN mit Rechten auf entsprechende RACF-Profile so gesch\xFC\ + tzt werden, dass sie nur von den daf\xFCr vorgesehenen und autorisierten Personen\ + \ benutzt werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a2 + ref_id: SYS.1.7.A2.2 + description: "Es MUSS sichergestellt sein, dass (Fremd-)Programme nicht unerlaubt\ + \ installiert werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a2 + ref_id: SYS.1.7.A2.3 + description: "Au\xDFerdem D\xDCRFEN Programme NUR von gesicherten Quellen und\ + \ \xFCber nachvollziehbare Methoden (z. B. SMP/E) installiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 + ref_id: SYS.1.7.A3 + name: Wartung von Z-Systemen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a3 + ref_id: SYS.1.7.A3.1 + description: "Die Z-Hardware und -Firmware, das Betriebssystem sowie die verschiedenen\ + \ Programme M\xDCSSEN regelm\xE4\xDFig und bei Bedarf gepflegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a3 + ref_id: SYS.1.7.A3.2 + description: "Die hierf\xFCr notwendigen Wartungsaktivit\xE4ten M\xDCSSEN geplant\ + \ und in das \xC4nderungsmanagement (siehe OPS.1.1.3 Patch- und \xC4nderungsmanagement)\ + \ integriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a3 + ref_id: SYS.1.7.A3.3 + description: "Insbesondere D\xDCRFEN Updates durch das herstellende Unternehmen\ + \ NUR unter Kontrolle der Betreibenden durchgef\xFChrt werden, lokal \xFC\ + ber SE (Support Elements) bzw. HMC (Hardware Management Console) oder remote\ + \ \xFCber die RSF (Remote Support Facility)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 + ref_id: SYS.1.7.A4 + name: Schulung des z/OS-Bedienungspersonals + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a4 + ref_id: SYS.1.7.A4.1 + description: "Administrierende, Bedienende und Pr\xFCfende im z/OS-Bereich M\xDC\ + SSEN entsprechend ihren Aufgaben ausgebildet sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a4 + ref_id: SYS.1.7.A4.2 + description: "Insbesondere M\xDCSSEN RACF-Administrierende mit dem Sicherheitssystem\ + \ selbst sowie gegebenenfalls mit den weiteren f\xFCr sie relevanten Funktionen\ + \ vertraut sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 + ref_id: SYS.1.7.A5 + name: Einsatz und Sicherung systemnaher z/OS-Terminals + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a5 + ref_id: SYS.1.7.A5.1 + description: "Systemnahe z/OS-Terminals M\xDCSSEN physisch gegen unbefugten\ + \ Zutritt und logisch gegen unbefugten Zugang gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a5 + ref_id: SYS.1.7.A5.2 + description: "Insbesondere die Support-Elemente sowie die HMC-, MCS-, SMCS-,\ + \ Extended MCS- und Monitor-Konsolen M\xDCSSEN dabei ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a5 + ref_id: SYS.1.7.A5.3 + description: "Voreingestellte Passw\xF6rter M\xDCSSEN ge\xE4ndert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a5 + ref_id: SYS.1.7.A5.4 + description: "Zug\xE4nge \xFCber Webserver und andere Fernzug\xE4nge M\xDCSSEN\ + \ durch Verschl\xFCsselung gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a5.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a5 + ref_id: SYS.1.7.A5.5 + description: "Nicht ben\xF6tigte Webserver und Fernzug\xE4nge M\xDCSSEN deaktiviert\ + \ werden, wenn sie nicht ben\xF6tigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 + ref_id: SYS.1.7.A6 + name: Einsatz und Sicherung der Remote Support Facility + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a6 + ref_id: SYS.1.7.A6.1 + description: Es MUSS entschieden werden, ob und gegebenenfalls wie RSF eingesetzt + wird. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a6 + ref_id: SYS.1.7.A6.2 + description: Der Einsatz MUSS im Wartungsvertrag vorgesehen und mit dem Hardware-Support + abgestimmt sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a6 + ref_id: SYS.1.7.A6.3 + description: "Es MUSS sichergestellt werden, dass die RSF-Konfiguration nur\ + \ von hierzu autorisierten Personen ge\xE4ndert werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a6 + ref_id: SYS.1.7.A6.4 + description: "Wartungszugriffe f\xFCr Firmware-Modifikationen durch das herstellende\ + \ Unternehmen M\xDCSSEN von Betreibenden explizit freigegeben und nach Beendigung\ + \ wieder deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a6 + ref_id: SYS.1.7.A6.5 + description: "Die RSF-Kommunikation MUSS \xFCber Proxy-Server und zus\xE4tzlich\ + \ \xFCber gesicherte Verbindungen (wie TLS) stattfinden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 + ref_id: SYS.1.7.A7 + name: Restriktive Autorisierung unter z/OS + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a7 + ref_id: SYS.1.7.A7.1 + description: "Im Rahmen der Grundkonfiguration M\xDCSSEN die Autorisierungsmechanismen\ + \ so konfiguriert werden, dass alle Personen (definierte User-IDs in Gruppen\ + \ gem\xE4\xDF Rolle) nur die Zugriffsm\xF6glichkeiten erhalten, die sie f\xFC\ + r ihre jeweiligen T\xE4tigkeiten ben\xF6tigen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a7 + ref_id: SYS.1.7.A7.2 + description: "Hierf\xFCr M\xDCSSEN insbesondere APF-Autorisierungen (Authorized\ + \ Program Facility), SVCs (SuperVisor Calls), Ressourcen des z/OS-Betriebssystems,\ + \ IPL-Parameter, Parmlib-Definitionen, Started Tasks und JES2/3-Definitionen\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 + ref_id: SYS.1.7.A8 + name: Einsatz des z/OS-Sicherheitssystems RACF + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8 + ref_id: SYS.1.7.A8.1 + description: "Der Einsatz von RACF f\xFCr z/OS MUSS sorgf\xE4ltig geplant werden,\ + \ dazu geh\xF6ren auch die Auswahl des Zeichensatzes, die Festlegung von Regeln\ + \ f\xFCr User-ID und Passwort sowie die Aktivierung der KDFAES-Verschl\xFC\ + sselung." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8 + ref_id: SYS.1.7.A8.2 + description: Falls RACF PassTickets verwendet werden, MUSS der Enhanced PassTicket + Algorithmus aktiviert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8 + ref_id: SYS.1.7.A8.3 + description: "Voreingestellte Passw\xF6rter f\xFCr das RVARY-Kommando und f\xFC\ + r neu angelegte User-IDs M\xDCSSEN ge\xE4ndert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8 + ref_id: SYS.1.7.A8.4 + description: "Falls RACF-Exits eingesetzt werden sollen, MUSS deren Einsatz\ + \ begr\xFCndet, dokumentiert und regelm\xE4\xDFig \xFCberwacht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8 + ref_id: SYS.1.7.A8.5 + description: "F\xFCr das Anlegen, Sperren, Freischalten und L\xF6schen von RACF-Kennungen\ + \ M\xDCSSEN geeignete Vorgehensweisen festgelegt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8 + ref_id: SYS.1.7.A8.6 + description: 'Nach einer festgelegten Anzahl fehlgeschlagener Anmeldeversuche + MUSS eine RACF-Kennung gesperrt werden (Ausnahme: Notfall-User-Verfahren).' + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8 + ref_id: SYS.1.7.A8.7 + description: "Kennungen von Benutzenden M\xDCSSEN au\xDFerdem nach l\xE4ngerer\ + \ Inaktivit\xE4t gesperrt werden, Kennungen von Verfahren hingegen nicht." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8 + ref_id: SYS.1.7.A8.8 + description: "Dateien, Started Tasks und sicherheitskritische Programme M\xDC\ + SSEN mittels RACF-Profilen gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8 + ref_id: SYS.1.7.A8.9 + description: "Benutzende D\xDCRFEN dar\xFCber NUR die Zugriffsm\xF6glichkeiten\ + \ erhalten, die sie gem\xE4\xDF ihrer Rolle ben\xF6tigen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a8 + ref_id: SYS.1.7.A8.10 + description: "Es MUSS au\xDFerdem sichergestellt sein, dass Benutzende ihre\ + \ Zugriffsm\xF6glichkeiten nicht unerlaubt erweitern k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 + ref_id: SYS.1.7.A9 + name: "Mandantenf\xE4higkeit unter z/OS" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a9 + ref_id: SYS.1.7.A9.1 + description: Falls ein z/OS-System von Mandanten genutzt werden soll, MUSS ein + RACF-Konzept zur Mandantentrennung erstellt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a9 + ref_id: SYS.1.7.A9.2 + description: "Die Daten und Anwendungen der Mandanten M\xDCSSEN durch RACF-Profile\ + \ getrennt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a9 + ref_id: SYS.1.7.A9.3 + description: "Hohe Berechtigungen im RACF (SPECIAL, OPERATIONS, AUDITOR) und\ + \ \xE4ndernden Zugriff auf Dateien des z/OS-Betriebssystems D\xDCRFEN NUR\ + \ Mitarbeitende der Betreibenden haben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a9 + ref_id: SYS.1.7.A9.4 + description: "Die Wartungsfenster, in denen das z/OS-System nicht zur Verf\xFC\ + gung steht, M\xDCSSEN mit allen Mandanten, die auf dem betroffenen System\ + \ arbeiten, abgestimmt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 + ref_id: SYS.1.7.A11 + name: Schutz der Session-Daten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a11 + ref_id: SYS.1.7.A11.1 + description: "Session-Daten f\xFCr die Verbindungen der RACF-Administrierenden\ + \ und m\xF6glichst auch der anderen Mitarbeitenden M\xDCSSEN verschl\xFCsselt\ + \ \xFCbertragen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 + ref_id: SYS.1.7.A14 + name: Berichtswesen zum sicheren Betrieb von z/OS + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a14 + ref_id: SYS.1.7.A14.1 + description: "Zur \xDCberwachung aller sicherheitsrelevanten T\xE4tigkeiten\ + \ unter z/OS SOLLTE ein Prozess eingerichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a14 + ref_id: SYS.1.7.A14.2 + description: "In diesem SOLLTE festgelegt sein, welche Sicherheitsreports regelm\xE4\ + \xDFig erstellt werden, welche Tools und Datenquellen dabei herangezogen werden\ + \ (z. B. System Management Facility) und wie mit Abweichungen von den Vorgaben\ + \ umgegangen wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a14 + ref_id: SYS.1.7.A14.3 + description: "Die Sicherheitsreports SOLLTEN bei \xDCberpr\xFCfungen als Information\ + \ verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 + ref_id: SYS.1.7.A16 + name: "\xDCberwachung von z/OS-Systemen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a16 + ref_id: SYS.1.7.A16.1 + description: "W\xE4hrend des Betriebs SOLLTE das z/OS-System auf wichtige Meldungen,\ + \ Ereignisse und die Einhaltung von Grenzwerten \xFCberwacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a16 + ref_id: SYS.1.7.A16.2 + description: "Insbesondere Fehlermeldungen auf der HMC-Konsole, WTOR- und wichtige\ + \ WTO-Nachrichten (Write To Operator/with Reply), System Tasks, Sicherheitsverletzungen,\ + \ Kapazit\xE4tsgrenzen sowie die Systemauslastung SOLLTEN ber\xFCcksichtigt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a16 + ref_id: SYS.1.7.A16.3 + description: "F\xFCr die \xDCberwachung SOLLTEN au\xDFerdem mindestens die MCS-Konsole,\ + \ die System Management Facility, das SYSLOG und die relevanten Protokolldaten\ + \ der Anwendungen herangezogen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a16.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a16 + ref_id: SYS.1.7.A16.4 + description: "Es SOLLTE gew\xE4hrleistet sein, dass alle wichtigen Meldungen\ + \ zeitnah erkannt werden und, falls notwendig, in geeigneter Weise darauf\ + \ reagiert wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a16.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a16 + ref_id: SYS.1.7.A16.5 + description: Systemnachrichten SOLLTEN dabei so gefiltert werden, dass nur die + wichtigen Nachrichten dargestellt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 + ref_id: SYS.1.7.A17 + name: "Synchronisierung von z/OS-Passw\xF6rtern und RACF-Kommandos" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a17 + ref_id: SYS.1.7.A17.1 + description: "Falls z/OS-Passw\xF6rter oder RACF-Kommandos \xFCber mehrere z/OS-Systeme\ + \ automatisch synchronisiert werden sollen, SOLLTEN die jeweiligen Systeme\ + \ m\xF6glichst weitgehend standardisiert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a17 + ref_id: SYS.1.7.A17.2 + description: "Die Sperrung von Kennungen durch Fehleingaben von Passw\xF6rtern\ + \ SOLLTE NICHT synchronisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a17 + ref_id: SYS.1.7.A17.3 + description: "Das Risiko durch Synchronisation sicherheitskritischer RACF-Kommandos\ + \ SOLLTE ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a17.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a17 + ref_id: SYS.1.7.A17.4 + description: "Die Verwaltungsfunktion des Synchronisationsprogramms SOLLTE nur\ + \ autorisierten Mitarbeitenden im Rahmen ihrer T\xE4tigkeit zur Verf\xFCgung\ + \ stehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 + ref_id: SYS.1.7.A18 + name: "Rollenkonzept f\xFCr z/OS-Systeme" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a18 + ref_id: SYS.1.7.A18.1 + description: "Mindestens f\xFCr die Systemverwaltung von z/OS-Systemen SOLLTE\ + \ ein Rollenkonzept eingef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a18 + ref_id: SYS.1.7.A18.2 + description: "F\xFCr alle wichtigen Rollen der Systemverwaltung SOLLTEN au\xDF\ + erdem Stellvertretungsregelungen vorhanden sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a18 + ref_id: SYS.1.7.A18.3 + description: Die RACF-Attribute SPECIAL, OPERATIONS und AUDITOR SOLLTEN verschiedenen + Personen zugeordnet werden (Rollentrennung). + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 + ref_id: SYS.1.7.A19 + name: Absicherung von z/OS-Transaktionsmonitoren + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a19 + ref_id: SYS.1.7.A19.1 + description: Falls Transaktionsmonitore oder Datenbanken unter z/OS eingesetzt + werden, wie beispielsweise IMS, CICS oder Db2, SOLLTEN diese mittels RACF + abgesichert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a19 + ref_id: SYS.1.7.A19.2 + description: "Dies gilt auch f\xFCr die zugeh\xF6rigen System-Kommandos und\ + \ -Dateien." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a19.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a19 + ref_id: SYS.1.7.A19.3 + description: Interne Sicherheitsmechanismen der Transaktionsmonitore und Datenbanken + SOLLTEN hingegen nur dort angewandt werden, wo es keine entsprechenden RACF-Funktionen + gibt. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a19.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a19 + ref_id: SYS.1.7.A19.4 + description: "Benutzende und Administrierende SOLLTEN nur die Zugriffsrechte\ + \ erhalten, die sie f\xFCr ihre jeweilige T\xE4tigkeit ben\xF6tigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 + ref_id: SYS.1.7.A20 + name: Stilllegung von z/OS-Systemen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a20 + ref_id: SYS.1.7.A20.1 + description: "Bei der Stilllegung von z/OS-Systemen SOLLTEN andere z/OS-Systeme,\ + \ Verb\xFCnde und Verwaltungssysteme so angepasst werden, dass sie nicht mehr\ + \ auf das stillgelegte System verweisen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a20.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a20 + ref_id: SYS.1.7.A20.2 + description: "Auch die Auswirkungen auf die Software-Lizenzen SOLLTEN ber\xFC\ + cksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a20.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a20 + ref_id: SYS.1.7.A20.3 + description: "Datentr\xE4ger, die vertrauliche Daten enthalten, SOLLTEN so gel\xF6\ + scht werden, dass ihr Inhalt nicht mehr reproduziert werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a20.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a20 + ref_id: SYS.1.7.A20.4 + description: "F\xFCr den Fall, dass defekte Datentr\xE4ger durch das herstellende\ + \ Unternehmen ausgetauscht werden, SOLLTE vertraglich vereinbart sein, dass\ + \ diese Festplatten sicher vernichtet oder so gel\xF6scht werden, dass ihr\ + \ Inhalt nicht mehr reproduziert werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 + ref_id: SYS.1.7.A21 + name: Absicherung des Startvorgangs von z/OS-Systemen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a21 + ref_id: SYS.1.7.A21.1 + description: "Die f\xFCr den Startvorgang eines z/OS-Systems notwendigen Parameter\ + \ SOLLTEN dokumentiert und dem Operating-Personal bekannt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a21.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a21 + ref_id: SYS.1.7.A21.2 + description: "Au\xDFerdem SOLLTEN die erforderlichen Hardware-Konfigurationen\ + \ vorliegen, wie die IOCDS-Datei (Input/Output Configuration Data Set) und\ + \ die LPARs (Logical Partitions)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a21.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a21 + ref_id: SYS.1.7.A21.3 + description: "Eine z/OS-Master-Konsole und eine Backup-Konsole SOLLTEN definiert\ + \ sein, um Nachrichten kontrollieren zu k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a21.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a21 + ref_id: SYS.1.7.A21.4 + description: "Nach dem Startvorgang SOLLTE anhand einer Pr\xFCfliste kontrolliert\ + \ werden, ob der Systemstatus den Soll-Vorgaben entspricht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a21.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a21 + ref_id: SYS.1.7.A21.5 + description: "Dar\xFCber hinaus SOLLTE eine Fallback-Konfiguration vorgehalten\ + \ werden, mit der das System vor der letzten \xC4nderung erfolgreich gestartet\ + \ worden ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 + ref_id: SYS.1.7.A22 + name: Absicherung der Betriebsfunktionen von z/OS + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a22 + ref_id: SYS.1.7.A22.1 + description: "Alle die Produktion beeinflussenden Wartungsarbeiten sowie dynamische\ + \ und sonstige \xC4nderungen SOLLTEN nur im Rahmen des \xC4nderungsmanagements\ + \ durchgef\xFChrt werden (siehe OPS.1.1.3 Patch- und \xC4nderungsmanagement)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a22.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a22 + ref_id: SYS.1.7.A22.2 + description: "SDSF (System Display and Search Facility) und \xE4hnliche Funktionen\ + \ sowie die Priorit\xE4ten-Steuerung f\xFCr Jobs SOLLTEN mittels RACF vor\ + \ unberechtigtem Zugriff gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a22.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a22 + ref_id: SYS.1.7.A22.3 + description: "z/OS-System-Kommandos und besonders sicherheitsrelevante Befehle\ + \ f\xFCr dynamische \xC4nderungen SOLLTEN \xFCber RACF gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a22.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a22 + ref_id: SYS.1.7.A22.4 + description: "Bei der dynamischen Definition von Hardware SOLLTE sichergestellt\ + \ werden, dass eine Ressource im Wirkbetrieb nicht mehreren Einzelsystemen\ + \ au\xDFerhalb eines Parallel Sysplex zugeordnet wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 + ref_id: SYS.1.7.A23 + name: Absicherung von z/VM + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23 + ref_id: SYS.1.7.A23.1 + description: Falls z/VM eingesetzt wird, SOLLTE das Produkt in das Patch-Management + integriert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23 + ref_id: SYS.1.7.A23.2 + description: "Alle voreingestellten Passw\xF6rter SOLLTEN ge\xE4ndert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23 + ref_id: SYS.1.7.A23.3 + description: "Die Rolle des z/VM-Systemadministrierenden SOLLTE nur an Personen\ + \ vergeben werden, die diese Berechtigungen ben\xF6tigen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23 + ref_id: SYS.1.7.A23.4 + description: "Die Sicherheitsadministration von z/VM SOLLTE \xFCber RACF f\xFC\ + r z/VM erfolgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23 + ref_id: SYS.1.7.A23.5 + description: "Passw\xF6rter von realen Usern und Guest-Usern SOLLTEN mittels\ + \ RACF f\xFCr z/VM verschl\xFCsselt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23 + ref_id: SYS.1.7.A23.6 + description: "Die sicherheitskritischen Systemkommandos von z/VM SOLLTEN \xFC\ + ber RACF gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23 + ref_id: SYS.1.7.A23.7 + description: "Unter z/VM definierte virtuelle Maschinen SOLLTEN nur die f\xFC\ + r die jeweiligen Aufgaben notwendigen Ressourcen erhalten und strikt voneinander\ + \ getrennt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23 + ref_id: SYS.1.7.A23.8 + description: "Unter z/VM SOLLTEN nur die ben\xF6tigten Dienste gestartet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a23 + ref_id: SYS.1.7.A23.9 + description: "Wenn \xDCberpr\xFCfungen durchgef\xFChrt werden, SOLLTEN die Journaling-Funktion\ + \ von z/VM und die Audit-Funktionen von RACF eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a24 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 + ref_id: SYS.1.7.A24 + name: "Datentr\xE4gerverwaltung unter z/OS-Systemen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a24.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a24 + ref_id: SYS.1.7.A24.1 + description: "Dateien, Programme und Funktionen zur Verwaltung von Datentr\xE4\ + gern sowie die Datentr\xE4ger selbst (Festplatten und B\xE4nder) einschlie\xDF\ + lich Master-Katalog SOLLTEN mittels RACF-Profilen gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a24.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a24 + ref_id: SYS.1.7.A24.2 + description: "Es SOLLTEN Sicherungskopien aller wichtigen Dateien zur Verf\xFC\ + gung stehen, die in einer Notfallsituation zur\xFCckgespielt werden k\xF6\ + nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a24.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a24 + ref_id: SYS.1.7.A24.3 + description: "Die Zuordnung von Datentr\xE4gern zu den Z-Systemen SOLLTE nachvollziehbar\ + \ sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a24.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a24 + ref_id: SYS.1.7.A24.4 + description: "Es SOLLTE gew\xE4hrleistet werden, dass je nach Volumen und Zeitfenster\ + \ gen\xFCgend Bandstationen zur Verf\xFCgung stehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a24.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a24 + ref_id: SYS.1.7.A24.5 + description: Beim Einsatz des HSM (Hierarchical Storage Manager) SOLLTE festgelegt + werden, welche Festplatten gesichert werden sollen und wie die Sicherung erfolgen + soll. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a24.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a24 + ref_id: SYS.1.7.A24.6 + description: "B\xE4nder, die vom HSM verwaltet werden, SOLLTEN NICHT anderweitig\ + \ bearbeitet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a25 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 + ref_id: SYS.1.7.A25 + name: Festlegung der Systemdimensionierung von z/OS + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a25.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a25 + ref_id: SYS.1.7.A25.1 + description: "Die Grenzen f\xFCr die maximale Belastung der Ressourcen (Anzahl\ + \ der CPUs, Speicher, Bandbreite etc.) SOLLTEN den Hardware-Voraussetzungen\ + \ entsprechend festgelegt und den zust\xE4ndigen Administrierenden und Anwendungszust\xE4\ + ndigen bekannt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a25.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a25 + ref_id: SYS.1.7.A25.2 + description: "Die Anzahl der zur Verf\xFCgung stehenden Magnetband-Stationen,\ + \ die Zeiten, zu denen Anwendungen auf Magnetband-Stationen zugreifen und\ + \ die ben\xF6tigten Festplattenkapazit\xE4ten SOLLTEN mit den Anwendungszust\xE4\ + ndigen abgestimmt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a25.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a25 + ref_id: SYS.1.7.A25.3 + description: "Die Festplattenkapazit\xE4ten SOLLTEN au\xDFerdem vom Space-Management\ + \ \xFCberwacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a26 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 + ref_id: SYS.1.7.A26 + name: "WorkLoad Management f\xFCr z/OS-Systeme" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a26.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a26 + ref_id: SYS.1.7.A26.1 + description: "Die Programme, Dateien und Kommandos des WorkLoad Managers (WLM)\ + \ sowie die daf\xFCr notwendigen Couple Data Sets SOLLTEN mittels RACF gesch\xFC\ + tzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a26.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a26 + ref_id: SYS.1.7.A26.2 + description: "Dabei SOLLTE sichergestellt sein, dass die Berechtigungen zum\ + \ \xC4ndern des WLM \xFCber z/OS-Kommandos und \xFCber die SDSF-Schnittstelle\ + \ gleich sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a27 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 + ref_id: SYS.1.7.A27 + name: Zeichensatzkonvertierung bei z/OS-Systemen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a27.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a27 + ref_id: SYS.1.7.A27.1 + description: "Wenn Textdateien zwischen z/OS-Systemen und anderen Systemen \xFC\ + bertragen werden, SOLLTE darauf geachtet werden, dass eventuell eine Zeichensatzkonvertierung\ + \ erforderlich ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a27.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a27 + ref_id: SYS.1.7.A27.2 + description: Dabei SOLLTE die korrekte Umsetzungstabelle verwendet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a27.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a27 + ref_id: SYS.1.7.A27.3 + description: "Bei der \xDCbertragung von Programm-Quellcode SOLLTE gepr\xFC\ + ft werden, ob alle Zeichen richtig \xFCbersetzt wurden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a27.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a27 + ref_id: SYS.1.7.A27.4 + description: "Bei der \xDCbertragung von Bin\xE4rdaten SOLLTE hingegen sichergestellt\ + \ sein, dass keine Zeichensatzkonvertierung stattfindet." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a28 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 + ref_id: SYS.1.7.A28 + name: "Lizenzschl\xFCssel-Management f\xFCr z/OS-Software" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a28.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a28 + ref_id: SYS.1.7.A28.1 + description: "F\xFCr Lizenzschl\xFCssel, deren G\xFCltigkeit zeitlich begrenzt\ + \ ist, SOLLTE ein Verfahren zur rechtzeitigen Erneuerung eingerichtet sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a28.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a28 + ref_id: SYS.1.7.A28.2 + description: "Die Laufzeiten der Lizenzschl\xFCssel SOLLTEN dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a28.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a28 + ref_id: SYS.1.7.A28.3 + description: "Die Dokumentation SOLLTE allen betroffenen Administrierenden zur\ + \ Verf\xFCgung stehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a29 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 + ref_id: SYS.1.7.A29 + name: Absicherung von Unix System Services bei z/OS-Systemen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a29.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a29 + ref_id: SYS.1.7.A29.1 + description: "Die Parameter der Unix System Services (USS) SOLLTEN entsprechend\ + \ der funktionalen und sicherheitstechnischen Vorgaben sowie unter Ber\xFC\ + cksichtigung der verf\xFCgbaren Ressourcen eingestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a29.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a29 + ref_id: SYS.1.7.A29.2 + description: "HFS- und zFS-Dateien, die USS-Dateisysteme enthalten, SOLLTEN\ + \ \xFCber RACF-Profile abgesichert und in das Datensicherungskonzept einbezogen\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a29.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a29 + ref_id: SYS.1.7.A29.3 + description: "Au\xDFerdem SOLLTE das Root-Dateisystem mit der Option Read-Only\ + \ gemounted werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a29.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a29 + ref_id: SYS.1.7.A29.4 + description: "Es SOLLTE im USS-Dateisystem KEINE APF-Autorisierung (Authorized\ + \ Program Facility) \xFCber das File Security Packet (FSP) geben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a29.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a29 + ref_id: SYS.1.7.A29.5 + description: Stattdessen SOLLTEN die Module von APF-Dateien des z/OS-Betriebssystems + geladen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a29.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a29 + ref_id: SYS.1.7.A29.6 + description: Zwischen USS-User-IDs und z/OS-User-IDs SOLLTE es eine eindeutige + Zuordnung geben. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a29.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a29 + ref_id: SYS.1.7.A29.7 + description: "Berechtigungen unter USS SOLLTEN \xFCber die RACF-Klasse UNIXPRIV\ + \ vergeben werden und NICHT durch Vergabe der UID 0." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a29.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a29 + ref_id: SYS.1.7.A29.8 + description: "F\xFCr \xDCberpr\xFCfungen und das Monitoring der USS SOLLTEN\ + \ die gleichen Mechanismen wie f\xFCr z/OS genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a30 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 + ref_id: SYS.1.7.A30 + name: Absicherung der z/OS-Trace-Funktionen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a30.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a30 + ref_id: SYS.1.7.A30.1 + description: "Die Trace-Funktionen von z/OS wie GTF (Generalized Trace Facility),\ + \ NetView oder ACF/TAP (Advanced Communication Function/Trace Analysis Program)\ + \ und die entsprechenden Dateien SOLLTEN so gesch\xFCtzt werden, dass nur\ + \ die zust\xE4ndigen und autorisierten Mitarbeitenden darauf Zugriff haben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a30.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a30 + ref_id: SYS.1.7.A30.2 + description: Die Trace-Funktion von NetView SOLLTE deaktiviert sein und nur + im Bedarfsfall aktiviert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a31 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 + ref_id: SYS.1.7.A31 + name: "Notfallvorsorge f\xFCr z/OS-Systeme" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a31.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a31 + ref_id: SYS.1.7.A31.1 + description: Es SOLLTE ein Verfahren zur Wiederherstellung einer funktionierenden + RACF-Datenbank vorgesehen sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a31.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a31 + ref_id: SYS.1.7.A31.2 + description: "Weiterhin SOLLTEN eine Kopie des z/OS-Betriebssystems als z/OS-Backup-System\ + \ und, unabh\xE4ngig von Produktivsystem, ein z/OS-Notfallsystem vorgehalten\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a32 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 + ref_id: SYS.1.7.A32 + name: "Festlegung von Standards f\xFCr z/OS-Systemdefinitionen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a32.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a32 + ref_id: SYS.1.7.A32.1 + description: "Es SOLLTEN Standards und Namenskonventionen f\xFCr z/OS-Systemdefinitionen\ + \ festgelegt und dokumentiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a32.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a32 + ref_id: SYS.1.7.A32.2 + description: "Die Dokumentationen SOLLTEN den Administrierenden zur Verf\xFC\ + gung stehen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a32.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a32 + ref_id: SYS.1.7.A32.3 + description: "Die Einhaltung der Standards SOLLTE regelm\xE4\xDFig \xFCberpr\xFC\ + ft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a32.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a32 + ref_id: SYS.1.7.A32.4 + description: "Standards SOLLTEN insbesondere f\xFCr Datei-, Datenbank-, Job-\ + \ und Volume-Namen sowie f\xFCr Application-, System- und User-IDs definiert\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a33 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 + ref_id: SYS.1.7.A33 + name: Trennung von Test- und Produktionssystemen unter z/OS + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a33.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a33 + ref_id: SYS.1.7.A33.1 + description: "Es SOLLTEN technische Ma\xDFnahmen ergriffen werden, um Entwicklungs-\ + \ und Testsysteme von Produktionssystemen unter z/OS zu trennen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a33.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a33 + ref_id: SYS.1.7.A33.2 + description: "Dabei SOLLTEN eventuelle Zugriffsm\xF6glichkeiten \xFCber gemeinsame\ + \ Festplatten und den Parallel Sysplex beachtet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a34 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 + ref_id: SYS.1.7.A34 + name: "Batch-Job-Planung f\xFCr z/OS-Systeme" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a34.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a34 + ref_id: SYS.1.7.A34.1 + description: "Wenn ein z/OS-System eine gr\xF6\xDFere Anzahl von Batch-Jobs\ + \ verarbeitet, SOLLTE f\xFCr die Ablaufsteuerung der Batch-Jobs ein Job-Scheduler\ + \ eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a34.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a34 + ref_id: SYS.1.7.A34.2 + description: "Der Job-Scheduler sowie die zugeh\xF6rigen Dateien und Tools SOLLTEN\ + \ mittels RACF geeignet gesch\xFCtzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a35 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 + ref_id: SYS.1.7.A35 + name: Einsatz von RACF-Exits + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a35.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a35 + ref_id: SYS.1.7.A35.1 + description: Falls RACF-Exits eingesetzt werden, SOLLTEN die sicherheitstechnischen + und betrieblichen Auswirkungen analysiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a35.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a35 + ref_id: SYS.1.7.A35.2 + description: "Die RACF-Exits SOLLTEN au\xDFerdem \xFCber das SMP/E (System Modification\ + \ Program/Enhanced) als USERMOD installiert und \xFCberwacht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a36 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 + ref_id: SYS.1.7.A36 + name: Interne Kommunikation von Betriebssystemen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a36.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a36 + ref_id: SYS.1.7.A36.1 + description: "Die Kommunikation von Betriebssystemen, z/OS oder Linux, die entweder\ + \ im LPAR-Mode oder unter z/VM auf derselben Z-Hardware installiert sind,\ + \ SOLLTE \xFCber interne Kan\xE4le erfolgen, d. h. \xFCber HiperSockets oder\ + \ virtuelle CTC-Verbindungen (Channel-to-Channel)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a37 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 + ref_id: SYS.1.7.A37 + name: Parallel Sysplex unter z/OS + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a37.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a37 + ref_id: SYS.1.7.A37.1 + description: "Anhand der Verf\xFCgbarkeits- und Skalierbarkeitsanforderungen\ + \ SOLLTE entschieden werden, ob ein Parallel Sysplex (Cluster von z/OS-Systemen)\ + \ eingesetzt wird und gegebenenfalls welche Redundanzen dabei vorgesehen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a37.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a37 + ref_id: SYS.1.7.A37.2 + description: "Bei der Dimensionierung der Ressourcen SOLLTEN die Anforderungen\ + \ der Anwendungen ber\xFCcksichtigt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a37.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a37 + ref_id: SYS.1.7.A37.3 + description: "Die Software und die Definitionen der LPARs des Sysplex, einschlie\xDF\ + lich RACF, SOLLTEN synchronisiert oder als gemeinsam benutzte Dateien bereitgestellt\ + \ sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a37.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a37 + ref_id: SYS.1.7.A37.4 + description: "Es SOLLTE sichergestellt sein, dass alle LPARs des Sysplex auf\ + \ die Couple Data Sets zugreifen k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a37.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a37 + ref_id: SYS.1.7.A37.5 + description: "Die Couple Data Sets sowie alle sicherheitskritischen Programme\ + \ und Kommandos zur Verwaltung des Sysplex SOLLTEN mittels RACF gesch\xFC\ + tzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a37.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a37 + ref_id: SYS.1.7.A37.6 + description: "Au\xDFerdem SOLLTE ein GRS-Verbund (Global Resource Serialization)\ + \ eingerichtet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a37.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a37 + ref_id: SYS.1.7.A37.7 + description: Die Festplatten des Sysplexes SOLLTEN strikt von den Festplatten + anderer Systeme getrennt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a37.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a37 + ref_id: SYS.1.7.A37.8 + description: Der System Logger SOLLTE mit Staging Data Set eingesetzt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a38 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7 + ref_id: SYS.1.7.A38 + name: Einsatz des VTAM Session Management Exit unter z/OS + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a38.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a38 + ref_id: SYS.1.7.A38.1 + description: "Falls ein VTAM Session Management Exit eingesetzt werden soll,\ + \ SOLLTE gew\xE4hrleistet werden, dass dadurch der sichere und performante\ + \ Betrieb nicht beeintr\xE4chtigt wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a38.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a38 + ref_id: SYS.1.7.A38.2 + description: "Der Exit SOLLTE mindestens eine nachtr\xE4gliche Kontrolle der\ + \ abgewiesenen Login-Versuche erm\xF6glichen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a38.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a38 + ref_id: SYS.1.7.A38.3 + description: "Au\xDFerdem SOLLTE sich der Exit dynamisch konfigurieren lassen\ + \ und das Regelwerk von einer externen Datei nachladen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a38.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.7.a38 + ref_id: SYS.1.7.A38.4 + description: "Funktionen, Kommandos und Dateien im Zusammenhang mit dem Exit\ + \ SOLLTEN durch RACF gesch\xFCtzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys + ref_id: SYS.1.8 + name: "Speicherl\xF6sungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 + ref_id: SYS.1.8.A1 + name: Geeignete Aufstellung von Speichersystemen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a1 + ref_id: SYS.1.8.A1.1 + description: "Die IT-Komponenten von Speicherl\xF6sungen M\xDCSSEN in verschlossenen\ + \ R\xE4umen aufgestellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a1 + ref_id: SYS.1.8.A1.2 + description: "Zu diesen R\xE4umen D\xDCRFEN NUR Berechtigte Zutritt haben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a1 + ref_id: SYS.1.8.A1.3 + description: Zudem MUSS eine sichere Stromversorgung sichergestellt sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a1 + ref_id: SYS.1.8.A1.4 + description: "Die Vorgaben des herstellenden Unternehmens zur empfohlenen Umgebungstemperatur\ + \ und Luftfeuchte M\xDCSSEN eingehalten werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 + ref_id: SYS.1.8.A2 + name: "Sichere Grundkonfiguration von Speicherl\xF6sungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a2 + ref_id: SYS.1.8.A2.1 + description: "Bevor eine Speicherl\xF6sung produktiv eingesetzt wird, MUSS sichergestellt\ + \ sein, dass alle eingesetzten Softwarekomponenten und die Firmware aktuell\ + \ sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a2 + ref_id: SYS.1.8.A2.2 + description: Danach MUSS eine sichere Grundkonfiguration hergestellt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a2 + ref_id: SYS.1.8.A2.3 + description: "Nicht genutzte Schnittstellen des Speichersystems M\xDCSSEN deaktiviert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a2 + ref_id: SYS.1.8.A2.4 + description: "Die Dateien zur Default-Konfiguration, zur vorgenommenen Grundkonfiguration\ + \ und zur aktuellen Konfiguration SOLLTEN redundant und gesch\xFCtzt aufbewahrt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 + ref_id: SYS.1.8.A4 + name: Schutz der Administrationsschnittstellen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a4 + ref_id: SYS.1.8.A4.1 + description: "Alle Administrations- und Management-Zug\xE4nge der Speichersysteme\ + \ M\xDCSSEN eingeschr\xE4nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a4 + ref_id: SYS.1.8.A4.2 + description: "Es MUSS sichergestellt sein, dass aus nicht-vertrauensw\xFCrdigen\ + \ Netzen heraus nicht auf die Administrationsschnittstellen zugegriffen werden\ + \ kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a4 + ref_id: SYS.1.8.A4.3 + description: Es SOLLTEN als sicher geltende Protokolle eingesetzt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a4 + ref_id: SYS.1.8.A4.4 + description: "Sollten dennoch unsichere Protokolle verwendet werden, MUSS f\xFC\ + r die Administration ein eigenes Administrationsnetz (siehe NET.1.1 Netzarchitektur\ + \ und -design) genutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 + ref_id: SYS.1.8.A6 + name: "Erstellung einer Sicherheitsrichtlinie f\xFCr Speicherl\xF6sungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a6 + ref_id: SYS.1.8.A6.1 + description: "Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution\ + \ SOLLTE eine spezifische Sicherheitsrichtlinie f\xFCr Speicherl\xF6sungen\ + \ erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a6 + ref_id: SYS.1.8.A6.2 + description: "Darin SOLLTEN nachvollziehbar Vorgaben beschrieben sein, wie Speicherl\xF6\ + sungen sicher geplant, administriert, installiert, konfiguriert und betrieben\ + \ werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a6 + ref_id: SYS.1.8.A6.3 + description: "Die Richtlinie SOLLTE allen f\xFCr Speicherl\xF6sungen zust\xE4\ + ndigen Administrierenden bekannt und grundlegend f\xFCr ihre Arbeit sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a6 + ref_id: SYS.1.8.A6.4 + description: "Wird die Richtlinie ver\xE4ndert oder wird von den Vorgaben abgewichen,\ + \ SOLLTE dies mit dem oder der ISB abgestimmt und dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a6 + ref_id: SYS.1.8.A6.5 + description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Richtlinie\ + \ noch korrekt umgesetzt ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a6.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a6 + ref_id: SYS.1.8.A6.6 + description: Gegebenenfalls SOLLTE sie aktualisiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a6.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a6 + ref_id: SYS.1.8.A6.7 + description: Die Ergebnisse SOLLTEN sinnvoll dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 + ref_id: SYS.1.8.A7 + name: "Planung von Speicherl\xF6sungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7 + ref_id: SYS.1.8.A7.1 + description: "Bevor Speicherl\xF6sungen in einer Institution eingesetzt werden,\ + \ SOLLTE eine Anforderungsanalyse durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7 + ref_id: SYS.1.8.A7.2 + description: "In der Anforderungsanalyse SOLLTEN unter anderem die Themen Performance\ + \ und Kapazit\xE4t betrachtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7 + ref_id: SYS.1.8.A7.3 + description: "Auf Basis der ermittelten Anforderungen SOLLTE dann eine detaillierte\ + \ Planung f\xFCr Speicherl\xF6sungen erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7 + ref_id: SYS.1.8.A7.4 + description: "Darin SOLLTEN folgende Punkte ber\xFCcksichtigt werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7 + ref_id: SYS.1.8.A7.5 + description: "\u2022 Auswahl von herstellenden Unternehmen und Liefernden," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7 + ref_id: SYS.1.8.A7.6 + description: "\u2022 Entscheidung f\xFCr oder gegen zentrale Verwaltungssysteme\ + \ (Management-Systeme)," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7 + ref_id: SYS.1.8.A7.7 + description: "\u2022 Planung des Netzanschlusses," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7 + ref_id: SYS.1.8.A7.8 + description: "\u2022 Planung der Infrastruktur sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a7 + ref_id: SYS.1.8.A7.9 + description: "\u2022 Integration in bestehende Prozesse." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 + ref_id: SYS.1.8.A8 + name: "Auswahl einer geeigneten Speicherl\xF6sung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a8 + ref_id: SYS.1.8.A8.1 + description: "Die technischen Grundlagen unterschiedlicher Speicherl\xF6sungen\ + \ SOLLTEN detailliert beleuchtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a8 + ref_id: SYS.1.8.A8.2 + description: "Die Auswirkungen dieser technischen Grundlagen auf den m\xF6glichen\ + \ Einsatz in der Institution SOLLTEN gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a8 + ref_id: SYS.1.8.A8.3 + description: "Die M\xF6glichkeiten und Grenzen der verschiedenen Speichersystemarten\ + \ SOLLTEN f\xFCr die Verantwortlichen der Institution transparent dargestellt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a8 + ref_id: SYS.1.8.A8.4 + description: "Die Entscheidungskriterien f\xFCr eine Speicherl\xF6sung SOLLTEN\ + \ nachvollziehbar dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a8.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a8 + ref_id: SYS.1.8.A8.5 + description: "Ebenso SOLLTE die Entscheidung f\xFCr die Auswahl einer Speicherl\xF6\ + sung nachvollziehbar dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 + ref_id: SYS.1.8.A9 + name: "Auswahl von Liefernden f\xFCr eine Speicherl\xF6sung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a9 + ref_id: SYS.1.8.A9.1 + description: "Anhand der spezifizierten Anforderungen an eine Speicherl\xF6\ + sung SOLLTEN geeignete Liefernde ausgew\xE4hlt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a9 + ref_id: SYS.1.8.A9.2 + description: Die Auswahlkriterien und die Entscheidung SOLLTEN nachvollziehbar + dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a9 + ref_id: SYS.1.8.A9.3 + description: "Au\xDFerdem SOLLTEN Aspekte der Wartung und Instandhaltung schriftlich\ + \ in sogenannten Service-Level-Agreements (SLAs) festgehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a9 + ref_id: SYS.1.8.A9.4 + description: Die SLAs SOLLTEN eindeutig und quantifizierbar sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a9.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a9 + ref_id: SYS.1.8.A9.5 + description: Es SOLLTE genau geregelt werden, wann der Vertrag mit den Liefernden + endet. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 + ref_id: SYS.1.8.A10 + name: Erstellung und Pflege eines Betriebshandbuchs + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a10 + ref_id: SYS.1.8.A10.1 + description: Es SOLLTE ein Betriebshandbuch erstellt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a10 + ref_id: SYS.1.8.A10.2 + description: "Darin SOLLTEN alle Regelungen, Anforderungen und Einstellungen\ + \ dokumentiert werden, die erforderlich sind, um Speicherl\xF6sungen zu betreiben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a10 + ref_id: SYS.1.8.A10.3 + description: "Das Betriebshandbuch SOLLTE regelm\xE4\xDFig aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 + ref_id: SYS.1.8.A11 + name: "Sicherer Betrieb einer Speicherl\xF6sung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a11 + ref_id: SYS.1.8.A11.1 + description: "Das Speichersystem SOLLTE hinsichtlich der Verf\xFCgbarkeit der\ + \ internen Anwendungen, der Systemauslastung sowie kritischer Ereignisse \xFC\ + berwacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a11 + ref_id: SYS.1.8.A11.2 + description: "Weiterhin SOLLTEN f\xFCr Speicherl\xF6sungen feste Wartungsfenster\ + \ definiert werden, in denen \xC4nderungen durchgef\xFChrt werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a11 + ref_id: SYS.1.8.A11.3 + description: "Insbesondere Firmware- oder Betriebssystemupdates von Speichersystemen\ + \ oder den Netzkomponenten einer Speicherl\xF6sung SOLLTEN ausschlie\xDFlich\ + \ innerhalb eines solchen Wartungsfensters durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 + ref_id: SYS.1.8.A13 + name: "\xDCberwachung und Verwaltung von Speicherl\xF6sungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a13 + ref_id: SYS.1.8.A13.1 + description: "Speicherl\xF6sungen SOLLTEN \xFCberwacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a13 + ref_id: SYS.1.8.A13.2 + description: "Dabei SOLLTEN alle erhobenen Daten (Nachrichten) vorrangig daraufhin\ + \ gepr\xFCft werden, ob die Vorgaben des Betriebshandbuchs eingehalten werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a13 + ref_id: SYS.1.8.A13.3 + description: Die wesentlichen Nachrichten SOLLTEN mit Nachrichtenfilter herausgefiltert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a13.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a13 + ref_id: SYS.1.8.A13.4 + description: "Einzelne Komponenten der Speicherl\xF6sung und des Gesamtsystems\ + \ SOLLTEN zentral verwaltet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 + ref_id: SYS.1.8.A14 + name: Absicherung eines SANs durch Segmentierung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a14 + ref_id: SYS.1.8.A14.1 + description: Ein SAN SOLLTE segmentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a14 + ref_id: SYS.1.8.A14.2 + description: Es SOLLTE ein Konzept erarbeitet werden, das die SAN-Ressourcen + den jeweiligen Servern zuordnet. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a14 + ref_id: SYS.1.8.A14.3 + description: "Hierf\xFCr SOLLTE anhand der Sicherheitsanforderungen und des\ + \ Administrationsaufwands entschieden werden, welche Segmentierung in welcher\ + \ Implementierung (z. B. FC-SANs oder iSCSI-Speichernetze) eingesetzt werden\ + \ soll." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a14.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a14 + ref_id: SYS.1.8.A14.4 + description: "Die aktuelle Ressourcenzuordnung SOLLTE mithilfe von Verwaltungswerkzeugen\ + \ einfach und \xFCbersichtlich erkennbar sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a14.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a14 + ref_id: SYS.1.8.A14.5 + description: Weiterhin SOLLTE die aktuelle Zoning-Konfiguration dokumentiert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a14.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a14 + ref_id: SYS.1.8.A14.6 + description: "Die Dokumentation SOLLTE auch in Notf\xE4llen verf\xFCgbar sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 + ref_id: SYS.1.8.A15 + name: "Sichere Trennung von Mandanten in Speicherl\xF6sungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a15 + ref_id: SYS.1.8.A15.1 + description: "Es SOLLTE definiert und nachvollziehbar dokumentiert werden, welche\ + \ Anforderungen die Institution an die Mandantenf\xE4higkeit einer Speicherl\xF6\ + sung stellt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a15 + ref_id: SYS.1.8.A15.2 + description: "Die eingesetzten Speicherl\xF6sungen SOLLTEN diese dokumentierten\ + \ Anforderungen erf\xFCllen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a15 + ref_id: SYS.1.8.A15.3 + description: Im Block-Storage-Umfeld SOLLTE LUN Masking eingesetzt werden, um + Mandanten voneinander zu trennen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a15.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a15 + ref_id: SYS.1.8.A15.4 + description: "In Fileservice-Umgebungen SOLLTE es m\xF6glich sein, mit virtuellen\ + \ Fileservern zu agieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a15.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a15 + ref_id: SYS.1.8.A15.5 + description: Dabei SOLLTE jedem Mandanten ein eigener Fileservice zugeordnet + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a15.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a15 + ref_id: SYS.1.8.A15.6 + description: "Beim Einsatz von IP oder iSCSI SOLLTEN die Mandanten \xFCber eine\ + \ Segmentierung im Netz voneinander getrennt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a15.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a15 + ref_id: SYS.1.8.A15.7 + description: Wird Fibre Channel eingesetzt, SOLLTE mithilfe von VSANs und Soft-Zoning + separiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 + ref_id: SYS.1.8.A16 + name: "Sicheres L\xF6schen in SAN-Umgebungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a16 + ref_id: SYS.1.8.A16.1 + description: "In mandantenf\xE4higen Speichersystemen SOLLTE sichergestellt\ + \ werden, dass Logical Unit Numbers (LUNs), die einem bestimmten Mandanten\ + \ zugeordnet sind, gel\xF6scht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 + ref_id: SYS.1.8.A17 + name: Dokumentation der Systemeinstellungen von Speichersystemen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a17 + ref_id: SYS.1.8.A17.1 + description: Alle Systemeinstellungen von Speichersystemen SOLLTEN dokumentiert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a17 + ref_id: SYS.1.8.A17.2 + description: Die Dokumentation SOLLTE die technischen und organisatorischen + Vorgaben sowie alle spezifischen Konfigurationen der Speichersysteme der Institution + enthalten. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a17 + ref_id: SYS.1.8.A17.3 + description: "Sofern die Dokumentation der Systemeinstellungen vertrauliche\ + \ Informationen beinhaltet, SOLLTEN diese vor unberechtigtem Zugriff gesch\xFC\ + tzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a17.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a17 + ref_id: SYS.1.8.A17.4 + description: "Die Dokumentation SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a17.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a17 + ref_id: SYS.1.8.A17.5 + description: Sie SOLLTE immer aktuell sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 + ref_id: SYS.1.8.A18 + name: Sicherheitsaudits und Berichtswesen bei Speichersystemen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a18 + ref_id: SYS.1.8.A18.1 + description: "Alle eingesetzten Speichersysteme SOLLTEN regelm\xE4\xDFig auditiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a18 + ref_id: SYS.1.8.A18.2 + description: "Daf\xFCr SOLLTE ein entsprechender Prozess eingerichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a18 + ref_id: SYS.1.8.A18.3 + description: "Es SOLLTE geregelt werden, welche Sicherheitsreports mit welchen\ + \ Inhalten regelm\xE4\xDFig zu erstellen sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a18.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a18 + ref_id: SYS.1.8.A18.4 + description: "Zudem SOLLTE auch geregelt werden, wie mit Abweichungen von Vorgaben\ + \ umgegangen wird und wie oft und in welcher Tiefe Audits durchgef\xFChrt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 + ref_id: SYS.1.8.A19 + name: "Aussonderung von Speicherl\xF6sungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a19 + ref_id: SYS.1.8.A19.1 + description: "Werden ganze Speicherl\xF6sungen oder einzelne Komponenten einer\ + \ Speicherl\xF6sung nicht mehr ben\xF6tigt, SOLLTEN alle darauf vorhandenen\ + \ Daten auf andere Speicherl\xF6sungen \xFCbertragen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a19 + ref_id: SYS.1.8.A19.2 + description: "Hierf\xFCr SOLLTE eine \xDCbergangsphase eingeplant werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a19.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a19 + ref_id: SYS.1.8.A19.3 + description: "Anschlie\xDFend SOLLTEN alle Nutzdaten und Konfigurationsdaten\ + \ sicher gel\xF6scht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a19.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a19 + ref_id: SYS.1.8.A19.4 + description: "Aus allen relevanten Dokumenten SOLLTEN alle Verweise auf die\ + \ au\xDFer Betrieb genommene Speicherl\xF6sung entfernt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 + ref_id: SYS.1.8.A20 + name: "Notfallvorsorge und Notfallreaktion f\xFCr Speicherl\xF6sungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a20 + ref_id: SYS.1.8.A20.1 + description: "Es SOLLTE ein Notfallplan f\xFCr die eingesetzte Speicherl\xF6\ + sung erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a20.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a20 + ref_id: SYS.1.8.A20.2 + description: Der Notfallplan SOLLTE genau beschreiben, wie in bestimmten Notfallsituationen + vorzugehen ist. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a20.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a20 + ref_id: SYS.1.8.A20.3 + description: "Auch SOLLTEN Handlungsanweisungen in Form von Ma\xDFnahmen und\ + \ Kommandos enthalten sein, die die Fehleranalyse und Fehlerkorrektur unterst\xFC\ + tzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a20.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a20 + ref_id: SYS.1.8.A20.4 + description: Um Fehler zu beheben, SOLLTEN geeignete Werkzeuge eingesetzt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a20.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a20 + ref_id: SYS.1.8.A20.5 + description: "Regelm\xE4\xDFige \xDCbungen und Tests SOLLTEN anhand des Notfallplans\ + \ durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a20.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a20 + ref_id: SYS.1.8.A20.6 + description: "Nach den \xDCbungen und Tests sowie nach einem tats\xE4chlichen\ + \ Notfall SOLLTEN die dabei erzeugten Daten sicher gel\xF6scht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 + ref_id: SYS.1.8.A21 + name: Einsatz von Speicherpools zur Trennung von Mandanten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a21 + ref_id: SYS.1.8.A21.1 + description: Mandanten SOLLTEN Speicherressourcen aus unterschiedlichen sogenannten + Speicherpools zugewiesen werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a21.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a21 + ref_id: SYS.1.8.A21.2 + description: Dabei SOLLTE ein Speichermedium immer nur einem einzigen Pool zugewiesen + werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a21.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a21 + ref_id: SYS.1.8.A21.3 + description: Die logischen Festplatten (LUNs), die aus einem solchen Pool generiert + werden, SOLLTEN nur einem einzigen Mandanten zugeordnet werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 + ref_id: SYS.1.8.A22 + name: "Einsatz einer hochverf\xFCgbaren SAN-L\xF6sung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a22 + ref_id: SYS.1.8.A22.1 + description: "Eine hochverf\xFCgbare SAN-L\xF6sung SOLLTE eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a22.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a22 + ref_id: SYS.1.8.A22.2 + description: "Die eingesetzten Replikationsmechanismen SOLLTEN den Verf\xFC\ + gbarkeitsanforderungen der Institution an die Speicherl\xF6sung entsprechen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a22.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a22 + ref_id: SYS.1.8.A22.3 + description: "Auch die Konfiguration der Speicherl\xF6sung SOLLTE den Verf\xFC\ + gbarkeitsanforderungen gerecht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a22.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a22 + ref_id: SYS.1.8.A22.4 + description: "Au\xDFerdem SOLLTE ein Test- und Konsolidierungssystem vorhanden\ + \ sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a23 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 + ref_id: SYS.1.8.A23 + name: "Einsatz von Verschl\xFCsselung f\xFCr Speicherl\xF6sungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a23.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a23 + ref_id: SYS.1.8.A23.1 + description: "Alle in Speicherl\xF6sungen abgelegten Daten SOLLTEN verschl\xFC\ + sselt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a23.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a23 + ref_id: SYS.1.8.A23.2 + description: "Es SOLLTE festgelegt werden, auf welchen Ebenen (Data-in-Motion\ + \ und Data-at-Rest) verschl\xFCsselt wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a23.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a23 + ref_id: SYS.1.8.A23.3 + description: "Dabei SOLLTE beachtet werden, dass die Verschl\xFCsselung auf\ + \ dem Transportweg auch bei Replikationen und Backup-Traffic relevant ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a24 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 + ref_id: SYS.1.8.A24 + name: "Sicherstellung der Integrit\xE4t der SAN-Fabric" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a24.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a24 + ref_id: SYS.1.8.A24.1 + description: "Um die Integrit\xE4t der SAN-Fabric sicherzustellen, SOLLTEN Protokolle\ + \ mit zus\xE4tzlichen Sicherheitsmerkmalen eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a24.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a24 + ref_id: SYS.1.8.A24.2 + description: "Bei den folgenden Protokollen SOLLTEN deren Sicherheitseigenschaften\ + \ ber\xFCcksichtigt und entsprechende Konfigurationen verwendet werden:" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a24.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a24 + ref_id: SYS.1.8.A24.3 + description: "\u2022 Diffie Hellman Challenge Handshake Authentication Protocol\ + \ (DH-CHAP)," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a24.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a24 + ref_id: SYS.1.8.A24.4 + description: "\u2022 Fibre Channel Authentication Protocol (FCAP) und" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a24.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a24 + ref_id: SYS.1.8.A24.5 + description: "\u2022 Fibre Channel Password Authentication Protocol (FCPAP)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a25 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 + ref_id: SYS.1.8.A25 + name: "Mehrfaches \xDCberschreiben der Daten einer LUN" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a25.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a25 + ref_id: SYS.1.8.A25.1 + description: "In SAN-Umgebungen SOLLTEN Daten gel\xF6scht werden, indem die\ + \ zugeh\xF6rigen Speichersegmente einer LUN mehrfach \xFCberschrieben werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a26 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8 + ref_id: SYS.1.8.A26 + name: Absicherung eines SANs durch Hard-Zoning + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a26.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.8.a26 + ref_id: SYS.1.8.A26.1 + description: Um SANs zu segmentieren, SOLLTE Hard-Zoning eingesetzt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys + ref_id: SYS.1.9 + name: 'Terminalserver ' + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 + ref_id: SYS.1.9.A1 + name: "Erstellung einer Sicherheitsrichtlinie f\xFCr den Einsatz von Terminalservern" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1 + ref_id: SYS.1.9.A1.1 + description: "F\xFCr den Einsatz von Terminalservern MUSS eine Sicherheitsrichtlinie\ + \ erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1 + ref_id: SYS.1.9.A1.2 + description: "Bei der Erstellung der Sicherheitsrichtlinie M\xDCSSEN mindestens\ + \ folgende Punkte ber\xFCcksichtigt werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1 + ref_id: SYS.1.9.A1.3 + description: "\u2022 Anwendungen, die auf Terminalservern bereitgestellt werden\ + \ d\xFCrfen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1 + ref_id: SYS.1.9.A1.4 + description: "\u2022 Anwendungen, die gemeinsam auf Terminalservern bereitgestellt\ + \ werden d\xFCrfen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1 + ref_id: SYS.1.9.A1.5 + description: "\u2022 Anforderungen an die Sicherheit von Clients, auf denen\ + \ die Terminal-Client-Software ausgef\xFChrt wird," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1 + ref_id: SYS.1.9.A1.6 + description: "\u2022 physisches Umfeld, in dem die Clients eingesetzt werden\ + \ d\xFCrfen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1 + ref_id: SYS.1.9.A1.7 + description: "\u2022 Netze, aus denen heraus Kommunikationsverbindungen zu den\ + \ Terminalservern initiiert werden d\xFCrfen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1 + ref_id: SYS.1.9.A1.8 + description: "\u2022 Netze, in die Anwendungen auf den Terminalservern kommunizieren\ + \ d\xFCrfen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1 + ref_id: SYS.1.9.A1.9 + description: "\u2022 Kommunikationsprotokolle, die zwischen Clients und Terminalservern\ + \ erlaubt sind," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1 + ref_id: SYS.1.9.A1.10 + description: "\u2022 Verschl\xFCsselungsmechanismen und Authentisierungsmethoden,\ + \ die zwischen Clients und Terminalservern zu benutzen sind," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1 + ref_id: SYS.1.9.A1.11 + description: "\u2022 M\xF6glichkeiten, wie Dateien und Anwendungsdaten zus\xE4\ + tzlich zur Bildschirmausgabe \xFCber das Terminalserver-Protokoll \xFCbertragen\ + \ werden d\xFCrfen sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a1 + ref_id: SYS.1.9.A1.12 + description: "\u2022 Peripherieger\xE4te, die neben Ein- und Ausgabeger\xE4\ + ten zus\xE4tzlich an den Client angebunden werden d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 + ref_id: SYS.1.9.A2 + name: Planung des Einsatzes von Terminalservern + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2 + ref_id: SYS.1.9.A2.1 + description: "F\xFCr die Anwendungen, die auf einem Terminalserver bereitgestellt\ + \ werden sollen, M\xDCSSEN die Anforderungen an die Funktionalit\xE4t (Anforderungsprofil)\ + \ ermittelt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2 + ref_id: SYS.1.9.A2.2 + description: "F\xFCr alle ben\xF6tigten Funktionen MUSS sichergestellt werden,\ + \ dass diese tats\xE4chlich auch \xFCber den Terminalserver abgerufen werden\ + \ k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2 + ref_id: SYS.1.9.A2.3 + description: "Dar\xFCber hinaus MUSS getestet werden, ob die Anwendungen die\ + \ Anforderungen bei der Bereitstellung \xFCber den Terminalserver grundlegend\ + \ erf\xFCllen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2 + ref_id: SYS.1.9.A2.4 + description: Die Gesamtzahl der einzurichtenden Benutzenden MUSS prognostiziert + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2 + ref_id: SYS.1.9.A2.5 + description: "Dabei M\xDCSSEN alle Anwendungen mitgez\xE4hlt werden, die auf\ + \ dem Terminalserver bereitgestellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2 + ref_id: SYS.1.9.A2.6 + description: Die Anzahl der Benutzenden, die den Terminalserver potenziell gleichzeitig + benutzen, MUSS prognostiziert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2 + ref_id: SYS.1.9.A2.7 + description: "Diese Prognosen M\xDCSSEN den Einsatzzeitraum des Terminalservers\ + \ abdecken." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2 + ref_id: SYS.1.9.A2.8 + description: "Abh\xE4ngig von der prognostizierten Anzahl der Benutzenden und\ + \ den Anforderungen der bereitgestellten Anwendungen M\xDCSSEN die Leistungsanforderungen\ + \ (z. B. hinsichtlich CPU und Arbeitsspeicher) an den Terminalserver ermittelt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2 + ref_id: SYS.1.9.A2.9 + description: Der Terminalserver MUSS anhand dieser Leistungsanforderungen dimensioniert + und ausgestattet werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a2 + ref_id: SYS.1.9.A2.10 + description: "Das Lizenzschema der eingesetzten Anwendungen MUSS daraufhin gepr\xFC\ + ft werden, ob es daf\xFCr geeignet ist, diese Anwendungen auf Terminalservern\ + \ einzusetzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 + ref_id: SYS.1.9.A3 + name: "Festlegung der Rollen und Berechtigungen f\xFCr den Terminalserver" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3 + ref_id: SYS.1.9.A3.1 + description: "Auf Terminalservern D\xDCRFEN KEINE Sammelkonten verwendet werden,\ + \ wenn dies gegen interne Regelungen oder Lizenzbedingungen verst\xF6\xDF\ + t." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3 + ref_id: SYS.1.9.A3.2 + description: "Bei der Festlegung von Rollen und Berechtigungen f\xFCr die Benutzung\ + \ des Terminalservers M\xDCSSEN alle auf dem Terminalserver bereitgestellten\ + \ Anwendungen und deren Anforderungen mit ausreichenden Berechtigungen ausgestattet\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3 + ref_id: SYS.1.9.A3.3 + description: "Die Rollen und Berechtigungen M\xDCSSEN so vergeben werden, dass\ + \ zwischen Terminalserver-Sitzungen nur in dem Umfang kommuniziert werden\ + \ kann, wie es f\xFCr die Funktionalit\xE4t der Anwendung erforderlich ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3 + ref_id: SYS.1.9.A3.4 + description: "Mindestens M\xDCSSEN die Berechtigungen f\xFCr folgende T\xE4\ + tigkeiten festgelegt werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3 + ref_id: SYS.1.9.A3.5 + description: "\u2022 Ausf\xFChren von Anwendungen in fremdem Kontext (insbesondere\ + \ als \u201Eroot\u201C)," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3 + ref_id: SYS.1.9.A3.6 + description: "\u2022 Zugriff auf betriebssystemspezifische Funktionen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3 + ref_id: SYS.1.9.A3.7 + description: "\u2022 Zugriff auf das Dateisystem des Terminalservers," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3 + ref_id: SYS.1.9.A3.8 + description: "\u2022 Zugriff auf Schnittstellen und Dateisystem des verwendeten\ + \ zugreifenden Clients," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3 + ref_id: SYS.1.9.A3.9 + description: "\u2022 Zugriff der auf dem Terminalserver bereitgestellten Anwendungen\ + \ auf nachgelagerte Dienste," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3 + ref_id: SYS.1.9.A3.10 + description: "\u2022 Datei- und Objekttransfer zwischen Clients und Terminalservern\ + \ (z. B. zum Drucken am Client) sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a3 + ref_id: SYS.1.9.A3.11 + description: "\u2022 Anbindung von Peripherieger\xE4ten am Client." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 + ref_id: SYS.1.9.A4 + name: Sichere Konfiguration des Terminalservers + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4 + ref_id: SYS.1.9.A4.1 + description: "Abh\xE4ngig von den Anforderungen an die Sicherheit und Funktionalit\xE4\ + t der bereitgestellten Anwendungen M\xDCSSEN Vorgaben f\xFCr die Konfiguration\ + \ von Terminalservern erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4 + ref_id: SYS.1.9.A4.2 + description: "Diese Vorgaben M\xDCSSEN vollst\xE4ndig umgesetzt und dokumentiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4 + ref_id: SYS.1.9.A4.3 + description: "Es MUSS gepr\xFCft werden, ob das Unternehmen, das den Terminalserver\ + \ herstellt, Vorgaben oder Empfehlungen zur sicheren Konfiguration oder H\xE4\ + rtung bereitstellt." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4 + ref_id: SYS.1.9.A4.4 + description: "Ist dies der Fall, M\xDCSSEN diese f\xFCr die Erstellung der Konfigurationsvorgaben\ + \ angemessen ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4 + ref_id: SYS.1.9.A4.5 + description: "Sowohl die Konfigurationsvorgaben als auch deren Umsetzung M\xDC\ + SSEN regelm\xE4\xDFig gepr\xFCft und gegebenenfalls angepasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4 + ref_id: SYS.1.9.A4.6 + description: "Es M\xDCSSEN mindestens folgende Punkte f\xFCr die Konfigurationsvorgaben\ + \ ber\xFCcksichtigt werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4 + ref_id: SYS.1.9.A4.7 + description: "\u2022 Rollen und Berechtigungen" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4 + ref_id: SYS.1.9.A4.8 + description: "\u2022 Umfang der Verschl\xFCsselung des Terminalserver-Protokolls" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4 + ref_id: SYS.1.9.A4.9 + description: "\u2022 ben\xF6tigte Authentisierungsfunktionen des Terminalserver-Protokolls" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4 + ref_id: SYS.1.9.A4.10 + description: "\u2022 M\xF6glichkeit zum Anzeigen der Ausgabe fremder Sitzungen" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4 + ref_id: SYS.1.9.A4.11 + description: "\u2022 Kommunikation zwischen Anwendungen in den Terminalserver-Sitzungen\ + \ und Anwendungen auf anderen Servern" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a4 + ref_id: SYS.1.9.A4.12 + description: "\u2022 Kommunikation zwischen Terminalserver und anderen Servern" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 + ref_id: SYS.1.9.A5 + name: Planung der eingesetzten Clients und Terminal-Client-Software + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a5 + ref_id: SYS.1.9.A5.1 + description: "Es MUSS festgelegt werden, \xFCber welche Terminal-Client-Software\ + \ auf den Terminalserver zugegriffen werden darf." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a5 + ref_id: SYS.1.9.A5.2 + description: "Zus\xE4tzlich MUSS festgelegt werden, auf welchen Clients diese\ + \ Software ausgef\xFChrt werden darf, um sich mit dem Terminalserver zu verbinden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a5 + ref_id: SYS.1.9.A5.3 + description: "Hierbei M\xDCSSEN mindestens die folgenden Punkte ber\xFCcksichtigt\ + \ werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a5 + ref_id: SYS.1.9.A5.4 + description: "\u2022 Einsatz von Thin Clients oder Fat Clients," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a5.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a5 + ref_id: SYS.1.9.A5.5 + description: "\u2022 Hardware-Konfiguration der zugreifenden Clients sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a5.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a5 + ref_id: SYS.1.9.A5.6 + description: "\u2022 Betriebssystem der zugreifenden Clients." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a5.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a5 + ref_id: SYS.1.9.A5.7 + description: "Es MUSS festgelegt werden, welche Software neben der Terminal-Client-Software\ + \ zus\xE4tzlich auf den Clients zugelassen ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a5.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a5 + ref_id: SYS.1.9.A5.8 + description: "Zus\xE4tzlich MUSS festgelegt werden, ob ein Client parallel Anwendungen\ + \ auf unterschiedlichen Terminalservern benutzen darf." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 + ref_id: SYS.1.9.A6 + name: Planung der verwendeten Netze + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a6 + ref_id: SYS.1.9.A6.1 + description: "Die Netze, \xFCber die Clients mit Terminalservern kommunizieren,\ + \ M\xDCSSEN anhand der Anforderungen der bereitgestellten Anwendungen geplant\ + \ und gegebenenfalls angepasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a6 + ref_id: SYS.1.9.A6.2 + description: "Hierbei M\xDCSSEN mindestens folgende Punkte ber\xFCcksichtigt\ + \ werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a6 + ref_id: SYS.1.9.A6.3 + description: "\u2022 zu erwartende Anzahl gleichzeitiger Terminalserver-Sitzungen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a6 + ref_id: SYS.1.9.A6.4 + description: "\u2022 ben\xF6tigte \xDCbertragungskapazit\xE4t," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a6 + ref_id: SYS.1.9.A6.5 + description: "\u2022 maximal vertretbarer Paketverlust," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a6.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a6 + ref_id: SYS.1.9.A6.6 + description: "\u2022 maximal vertretbarer Jitter sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a6.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a6 + ref_id: SYS.1.9.A6.7 + description: "\u2022 maximal tolerierbare Latenzzeit des Netzes." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 + ref_id: SYS.1.9.A7 + name: Sicherer Zugriff auf den Terminalserver + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a7 + ref_id: SYS.1.9.A7.1 + description: "Es MUSS festgelegt werden, \xFCber welche Netze zwischen zugreifendem\ + \ Client und Terminalserver kommuniziert werden darf." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a7 + ref_id: SYS.1.9.A7.2 + description: "Zus\xE4tzlich MUSS festgelegt werden, wie die Kommunikation abgesichert\ + \ werden soll." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a7 + ref_id: SYS.1.9.A7.3 + description: "Es MUSS festgelegt werden, ob und wie mit dem Terminalserver-Protokoll\ + \ verschl\xFCsselt werden soll." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a7 + ref_id: SYS.1.9.A7.4 + description: "Falls das Terminalserver-Protokoll in diesem Fall keine ausreichende\ + \ Verschl\xFCsselung bietet, MUSS die Kommunikation zus\xE4tzlich abgesichert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a7 + ref_id: SYS.1.9.A7.5 + description: "Falls die Clients und der Terminalserver \xFCber unzureichend\ + \ vertrauensw\xFCrdige Netze kommunizieren, M\xDCSSEN sich sowohl die Benutzenden\ + \ als auch der Terminalserver beim Kommunikationsaufbau authentisieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 + ref_id: SYS.1.9.A8 + name: Sichere Zuordnung des Terminalservers zu Netzsegmenten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a8 + ref_id: SYS.1.9.A8.1 + description: Der Terminalserver MUSS in dedizierten Netzsegmenten oder in Client-Netzsegmenten + positioniert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a8 + ref_id: SYS.1.9.A8.2 + description: "Innerhalb von Client-Netzsegmenten M\xDCSSEN Terminalserver identifizierbar\ + \ sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a8 + ref_id: SYS.1.9.A8.3 + description: "Eine bestehende Netztrennung DARF NICHT \xFCber einen Terminalserver\ + \ umgangen werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 + ref_id: SYS.1.9.A9 + name: Sensibilisierung der Benutzenden + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9 + ref_id: SYS.1.9.A9.1 + description: "Alle Benutzenden von Terminalservern M\xDCSSEN \xFCber den sicheren\ + \ Umgang mit Terminalservern sensibilisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9 + ref_id: SYS.1.9.A9.2 + description: "Den Benutzenden M\xDCSSEN mindestens die folgenden Inhalte vermittelt\ + \ werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9 + ref_id: SYS.1.9.A9.3 + description: "\u2022 grunds\xE4tzliche Funktionsweise und die Auswirkungen von\ + \ Latenz und verf\xFCgbarer Bandbreite auf die Bedienbarkeit" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9 + ref_id: SYS.1.9.A9.4 + description: "\u2022 m\xF6gliche und erlaubte Speicherorte von Daten" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9 + ref_id: SYS.1.9.A9.5 + description: "\u2022 zugelassene Austauschm\xF6glichkeiten von Informationen\ + \ zwischen dem Betriebssystem des Clients und dem Terminalserver (z. B. Zwischenablage)" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9 + ref_id: SYS.1.9.A9.6 + description: "\u2022 Auswirkung des eigenen Ressourcenverbrauchs auf die zur\ + \ Verf\xFCgung stehenden Ressourcen f\xFCr andere Benutzende" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9 + ref_id: SYS.1.9.A9.7 + description: "\u2022 eingerichtete Rollen und Berechtigungen f\xFCr Terminalserver-Zugriffe" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9 + ref_id: SYS.1.9.A9.8 + description: "\u2022 genutzte Authentisierung und Autorisierung der Benutzenden\ + \ f\xFCr die zur Verf\xFCgung gestellten Anwendungen" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a9 + ref_id: SYS.1.9.A9.9 + description: "\u2022 maximale Sitzungsdauer und automatische Abmeldevorg\xE4\ + nge" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 + ref_id: SYS.1.9.A10 + name: "Einsatz eines zentralen Identit\xE4ts- und Berechtigungsmanagements f\xFC\ + r Terminalserver" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a10 + ref_id: SYS.1.9.A10.1 + description: "F\xFCr die Benutzung von Terminalservern SOLLTE ein zentrales\ + \ System zum Identit\xE4ts- und Berechtigungsmanagement eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 + ref_id: SYS.1.9.A11 + name: Sichere Konfiguration von Profilen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a11 + ref_id: SYS.1.9.A11.1 + description: "Benutzende SOLLTEN ihre spezifischen Einstellungen (Benutzendenprofile)\ + \ NICHT derart \xE4ndern d\xFCrfen, dass die Informationssicherheit oder die\ + \ Nutzung des Terminalservers eingeschr\xE4nkt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a11 + ref_id: SYS.1.9.A11.2 + description: "F\xFCr die Benutzendenprofile SOLLTE eine geeignete maximale Gr\xF6\ + \xDFe festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a11 + ref_id: SYS.1.9.A11.3 + description: "Wenn Verb\xFCnde aus Terminalservern eingesetzt werden, SOLLTEN\ + \ die Benutzendenprofile zentral abgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 + ref_id: SYS.1.9.A12 + name: Automatisches Beenden inaktiver Sitzungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a12 + ref_id: SYS.1.9.A12.1 + description: Inaktive Sitzungen auf Terminalservern SOLLTEN nach einem vordefinierten + Zeitraum beendet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a12 + ref_id: SYS.1.9.A12.2 + description: "Der Zeitraum, w\xE4hrend dessen eine Sitzung maximal aktiv bleiben\ + \ soll, SOLLTE abh\xE4ngig von der jeweiligen Benutzendengruppe festgelegt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a12 + ref_id: SYS.1.9.A12.3 + description: "Falls eine Sitzung automatisch beendet wird, SOLLTEN die Betroffenen\ + \ dar\xFCber benachrichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a12 + ref_id: SYS.1.9.A12.4 + description: "Wenn eine Sitzung beendet wird, SOLLTE auch der oder die Benutzende\ + \ automatisch vom Betriebssystem des Terminalservers abgemeldet werden, sofern\ + \ die Sitzung am Betriebssystem nicht weiterhin f\xFCr laufende Anwendungen\ + \ ben\xF6tigt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 + ref_id: SYS.1.9.A13 + name: Protokollierung bei Terminalservern + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a13 + ref_id: SYS.1.9.A13.1 + description: "F\xFCr die Terminalserver SOLLTE entschieden werden, welche Ereignisse\ + \ an eine zentrale Protokollierungsinfrastruktur (siehe OPS.1.1.5 Protokollierung)\ + \ \xFCbermittelt werden sollen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a13 + ref_id: SYS.1.9.A13.2 + description: 'Hierbei SOLLTEN mindestens die folgenden spezifischen Ereignisse + an Terminalservern protokolliert werden:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a13 + ref_id: SYS.1.9.A13.3 + description: "\u2022 Anbindung von Peripherieger\xE4ten der zugreifenden Clients\ + \ \xFCber das Terminalserver-Protokoll," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a13.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a13 + ref_id: SYS.1.9.A13.4 + description: "\u2022 Aktionen auf dem Terminalserver durch zugreifende Clients,\ + \ die erweiterte Rechte ben\xF6tigen sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a13.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a13 + ref_id: SYS.1.9.A13.5 + description: "\u2022 Konfigurations\xE4nderungen mit Auswirkungen auf den Terminalserver-Dienst." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 + ref_id: SYS.1.9.A14 + name: Monitoring des Terminalservers + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a14 + ref_id: SYS.1.9.A14.1 + description: "Der Terminalserver SOLLTE zentral \xFCberwacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a14 + ref_id: SYS.1.9.A14.2 + description: "Hierf\xFCr SOLLTEN mindestens folgende Parameter \xFCberwacht\ + \ werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a14 + ref_id: SYS.1.9.A14.3 + description: "\u2022 Auslastung der Ressourcen des Terminalservers," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a14.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a14 + ref_id: SYS.1.9.A14.4 + description: "\u2022 Auslastung der Netzschnittstellen des Terminalservers," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a14.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a14 + ref_id: SYS.1.9.A14.5 + description: "\u2022 verf\xFCgbare und genutzte Bandbreite der verbundenen Clients\ + \ sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a14.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a14 + ref_id: SYS.1.9.A14.6 + description: "\u2022 Latenz an den verbundenen Clients unter Ber\xFCcksichtigung\ + \ der jeweiligen Anforderungsprofile." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a14.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a14 + ref_id: SYS.1.9.A14.7 + description: "F\xFCr das Monitoring SOLLTEN vorab die jeweiligen Schwellwerte\ + \ ermittelt werden (Baselining)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a14.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a14 + ref_id: SYS.1.9.A14.8 + description: "Diese Schwellwerte SOLLTEN regelm\xE4\xDFig \xFCberpr\xFCft und\ + \ bei Bedarf angepasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 + ref_id: SYS.1.9.A15 + name: "H\xE4rtung des Terminalservers" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a15 + ref_id: SYS.1.9.A15.1 + description: "Nicht ben\xF6tigte Anwendungen auf dem Terminalserver SOLLTEN\ + \ entfernt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a15 + ref_id: SYS.1.9.A15.2 + description: "Ist das nicht m\xF6glich, SOLLTE deren Ausf\xFChrung unterbunden\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a15 + ref_id: SYS.1.9.A15.3 + description: "Der Zugriff aus einer Sitzung auf Peripherieger\xE4te SOLLTE auf\ + \ die ben\xF6tigten Ger\xE4te eingeschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 + ref_id: SYS.1.9.A16 + name: Optimierung der Kompression + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a16 + ref_id: SYS.1.9.A16.1 + description: "Der Grad der Kompression bei der \xDCbertragung der Daten von\ + \ und zum Terminalserver SOLLTE entsprechend der Anforderungen der jeweiligen\ + \ Anwendung an die grafische Qualit\xE4t optimiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a16 + ref_id: SYS.1.9.A16.2 + description: "Die Anforderungen der bereitgestellten Anwendungen an Genauigkeit\ + \ von grafischen Elementen, an Farbtreue und die f\xFCr die Nutzung notwendige\ + \ Bildrate SOLLTEN ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 + ref_id: SYS.1.9.A17 + name: "Verschl\xFCsselung der \xDCbertragung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a17 + ref_id: SYS.1.9.A17.1 + description: "Jegliche Kommunikation zwischen Client und Terminalserver SOLLTE\ + \ geeignet verschl\xFCsselt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a17 + ref_id: SYS.1.9.A17.2 + description: "Dabei SOLLTEN sichere Protokolle gem\xE4\xDF BSI TR-02102 verwendet\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 + ref_id: SYS.1.9.A18 + name: Nutzung von Thin Clients + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a18 + ref_id: SYS.1.9.A18.1 + description: Physische Thin Clients SOLLTEN verwendet werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a18 + ref_id: SYS.1.9.A18.2 + description: Es SOLLTEN NUR Thin Clients eingesetzt werden, die das Unternehmen, + das die Terminal-Client-Software herstellt, als kompatibel ausgewiesen hat. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 + ref_id: SYS.1.9.A19 + name: Erweitertes Monitoring des Terminalservers + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a19 + ref_id: SYS.1.9.A19.1 + description: "F\xFCr den Terminalserver SOLLTE kontinuierlich \xFCberwacht werden,\ + \ ob die in SYS.1.9.A13 Protokollierung bei Terminalservern beschriebenen\ + \ Ereignisse auftreten." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a19 + ref_id: SYS.1.9.A19.2 + description: Wird ein Security Information and Event Management (SIEM) genutzt, + SOLLTE der Terminalserver darin eingebunden werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a19.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a19 + ref_id: SYS.1.9.A19.3 + description: "Im SIEM SOLLTEN die \xFCberwachten Ereignisse hinsichtlich Anomalien\ + \ inklusive Angriffsmustern automatisiert analysiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a19.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a19 + ref_id: SYS.1.9.A19.4 + description: "Der Terminalserver SOLLTE regelm\xE4\xDFig auf Schwachstellen\ + \ \xFCberpr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 + ref_id: SYS.1.9.A20 + name: "Unterschiedliche Terminalserver f\xFCr unterschiedliche Gruppen von Benutzenden\ + \ oder Gesch\xE4ftsprozesse" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a20 + ref_id: SYS.1.9.A20.1 + description: "Die Benutzenden von Terminalservern SOLLTEN anhand \xE4hnlicher\ + \ Berechtigungen und ben\xF6tigter Anwendungen gruppiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a20.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a20 + ref_id: SYS.1.9.A20.2 + description: "Ein Terminalserver SOLLTE NICHT mehreren Gruppen von Benutzenden\ + \ zur Verf\xFCgung gestellt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a20.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a20 + ref_id: SYS.1.9.A20.3 + description: "Ist dies nicht m\xF6glich, SOLLTEN dedizierte Terminalserver pro\ + \ Gesch\xE4ftsprozess eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 + ref_id: SYS.1.9.A21 + name: "Nutzung hochverf\xFCgbarer IT-Systeme" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a21 + ref_id: SYS.1.9.A21.1 + description: "Der Terminalserver SOLLTE hochverf\xFCgbar betrieben werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a21.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a21 + ref_id: SYS.1.9.A21.2 + description: Dazu SOLLTEN der Terminalserver sowie dessen Netzanbindung redundant + ausgelegt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a21.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a21 + ref_id: SYS.1.9.A21.3 + description: Die verwendeten Terminalserver SOLLTEN im Verbund betrieben werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a21.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a21 + ref_id: SYS.1.9.A21.4 + description: "F\xFCr die zugreifenden Clients SOLLTEN Ersatzger\xE4te bereitgehalten\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9 + ref_id: SYS.1.9.A22 + name: Unterbinden des Transfers von Anwendungsdaten zwischen Client und Terminalserver + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a22 + ref_id: SYS.1.9.A22.1 + description: Der Transfer von Anwendungsdaten zwischen dem Client und dem Terminalserver + SOLLTE deaktiviert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a22.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.1.9.a22 + ref_id: SYS.1.9.A22.2 + description: Auch der Transfer der Zwischenablage SOLLTE deaktiviert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys + ref_id: SYS.2.1 + name: Allgemeiner Client + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + ref_id: SYS.2.1.A1 + name: Sichere Authentisierung von Benutzenden + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a1 + ref_id: SYS.2.1.A1.1 + description: "Um den Client zu nutzen, M\xDCSSEN sich die Benutzenden gegen\xFC\ + ber dem IT-System authentisieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a1 + ref_id: SYS.2.1.A1.2 + description: "Benutzende M\xDCSSEN eine Bildschirmsperre verwenden, wenn sie\ + \ den Client unbeaufsichtigt betreiben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a1 + ref_id: SYS.2.1.A1.3 + description: "Die Bildschirmsperre SOLLTE automatisch aktiviert werden, wenn\ + \ f\xFCr eine festgelegte Zeitspanne keine Aktion durch Benutzende durchgef\xFC\ + hrt wurde." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a1 + ref_id: SYS.2.1.A1.4 + description: "Die Bildschirmsperre DARF NUR durch eine erfolgreiche Authentisierung\ + \ wieder deaktiviert werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a1 + ref_id: SYS.2.1.A1.5 + description: "Benutzende SOLLTEN verpflichtet werden, sich nach Aufgabenerf\xFC\ + llung vom IT-System bzw. von der IT-Anwendung abzumelden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + ref_id: SYS.2.1.A3 + name: Aktivieren von Autoupdate-Mechanismen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a3 + ref_id: SYS.2.1.A3.1 + description: "Automatische Update-Mechanismen (Autoupdate) M\xDCSSEN aktiviert\ + \ werden, sofern nicht andere Mechanismen wie regelm\xE4\xDFige manuelle Wartung\ + \ oder ein zentrales Softwareverteilungssystem f\xFCr Updates eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a3 + ref_id: SYS.2.1.A3.2 + description: "Wenn f\xFCr Autoupdate-Mechanismen ein Zeitintervall vorgegeben\ + \ werden kann, SOLLTE mindestens t\xE4glich automatisch nach Updates gesucht\ + \ und diese installiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + ref_id: SYS.2.1.A6 + name: Einsatz von Schutzprogrammen gegen Schadsoftware + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a6 + ref_id: SYS.2.1.A6.1 + description: "Abh\xE4ngig vom installierten Betriebssystem und von anderen vorhandenen\ + \ Schutzmechanismen des Clients MUSS gepr\xFCft werden, ob Schutzprogramme\ + \ gegen Schadsoftware eingesetzt werden sollen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a6 + ref_id: SYS.2.1.A6.2 + description: "Soweit vorhanden, M\xDCSSEN konkrete Aussagen, ob ein solcher\ + \ Schutz notwendig ist, aus den spezifischen Betriebssystem-Bausteinen des\ + \ IT-Grundschutz-Kompendiums ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a6 + ref_id: SYS.2.1.A6.3 + description: "Schutzprogramme auf den Clients M\xDCSSEN so konfiguriert sein,\ + \ dass Benutzende weder sicherheitsrelevante \xC4nderungen an den Einstellungen\ + \ vornehmen noch die Schutzprogramme deaktivieren k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a6 + ref_id: SYS.2.1.A6.4 + description: "Das Schutzprogramm MUSS nach Schadsoftware suchen, wenn Dateien\ + \ ausgetauscht oder \xFCbertragen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a6 + ref_id: SYS.2.1.A6.5 + description: "Der gesamte Datenbestand eines Clients MUSS regelm\xE4\xDFig auf\ + \ Schadsoftware gepr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a6.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a6 + ref_id: SYS.2.1.A6.6 + description: Wenn ein Client infiziert ist, MUSS im Offlinebetrieb untersucht + werden, ob ein gefundenes Schadprogramm bereits vertrauliche Daten gesammelt, + Schutzfunktionen deaktiviert oder Code aus dem Internet nachgeladen hat. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + ref_id: SYS.2.1.A8 + name: Absicherung des Bootvorgangs + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a8 + ref_id: SYS.2.1.A8.1 + description: "Der Startvorgang des IT-Systems (\u201EBooten\u201C) MUSS gegen\ + \ Manipulation abgesichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a8 + ref_id: SYS.2.1.A8.2 + description: Es MUSS festgelegt werden, von welchen Medien gebootet werden darf. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a8 + ref_id: SYS.2.1.A8.3 + description: "Es SOLLTE entschieden werden, ob und wie der Bootvorgang kryptografisch\ + \ gesch\xFCtzt werden soll." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a8 + ref_id: SYS.2.1.A8.4 + description: "Es MUSS sichergestellt werden, dass nur Administrierende die Clients\ + \ von einem anderen als den voreingestellten Laufwerken oder externen Speichermedien\ + \ booten k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a8.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a8 + ref_id: SYS.2.1.A8.5 + description: "NUR Administrierende D\xDCRFEN von wechselbaren oder externen\ + \ Speichermedien booten k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a8.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a8 + ref_id: SYS.2.1.A8.6 + description: "Die Konfigurationseinstellungen des Bootvorgangs D\xDCRFEN NUR\ + \ durch Administrierende ver\xE4ndert werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a8.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a8 + ref_id: SYS.2.1.A8.7 + description: "Alle nicht ben\xF6tigten Funktionen in der Firmware des Client-Systems\ + \ M\xDCSSEN deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + ref_id: SYS.2.1.A9 + name: "Festlegung einer Sicherheitsrichtlinie f\xFCr Clients" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a9 + ref_id: SYS.2.1.A9.1 + description: Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution + SOLLTEN die Anforderungen an allgemeine Clients konkretisiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a9 + ref_id: SYS.2.1.A9.2 + description: "Die Richtlinie SOLLTE allen Benutzenden sowie allen Personen,\ + \ die an der Beschaffung und dem Betrieb der Clients beteiligt sind, bekannt\ + \ und Grundlage f\xFCr deren Arbeit sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a9 + ref_id: SYS.2.1.A9.3 + description: "Die Umsetzung der in der Richtlinie geforderten Inhalte SOLLTE\ + \ regelm\xE4\xDFig \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a9 + ref_id: SYS.2.1.A9.4 + description: Die Ergebnisse SOLLTEN nachvollziehbar dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + ref_id: SYS.2.1.A10 + name: Planung des Einsatzes von Clients + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a10 + ref_id: SYS.2.1.A10.1 + description: Es SOLLTE im Vorfeld geplant werden, wo und wie Clients eingesetzt + werden sollen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a10 + ref_id: SYS.2.1.A10.2 + description: Die Planung SOLLTE dabei nicht nur Aspekte betreffen, die typischerweise + direkt mit den Begriffen IT- oder Informationssicherheit in Verbindung gebracht + werden, sondern auch betriebliche Aspekte, die Anforderungen im Bereich der + Sicherheit nach sich ziehen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a10 + ref_id: SYS.2.1.A10.3 + description: "Alle Entscheidungen, die in der Planungsphase getroffen wurden,\ + \ SOLLTEN so dokumentiert werden, dass sie zu einem sp\xE4teren Zeitpunkt\ + \ nachvollzogen werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + ref_id: SYS.2.1.A11 + name: Beschaffung von Clients + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a11 + ref_id: SYS.2.1.A11.1 + description: "Bevor Clients beschafft werden, SOLLTE eine Anforderungsliste\ + \ erstellt werden, anhand derer die am Markt erh\xE4ltlichen Produkte bewertet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a11 + ref_id: SYS.2.1.A11.2 + description: "Die jeweiligen herstellenden Unternehmen von IT- und Betriebssystem\ + \ SOLLTEN f\xFCr den gesamten geplanten Nutzungszeitraum Patches f\xFCr Schwachstellen\ + \ zeitnah zur Verf\xFCgung stellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a11 + ref_id: SYS.2.1.A11.3 + description: "Auf Betriebssysteme, die \xFCber ein Rolling-Release-Modell aktualisiert\ + \ werden, SOLLTE verzichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a11.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a11 + ref_id: SYS.2.1.A11.4 + description: "Die zu beschaffenden Systeme SOLLTEN \xFCber eine Firmware-Konfigurationsoberfl\xE4\ + che f\xFCr UEFI SecureBoot und, sofern vorhanden, f\xFCr das TPM verf\xFC\ + gen, die eine Kontrolle durch die Institution gew\xE4hrleistet und so den\ + \ selbstverwalteten Betrieb von SecureBoot und des TPM erm\xF6glicht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + ref_id: SYS.2.1.A13 + name: "Zugriff auf Ausf\xFChrungsumgebungen mit unbeobachtbarer Codeausf\xFC\ + hrung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a13 + ref_id: SYS.2.1.A13.1 + description: "Der Zugriff auf Ausf\xFChrungsumgebungen mit unbeobachtbarer Codeausf\xFC\ + hrung (z. B. durch das Betriebssystem speziell abgesicherte Speicherbereiche,\ + \ Firmwarebereiche etc.) SOLLTE nur mit administrativen Berechtigungen m\xF6\ + glich sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a13 + ref_id: SYS.2.1.A13.2 + description: "Die entsprechenden Einstellungen im BIOS bzw. der UEFI-Firmware\ + \ SOLLTEN durch ein Passwort vor unberechtigten Ver\xE4nderungen gesch\xFC\ + tzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a13 + ref_id: SYS.2.1.A13.3 + description: "Wird die Kontrolle \xFCber die Funktionen an das Betriebssystem\ + \ delegiert, SOLLTEN auch dort nur mit administrativen Berechtigungen auf\ + \ die Funktionen zugegriffen werden d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + ref_id: SYS.2.1.A15 + name: Sichere Installation und Konfiguration von Clients + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a15 + ref_id: SYS.2.1.A15.1 + description: Es SOLLTE festgelegt werden, welche Komponenten des Betriebssystems, + welche Fachanwendungen und welche weiteren Tools installiert werden sollen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a15 + ref_id: SYS.2.1.A15.2 + description: "Die Installation und Konfiguration der IT-Systeme SOLLTE nur von\ + \ autorisierten Personen (Administrierende oder vertraglich gebundene Dienstleistende)\ + \ nach einem definierten Prozess in einer Installationsumgebung durchgef\xFC\ + hrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a15 + ref_id: SYS.2.1.A15.3 + description: "Nachdem die Installation und die Konfiguration abgeschlossen sind,\ + \ SOLLTEN die Grundeinstellungen \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a15.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a15 + ref_id: SYS.2.1.A15.4 + description: Sofern die Installation und Konfiguration den Vorgaben aus der + Sicherheitsrichtlinie entsprechen, SOLLTEN die Clients im Anschluss in der + Produktivumgebung in Betrieb genommen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a15.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a15 + ref_id: SYS.2.1.A15.5 + description: "Alle Installations- und Konfigurationsschritte SOLLTEN so dokumentiert\ + \ werden, dass diese durch sachkundige Dritte nachvollzogen und wiederholt\ + \ werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + ref_id: SYS.2.1.A16 + name: "Deaktivierung und Deinstallation nicht ben\xF6tigter Komponenten und\ + \ Kennungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a16 + ref_id: SYS.2.1.A16.1 + description: "Nach der Installation SOLLTE \xFCberpr\xFCft werden, welche Komponenten\ + \ der Firmware sowie des Betriebssystems und welche Anwendungen und weiteren\ + \ Tools auf den Clients installiert und aktiviert sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a16 + ref_id: SYS.2.1.A16.2 + description: "Nicht ben\xF6tigte Module, Programme, Dienste, Aufgaben und Firmwarefunktionen\ + \ (wie Fernwartung) SOLLTEN deaktiviert oder ganz deinstalliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a16 + ref_id: SYS.2.1.A16.3 + description: "Nicht ben\xF6tigte Laufzeitumgebungen, Interpretersprachen und\ + \ Compiler SOLLTEN deinstalliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a16.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a16 + ref_id: SYS.2.1.A16.4 + description: "Nicht ben\xF6tigte Kennungen SOLLTEN deaktiviert oder gel\xF6\ + scht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a16.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a16 + ref_id: SYS.2.1.A16.5 + description: "Nicht ben\xF6tigte Schnittstellen und Hardware des IT-Systems\ + \ (wie z. B. Webcams) SOLLTEN deaktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a16.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a16 + ref_id: SYS.2.1.A16.6 + description: "Es SOLLTE verhindert werden, dass diese Komponenten wieder reaktiviert\ + \ werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a16.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a16 + ref_id: SYS.2.1.A16.7 + description: Die getroffenen Entscheidungen SOLLTEN nachvollziehbar dokumentiert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + ref_id: SYS.2.1.A18 + name: "Nutzung von verschl\xFCsselten Kommunikationsverbindungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a18 + ref_id: SYS.2.1.A18.1 + description: "Kommunikationsverbindungen SOLLTEN, soweit m\xF6glich, durch Verschl\xFC\ + sselung gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a18 + ref_id: SYS.2.1.A18.2 + description: "Die Clients SOLLTEN kryptografische Algorithmen und Schl\xFCssell\xE4\ + ngen verwenden, die dem Stand der Technik und den Sicherheitsanforderungen\ + \ der Institution entsprechen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a18 + ref_id: SYS.2.1.A18.3 + description: "Neue Zertifikate von Zertifikatsausstellern SOLLTEN erst nach\ + \ \xDCberpr\xFCfung des Fingerprints aktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + ref_id: SYS.2.1.A20 + name: Schutz der Administrationsverfahren bei Clients + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a20 + ref_id: SYS.2.1.A20.1 + description: "Abh\xE4ngig davon, ob Clients lokal oder \xFCber das Netz administriert\ + \ werden, SOLLTEN geeignete Sicherheitsvorkehrungen getroffen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a20.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a20 + ref_id: SYS.2.1.A20.2 + description: "Die zur Administration verwendeten Verfahren SOLLTEN \xFCber die\ + \ in der Sicherheitsrichtlinie festgelegten Vorgaben erfolgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + ref_id: SYS.2.1.A21 + name: Verhinderung der unautorisierten Nutzung von Rechnermikrofonen und Kameras + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a21 + ref_id: SYS.2.1.A21.1 + description: "Der Zugriff auf Mikrofon und Kamera eines Clients SOLLTE nur durch\ + \ Benutzende selbst m\xF6glich sein, solange sie lokal am IT-System arbeiten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a21.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a21 + ref_id: SYS.2.1.A21.2 + description: "Wenn vorhandene Mikrofone oder Kameras nicht genutzt und deren\ + \ Missbrauch verhindert werden soll, SOLLTEN diese, wenn m\xF6glich, ausgeschaltet,\ + \ abgedeckt (nur Kamera), deaktiviert oder physisch vom Ger\xE4t getrennt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a21.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a21 + ref_id: SYS.2.1.A21.3 + description: Es SOLLTE geregelt werden, wie Kameras und Mikrofone in Clients + genutzt und wie die Rechte vergeben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a23 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + ref_id: SYS.2.1.A23 + name: Bevorzugung von Client-Server-Diensten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a23.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a23 + ref_id: SYS.2.1.A23.1 + description: "Wenn m\xF6glich, SOLLTEN zum Informationsaustausch dedizierte\ + \ Serverdienste genutzt und direkte Verbindungen zwischen Clients vermieden\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a23.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a23 + ref_id: SYS.2.1.A23.2 + description: "Falls dies nicht m\xF6glich ist, SOLLTE festgelegt werden, welche\ + \ Client-zu-Client-Dienste (oft auch als \u201EPeer-to-Peer\u201C bezeichnet)\ + \ genutzt und welche Informationen dar\xFCber ausgetauscht werden d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a23.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a23 + ref_id: SYS.2.1.A23.3 + description: "Falls erforderlich, SOLLTEN Benutzende f\xFCr die Nutzung solcher\ + \ Dienste geschult werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a23.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a23 + ref_id: SYS.2.1.A23.4 + description: "Direkte Verbindungen zwischen Clients SOLLTEN sich nur auf das\ + \ LAN beschr\xE4nken." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a23.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a23 + ref_id: SYS.2.1.A23.5 + description: "Auto-Discovery-Protokolle SOLLTEN auf das notwendige Ma\xDF beschr\xE4\ + nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a24 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + ref_id: SYS.2.1.A24 + name: "Umgang mit externen Medien und Wechseldatentr\xE4gern" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a24.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a24 + ref_id: SYS.2.1.A24.1 + description: "Auf externe Schnittstellen SOLLTE nur restriktiv zugegriffen werden\ + \ k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a24.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a24 + ref_id: SYS.2.1.A24.2 + description: "Es SOLLTE untersagt werden, dass nicht zugelassene Ger\xE4te oder\ + \ Wechseldatentr\xE4ger mit den Clients verbunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a24.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a24 + ref_id: SYS.2.1.A24.3 + description: "Es SOLLTE verhindert werden, dass von den Clients auf Wechseldatentr\xE4\ + ger aus nicht vertrauensw\xFCrdigen Quellen zugegriffen werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a24.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a24 + ref_id: SYS.2.1.A24.4 + description: "Die unerlaubte Ausf\xFChrung von Programmen auf bzw. von externen\ + \ Datentr\xE4gern SOLLTE technisch unterbunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a24.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a24 + ref_id: SYS.2.1.A24.5 + description: "Es SOLLTE verhindert werden, dass \xFCber Wechsellaufwerke oder\ + \ externe Schnittstellen unberechtigt Daten von den Clients kopiert werden\ + \ k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a26 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + ref_id: SYS.2.1.A26 + name: Schutz vor Ausnutzung von Schwachstellen in Anwendungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a26.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a26 + ref_id: SYS.2.1.A26.1 + description: Um die Ausnutzung von Schwachstellen in Anwendungen zu erschweren, + SOLLTEN ASLR und DEP/NX im Betriebssystem aktiviert und von den Anwendungen + genutzt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a26.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a26 + ref_id: SYS.2.1.A26.2 + description: Sicherheitsfunktionen des Kernels und der Standardbibliotheken + wie z. B. Heap- und Stackschutz SOLLTEN aktiviert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a27 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + ref_id: SYS.2.1.A27 + name: "Geregelte Au\xDFerbetriebnahme eines Clients" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a27.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a27 + ref_id: SYS.2.1.A27.1 + description: "Bei der Au\xDFerbetriebnahme eines Clients SOLLTE sichergestellt\ + \ werden, dass keine Daten verloren gehen und dass keine schutzbed\xFCrftigen\ + \ Daten zur\xFCckbleiben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a27.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a27 + ref_id: SYS.2.1.A27.2 + description: "Es SOLLTE einen \xDCberblick dar\xFCber geben, welche Daten wo\ + \ auf den IT-Systemen gespeichert sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a27.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a27 + ref_id: SYS.2.1.A27.3 + description: "Es SOLLTE eine Checkliste erstellt werden, die bei der Au\xDF\ + erbetriebnahme eines IT-Systems abgearbeitet werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a27.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a27 + ref_id: SYS.2.1.A27.4 + description: "Diese Checkliste SOLLTE mindestens Aspekte zur Datensicherung\ + \ weiterhin ben\xF6tigter Daten und dem anschlie\xDFenden sicheren L\xF6schen\ + \ aller Daten umfassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a28 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + ref_id: SYS.2.1.A28 + name: "Verschl\xFCsselung der Clients" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a28.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a28 + ref_id: SYS.2.1.A28.1 + description: "Wenn vertrauliche Informationen auf den Clients gespeichert werden,\ + \ SOLLTEN mindestens die schutzbed\xFCrftigen Dateien sowie ausgew\xE4hlte\ + \ Dateisystembereiche oder besser die gesamten Datentr\xE4ger verschl\xFC\ + sselt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a28.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a28 + ref_id: SYS.2.1.A28.2 + description: "Hierf\xFCr SOLLTE ein eigenes Konzept erstellt und die Details\ + \ der Konfiguration besonders sorgf\xE4ltig dokumentiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a28.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a28 + ref_id: SYS.2.1.A28.3 + description: "In diesem Zusammenhang SOLLTEN die Authentisierung (z. B. Passwort,\ + \ PIN, Token), die Ablage der Wiederherstellungsinformationen, die zu verschl\xFC\ + sselnden Laufwerke und die Schreibrechte auf unverschl\xFCsselte Datentr\xE4\ + ger geregelt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a28.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a28 + ref_id: SYS.2.1.A28.4 + description: "Der Zugriff auf das genutzte Schl\xFCsselmaterial MUSS angemessen\ + \ gesch\xFCtzt sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a28.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a28 + ref_id: SYS.2.1.A28.5 + description: "Benutzende SOLLTEN dar\xFCber aufgekl\xE4rt werden, wie sie sich\ + \ bei Verlust eines Authentisierungsmittels zu verhalten haben." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a29 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + ref_id: SYS.2.1.A29 + name: "System\xFCberwachung und Monitoring der Clients" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a29.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a29 + ref_id: SYS.2.1.A29.1 + description: "Die Clients SOLLTEN in ein geeignetes System\xFCberwachungs- bzw.\ + \ Monitoringkonzept eingebunden werden, das den Systemzustand und die Funktionsf\xE4\ + higkeit der Clients laufend \xFCberwacht und Fehlerzust\xE4nde sowie die \xDC\ + ber- bzw. Unterschreitung definierter Grenzwerte an das Betriebspersonal meldet." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a30 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + ref_id: SYS.2.1.A30 + name: "Einrichten einer Referenzumgebung f\xFCr Clients" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a30.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a30 + ref_id: SYS.2.1.A30.1 + description: "F\xFCr Clients SOLLTE eine Referenzinstallation erstellt werden,\ + \ in der die Grundkonfiguration und alle Konfigurations\xE4nderungen, Updates\ + \ und Patches vor dem Einspielen auf den Client vorab getestet werden k\xF6\ + nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a30.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a30 + ref_id: SYS.2.1.A30.2 + description: "F\xFCr verschiedene, typische und h\xE4ufig wiederkehrende Testf\xE4\ + lle SOLLTEN Checklisten erstellt werden, die beim Testlauf m\xF6glichst automatisiert\ + \ abgearbeitet werden sollten." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a30.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a30 + ref_id: SYS.2.1.A30.3 + description: "Die Testf\xE4lle SOLLTEN sowohl die Perspektive der Benutzung\ + \ als auch die des Betriebs ber\xFCcksichtigen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a30.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a30 + ref_id: SYS.2.1.A30.4 + description: "Zus\xE4tzlich SOLLTEN alle Tests so dokumentiert werden, dass\ + \ sie zu einem sp\xE4teren Zeitpunkt nachvollzogen werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a31 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + ref_id: SYS.2.1.A31 + name: Einrichtung lokaler Paketfilter + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a31.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a31 + ref_id: SYS.2.1.A31.1 + description: "Auf jedem Client SOLLTEN, zus\xE4tzlich zu den eingesetzten zentralen\ + \ Sicherheitsgateways, lokale Paketfilter eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a31.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a31 + ref_id: SYS.2.1.A31.2 + description: "Es SOLLTE eine Strategie zur Implementierung gew\xE4hlt werden,\ + \ die nur ben\xF6tigte Netzkommunikation explizit erlaubt." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a32 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + ref_id: SYS.2.1.A32 + name: "Einsatz zus\xE4tzlicher Ma\xDFnahmen zum Schutz vor Exploits" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a32.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a32 + ref_id: SYS.2.1.A32.1 + description: "Auf den Clients SOLLTEN zus\xE4tzliche Ma\xDFnahmen zum expliziten\ + \ Schutz vor Exploits (Angriffe, um Systeml\xFCcken auszunutzen) getroffen\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a32.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a32 + ref_id: SYS.2.1.A32.2 + description: "Wenn notwendige Schutzma\xDFnahmen nicht \xFCber Funktionen des\ + \ Betriebssystems umgesetzt werden k\xF6nnen, SOLLTEN zus\xE4tzliche geeignete\ + \ Sicherheitsma\xDFnahmen umgesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a32.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a32 + ref_id: SYS.2.1.A32.3 + description: "Sollte es nicht m\xF6glich sein, nachhaltige Ma\xDFnahmen umzusetzen,\ + \ SOLLTEN andere geeignete (in der Regel organisatorische) Sicherheitsma\xDF\ + nahmen ergriffen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a33 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + ref_id: SYS.2.1.A33 + name: "Einsatz von Ausf\xFChrungskontrolle" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a33.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a33 + ref_id: SYS.2.1.A33.1 + description: "Es SOLLTE \xFCber eine Ausf\xFChrungskontrolle sichergestellt\ + \ werden, dass nur explizit erlaubte Programme und Skripte ausgef\xFChrt werden\ + \ k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a33.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a33 + ref_id: SYS.2.1.A33.2 + description: "Die Regeln SOLLTEN so eng wie m\xF6glich gefasst werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a33.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a33 + ref_id: SYS.2.1.A33.3 + description: "Falls Pfade und Hashes nicht explizit angegeben werden k\xF6nnen,\ + \ SOLLTEN alternativ auch zertifikatsbasierte oder Pfad-Regeln genutzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a34 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + ref_id: SYS.2.1.A34 + name: Kapselung von sicherheitskritischen Anwendungen und Betriebssystemkomponenten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a34.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a34 + ref_id: SYS.2.1.A34.1 + description: "Um sowohl den Zugriff auf das Betriebssystem oder andere Anwendungen\ + \ bei Angriffen als auch den Zugriff vom Betriebssystem auf besonders sch\xFC\ + tzenswerte Dateien zu verhindern, SOLLTEN Anwendungen und Betriebssystemkomponenten\ + \ (wie beispielsweise Authentisierung oder Zertifikats\xFCberpr\xFCfung) ihrem\ + \ Schutzbedarf entsprechend besonders gekapselt bzw. anderen Anwendungen und\ + \ Betriebssystemkomponenten gegen\xFCber isoliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a34.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a34 + ref_id: SYS.2.1.A34.2 + description: "Dabei SOLLTEN insbesondere sicherheitskritische Anwendungen ber\xFC\ + cksichtigt werden, die mit Daten aus unsicheren Quellen arbeiten (z. B. Webbrowser\ + \ und B\xFCrokommunikations-Anwendungen)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a35 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + ref_id: SYS.2.1.A35 + name: Aktive Verwaltung der Wurzelzertifikate + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a35.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a35 + ref_id: SYS.2.1.A35.1 + description: "Im Zuge der Beschaffung und Installation des Clients SOLLTE dokumentiert\ + \ werden, welche Wurzelzertifikate f\xFCr den Betrieb des Clients notwendig\ + \ sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a35.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a35 + ref_id: SYS.2.1.A35.2 + description: "Auf dem Client SOLLTEN lediglich die f\xFCr den Betrieb notwendigen\ + \ und vorab dokumentierten Wurzelzertifikate enthalten sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a35.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a35 + ref_id: SYS.2.1.A35.3 + description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die vorhandenen\ + \ Wurzelzertifikate noch den Vorgaben der Institution entsprechen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a35.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a35 + ref_id: SYS.2.1.A35.4 + description: "Es SOLLTEN alle auf dem IT-System vorhandenen Zertifikatsspeicher\ + \ in die Pr\xFCfung einbezogen werden (z. B. UEFI-Zertifikatsspeicher, Zertifikatsspeicher\ + \ von Webbrowsern etc.)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a36 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + ref_id: SYS.2.1.A36 + name: Selbstverwalteter Einsatz von SecureBoot und TPM + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a36.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a36 + ref_id: SYS.2.1.A36.1 + description: "Auf UEFI-kompatiblen Systemen SOLLTEN Bootloader, Kernel sowie\ + \ alle ben\xF6tigten Firmware-Komponenten durch selbstkontrolliertes Schl\xFC\ + sselmaterial signiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a36.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a36 + ref_id: SYS.2.1.A36.2 + description: "Nicht ben\xF6tigtes Schl\xFCsselmaterial SOLLTE entfernt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a36.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a36 + ref_id: SYS.2.1.A36.3 + description: "Sofern das Trusted Platform Module (TPM) nicht ben\xF6tigt wird,\ + \ SOLLTE es deaktiviert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a37 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + ref_id: SYS.2.1.A37 + name: Verwendung von Mehr-Faktor-Authentisierung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a37.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a37 + ref_id: SYS.2.1.A37.1 + description: "Es SOLLTE eine sichere Mehr-Faktor-Authentisierung unter Einbeziehung\ + \ unterschiedlicher Faktoren (Wissen, Besitz, Eigenschaft) f\xFCr die lokale\ + \ Anmeldung am Client eingerichtet werden, z. B. Passwort mit Chipkarte oder\ + \ Token." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a38 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + ref_id: SYS.2.1.A38 + name: Einbindung in die Notfallplanung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a38.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a38 + ref_id: SYS.2.1.A38.1 + description: "Die Clients SOLLTEN im Notfallmanagementprozess ber\xFCcksichtigt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a38.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a38 + ref_id: SYS.2.1.A38.2 + description: "Die Clients SOLLTEN hinsichtlich der Gesch\xE4ftsprozesse oder\ + \ Fachaufgaben, f\xFCr die sie ben\xF6tigt werden, f\xFCr den Wiederanlauf\ + \ priorisiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a38.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a38 + ref_id: SYS.2.1.A38.3 + description: "Es SOLLTEN geeignete Notfallma\xDFnahmen vorgesehen werden, indem\ + \ mindestens Wiederanlaufpl\xE4ne erstellt, Bootmedien zur Systemwiederherstellung\ + \ generiert sowie Passw\xF6rter und kryptografische Schl\xFCssel sicher hinterlegt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a39 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + ref_id: SYS.2.1.A39 + name: Unterbrechungsfreie und stabile Stromversorgung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a39.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a39 + ref_id: SYS.2.1.A39.1 + description: Clients SOLLTEN an eine unterbrechungsfreie Stromversorgung (USV) + angeschlossen werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a39.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a39 + ref_id: SYS.2.1.A39.2 + description: "Die USV SOLLTE hinsichtlich Leistung und St\xFCtzzeit ausreichend\ + \ dimensioniert sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a39.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a39 + ref_id: SYS.2.1.A39.3 + description: "Clients SOLLTEN vor \xDCberspannung gesch\xFCtzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a40 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + ref_id: SYS.2.1.A40 + name: Betriebsdokumentation + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a40.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a40 + ref_id: SYS.2.1.A40.1 + description: "Die Durchf\xFChrung betrieblicher Aufgaben an Clients bzw. Clientgruppen\ + \ SOLLTE nachvollziehbar anhand der Fragen \u201EWer?\u201C, \u201EWann?\u201C\ + \ und \u201EWas?\u201C dokumentiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a40.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a40 + ref_id: SYS.2.1.A40.2 + description: "Aus der Dokumentation SOLLTEN insbesondere Konfigurations\xE4\ + nderungen nachvollziehbar sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a40.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a40 + ref_id: SYS.2.1.A40.3 + description: Auch sicherheitsrelevante Aufgaben (z. B. wer befugt ist, neue + Festplatten einzubauen) SOLLTEN dokumentiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a40.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a40 + ref_id: SYS.2.1.A40.4 + description: Alles, was automatisch dokumentiert werden kann, SOLLTE auch automatisch + dokumentiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a40.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a40 + ref_id: SYS.2.1.A40.5 + description: "Die Dokumentation SOLLTE vor unbefugtem Zugriff und Verlust gesch\xFC\ + tzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a40.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a40 + ref_id: SYS.2.1.A40.6 + description: "Sicherheitsrelevante Aspekte SOLLTEN nachvollziehbar erl\xE4utert\ + \ und hervorgehoben werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a41 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + ref_id: SYS.2.1.A41 + name: "Verwendung von Quotas f\xFCr lokale Datentr\xE4ger" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a41.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a41 + ref_id: SYS.2.1.A41.1 + description: "Es SOLLTE \xFCberlegt werden, Quotas einzurichten, die den verwendeten\ + \ Speicherplatz auf der lokalen Festplatte begrenzen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a41.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a41 + ref_id: SYS.2.1.A41.2 + description: "Alternativ SOLLTEN Mechanismen des verwendeten Datei- oder Betriebssystems\ + \ genutzt werden, die Benutzende bei einem bestimmten F\xFCllstand der Festplatte\ + \ warnen oder nur noch Administrierenden Schreibrechte einr\xE4umen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a42 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + ref_id: SYS.2.1.A42 + name: Nutzung von Cloud- und Online-Funktionen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a42.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a42 + ref_id: SYS.2.1.A42.1 + description: "Es D\xDCRFEN NUR zwingend notwendige Cloud- und Online-Funktionen\ + \ des Betriebssystems genutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a42.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a42 + ref_id: SYS.2.1.A42.2 + description: Die notwendigen Cloud- und Online-Funktionen SOLLTEN dokumentiert + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a42.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a42 + ref_id: SYS.2.1.A42.3 + description: "Die entsprechenden Einstellungen des Betriebssystems M\xDCSSEN\ + \ auf Konformit\xE4t mit den organisatorischen Datenschutz- und Sicherheitsvorgaben\ + \ \xFCberpr\xFCft und restriktiv konfiguriert bzw. die Funktionen deaktiviert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a43 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + ref_id: SYS.2.1.A43 + name: "Lokale Sicherheitsrichtlinien f\xFCr Clients" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a43.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a43 + ref_id: SYS.2.1.A43.1 + description: "Alle sicherheitsrelevanten Einstellungen SOLLTEN bedarfsgerecht\ + \ konfiguriert, getestet und regelm\xE4\xDFig \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a43.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a43 + ref_id: SYS.2.1.A43.2 + description: "Daf\xFCr SOLLTEN Sicherheitsrichtlinien, unter Ber\xFCcksichtigung\ + \ der Empfehlungen des herstellenden Unternehmens und des voreingestellten\ + \ Standardverhaltens, konfiguriert werden, sofern das Standardverhalten nicht\ + \ anderen Anforderungen aus dem IT-Grundschutz oder der Organisation widerspricht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a43.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a43 + ref_id: SYS.2.1.A43.3 + description: "Die Entscheidungen SOLLTEN dokumentiert und begr\xFCndet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a43.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a43 + ref_id: SYS.2.1.A43.4 + description: "Sicherheitsrichtlinien SOLLTEN in jedem Fall gesetzt werden, auch\ + \ dann, wenn das voreingestellte Standardverhalten dadurch nicht ver\xE4ndert\ + \ wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a44 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + ref_id: SYS.2.1.A44 + name: Verwaltung der Sicherheitsrichtlinien von Clients + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a44.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a44 + ref_id: SYS.2.1.A44.1 + description: Alle Einstellungen der Clients SOLLTEN durch Nutzung eines Managementsystems + verwaltet und entsprechend dem ermittelten Schutzbedarf sowie auf den internen + Richtlinien basierend konfiguriert sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a44.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a44 + ref_id: SYS.2.1.A44.2 + description: "Konfigurations\xE4nderungen SOLLTEN dokumentiert, begr\xFCndet\ + \ und mit dem Sicherheitsmanagement abgestimmt werden, sodass der Stand der\ + \ Sicherheitskonfiguration jederzeit nachvollziehbar ist und Konfigurations\xE4\ + nderungen schnell durchgef\xFChrt und zentralisiert verteilt werden k\xF6\ + nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a45 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1 + ref_id: SYS.2.1.A45 + name: Erweiterte Protokollierung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a45.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.1.a45 + ref_id: SYS.2.1.A45.1 + description: "Es SOLLTE auch Client-Verhalten, das nicht mit der Sicherheit\ + \ direkt in Verbindung steht, protokolliert und unverz\xFCglich (automatisiert)\ + \ ausgewertet werden, um verdeckte Aktivit\xE4ten mit Bezug zu Angriffen erkennen\ + \ zu k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys + ref_id: SYS.2.2.3 + name: 'Clients unter Windows ' + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 + ref_id: SYS.2.2.3.A1 + name: Planung des Einsatzes von Cloud-Diensten unter Windows + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a1 + ref_id: SYS.2.2.3.A1.1 + description: "Da Windows-basierte Ger\xE4te eng mit den Cloud-Diensten des Herstellers\ + \ Microsoft verzahnt sind, MUSS vor ihrer Verwendung strategisch festgelegt\ + \ werden, welche enthaltenen Cloud-Dienste in welchem Umfang genutzt werden\ + \ sollen bzw. d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 + ref_id: SYS.2.2.3.A2 + name: Auswahl und Beschaffung einer geeigneten Windows-Version + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a2 + ref_id: SYS.2.2.3.A2.1 + description: "Der Funktionsumfang und die Versorgung mit funktionalen \xC4nderungen\ + \ einer Windows-Version M\xDCSSEN unter Ber\xFCcksichtigung des ermittelten\ + \ Schutzbedarfs und des Einsatzzwecks ausgew\xE4hlt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a2 + ref_id: SYS.2.2.3.A2.2 + description: "Die Umsetzbarkeit der erforderlichen Absicherungsma\xDFnahmen\ + \ MUSS bei der Auswahl ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a2 + ref_id: SYS.2.2.3.A2.3 + description: "Basierend auf dem Ergebnis der \xDCberpr\xFCfung MUSS der etablierte\ + \ Beschaffungsprozess um die Auswahl des entsprechenden Lizenzmodells und\ + \ \u201EService Branches\u201C (CB, CBB oder LTSC) erweitert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 + ref_id: SYS.2.2.3.A4 + name: Telemetrie und Datenschutzeinstellungen unter Windows + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a4 + ref_id: SYS.2.2.3.A4.1 + description: "Um die \xDCbertragung von Diagnose- und Nutzungsdaten an Microsoft\ + \ stark zu reduzieren, MUSS das Telemetrie-Level 0 (Security) in der Enterprise-Edition\ + \ von Windows konfiguriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a4 + ref_id: SYS.2.2.3.A4.2 + description: "Wenn diese Einstellung nicht wirksam umgesetzt wird oder bei anderen\ + \ Windows-Edition umgesetzt werden kann, dann MUSS durch geeignete Ma\xDF\ + nahmen, etwa auf Netzebene, sichergestellt werden, dass die Daten nicht an\ + \ den Hersteller \xFCbertragen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 + ref_id: SYS.2.2.3.A5 + name: Schutz vor Schadsoftware unter Windows + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a5 + ref_id: SYS.2.2.3.A5.1 + description: "Sofern nicht gleich- oder h\xF6herwertige Ma\xDFnahmen, wie z.\ + \ B. Ausf\xFChrungskontrolle, zum Schutz des IT-Systems vor einer Infektion\ + \ mit Schadsoftware getroffen wurden, MUSS eine spezialisierte Komponente\ + \ zum Schutz vor Schadsoftware auf Windows-Clients eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 + ref_id: SYS.2.2.3.A6 + name: Integration von Online-Konten in das Betriebssystem + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a6 + ref_id: SYS.2.2.3.A6.1 + description: "Die Anmeldung am System sowie an der Dom\xE4ne DARF NUR mit dem\ + \ Konto eines selbst betriebenen Verzeichnisdienstes m\xF6glich sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a6 + ref_id: SYS.2.2.3.A6.2 + description: Anmeldungen mit lokalen Konten SOLLTEN Administrierenden vorbehalten + sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a6 + ref_id: SYS.2.2.3.A6.3 + description: "Online-Konten zur Anmeldung, etwa ein Microsoft-Konto oder Konten\ + \ anderer Identit\xE4tsmanagementsysteme, D\xDCRFEN NICHT verwendet werden,\ + \ da hier personenbezogene Daten an die Systeme Dritter \xFCbertragen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 + ref_id: SYS.2.2.3.A9 + name: Sichere zentrale Authentisierung in Windows-Netzen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a9 + ref_id: SYS.2.2.3.A9.1 + description: "F\xFCr die zentrale Authentisierung SOLLTE ausschlie\xDFlich Kerberos\ + \ eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a9 + ref_id: SYS.2.2.3.A9.2 + description: "Eine Gruppenrichtlinie SOLLTE die Verwendung \xE4lterer Protokolle\ + \ verhindern." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a9 + ref_id: SYS.2.2.3.A9.3 + description: "Ist dies nicht m\xF6glich, MUSS alternativ NTLMv2 eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a9 + ref_id: SYS.2.2.3.A9.4 + description: Die Authentisierung mittels LAN-Manager und NTLMv1 DARF NICHT innerhalb + der Institution und in einer produktiven Betriebsumgebung erlaubt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a9.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a9 + ref_id: SYS.2.2.3.A9.5 + description: Die eingesetzten kryptografischen Mechanismen SOLLTEN entsprechend + dem ermittelten Schutzbedarf und basierend auf den internen Richtlinien konfiguriert + und dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a9.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a9 + ref_id: SYS.2.2.3.A9.6 + description: "Abweichende Einstellungen SOLLTEN begr\xFCndet und mit dem Sicherheitsmanagement\ + \ abgestimmt sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 + ref_id: SYS.2.2.3.A12 + name: Datei- und Freigabeberechtigungen unter Windows + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a12 + ref_id: SYS.2.2.3.A12.1 + description: "Der Zugriff auf Dateien und Ordner auf dem lokalen System sowie\ + \ auf Netzfreigaben SOLLTE gem\xE4\xDF einem Berechtigungs- und Zugriffskonzept\ + \ konfiguriert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a12 + ref_id: SYS.2.2.3.A12.2 + description: "Auch die standardm\xE4\xDFig vorhandenen administrativen Freigaben\ + \ auf dem System SOLLTEN hierbei ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a12 + ref_id: SYS.2.2.3.A12.3 + description: "Die Schreibrechte f\xFCr Benutzende SOLLTEN auf einen definierten\ + \ Bereich im Dateisystem beschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a12 + ref_id: SYS.2.2.3.A12.4 + description: "Insbesondere SOLLTEN Benutzende keine Schreibrechte f\xFCr Ordner\ + \ des Betriebssystems oder installierter Anwendungen erhalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 + ref_id: SYS.2.2.3.A13 + name: Einsatz der SmartScreen-Funktion + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a13 + ref_id: SYS.2.2.3.A13.1 + description: "Die SmartScreen-Funktion, die aus dem Internet heruntergeladene\ + \ Dateien und Webinhalte auf m\xF6gliche Schadsoftware untersucht und dazu\ + \ unter Umst\xE4nden personenbezogene Daten an Microsoft \xFCbertr\xE4gt,\ + \ SOLLTE deaktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 + ref_id: SYS.2.2.3.A14 + name: Einsatz des Sprachassistenten Cortana + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a14 + ref_id: SYS.2.2.3.A14.1 + description: Cortana SOLLTE deaktiviert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 + ref_id: SYS.2.2.3.A15 + name: Einsatz der Synchronisationsmechanismen unter Windows + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a15 + ref_id: SYS.2.2.3.A15.1 + description: "Die Synchronisierung von Benutzendendaten mit Microsoft Cloud-Diensten\ + \ und das Sharing von WLAN-Passw\xF6rtern SOLLTEN vollst\xE4ndig deaktiviert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 + ref_id: SYS.2.2.3.A16 + name: Anbindung von Windows an den Microsoft-Store + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a16 + ref_id: SYS.2.2.3.A16.1 + description: "Die Verwendung des Microsoft-Stores SOLLTE auf die Vertr\xE4glichkeit\ + \ mit den Datenschutz- und Sicherheitsvorgaben der Institution \xFCberpr\xFC\ + ft und bewertet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a16 + ref_id: SYS.2.2.3.A16.2 + description: "Die generelle Installation von Apps auf Windows ist nicht von\ + \ der Anbindung an den Microsoft-Store abh\xE4ngig, daher SOLLTE sie, sofern\ + \ sie nicht ben\xF6tigt wird, deaktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 + ref_id: SYS.2.2.3.A17 + name: Keine Speicherung von Daten zur automatischen Anmeldung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a17 + ref_id: SYS.2.2.3.A17.1 + description: "Die Speicherung von Kennw\xF6rtern, Zertifikaten und anderen Informationen\ + \ zur automatischen Anmeldung an Webseiten und IT-Systemen SOLLTE NICHT erlaubt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 + ref_id: SYS.2.2.3.A18 + name: "Einsatz der Windows-Remoteunterst\xFCtzung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a18 + ref_id: SYS.2.2.3.A18.1 + description: "Die Auswirkungen auf die Konfiguration der lokalen Firewall SOLLTEN\ + \ bei der Planung der Windows-Remoteunterst\xFCtzung (hiermit ist nicht RDP\ + \ gemeint) ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a18 + ref_id: SYS.2.2.3.A18.2 + description: "Eine Remoteunterst\xFCtzung SOLLTE nur nach einer expliziten Einladung\ + \ erfolgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a18 + ref_id: SYS.2.2.3.A18.3 + description: Bei der Speicherung einer Einladung in einer Datei SOLLTE diese + ein Kennwort besitzen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a18.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a18 + ref_id: SYS.2.2.3.A18.4 + description: Dem Aufbau einer Sitzung SOLLTE immer explizit zugestimmt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a18.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a18 + ref_id: SYS.2.2.3.A18.5 + description: "Die maximale G\xFCltigkeit der Einladung f\xFCr eine Unterst\xFC\ + tzung aus der Ferne SOLLTE in der Dauer angemessen sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a18.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a18 + ref_id: SYS.2.2.3.A18.6 + description: "Sofern die Windows-Remoteunterst\xFCtzung nicht verwendet wird,\ + \ SOLLTE sie vollst\xE4ndig deaktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 + ref_id: SYS.2.2.3.A19 + name: "Sicherheit beim Fernzugriff \xFCber RDP" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19 + ref_id: SYS.2.2.3.A19.1 + description: "Die Auswirkungen auf die Konfiguration der lokalen Firewall SOLLTEN\ + \ bei der Planung des Fernzugriffs ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19 + ref_id: SYS.2.2.3.A19.2 + description: "Die Gruppe der berechtigten Benutzenden f\xFCr den Remote-Desktopzugriff\ + \ (RDP) SOLLTE durch die Zuweisung entsprechender Berechtigungen festgelegt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19 + ref_id: SYS.2.2.3.A19.3 + description: "In komplexen Infrastrukturen SOLLTE das RDP-Zielsystem nur durch\ + \ ein dazwischengeschaltetes RDP-Gateway erreicht werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19 + ref_id: SYS.2.2.3.A19.4 + description: "F\xFCr die Verwendung von RDP SOLLTE eine Pr\xFCfung und deren\ + \ Umsetzung sicherstellen, dass die nachfolgend aufgef\xFChrten Komfortfunktionen\ + \ im Einklang mit dem Schutzbedarf des Zielsystems stehen:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19 + ref_id: SYS.2.2.3.A19.5 + description: "\u2022 die Verwendung der Zwischenablage," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19 + ref_id: SYS.2.2.3.A19.6 + description: "\u2022 die Einbindung von Druckern," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19 + ref_id: SYS.2.2.3.A19.7 + description: "\u2022 die Einbindung von Wechselmedien und Netzlaufwerken sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19 + ref_id: SYS.2.2.3.A19.8 + description: "\u2022 die Nutzung der Dateiablagen und von Smartcard-Anschl\xFC\ + ssen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19 + ref_id: SYS.2.2.3.A19.9 + description: "Sofern der Einsatz von Remote-Desktopzugriffen nicht vorgesehen\ + \ ist, SOLLTEN diese vollst\xE4ndig deaktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a19 + ref_id: SYS.2.2.3.A19.10 + description: Die eingesetzten kryptografischen Protokolle und Algorithmen SOLLTEN + sicher sein und den internen Vorgaben der Institution entsprechen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 + ref_id: SYS.2.2.3.A20 + name: "Einsatz der Benutzerkontensteuerung UAC f\xFCr privilegierte Konten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a20 + ref_id: SYS.2.2.3.A20.1 + description: "Die Konfigurationsparameter der sogenannten Benutzerkontensteuerung\ + \ (User Account Control, UAC) SOLLTEN f\xFCr die privilegierten Konten zwischen\ + \ Bedienbarkeit und Sicherheitsniveau abgewogen eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a20.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a20 + ref_id: SYS.2.2.3.A20.2 + description: "Die Entscheidungen f\xFCr die zu verwendenden Konfigurationsparameter\ + \ SOLLTEN dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a20.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a20 + ref_id: SYS.2.2.3.A20.3 + description: "Dar\xFCber hinaus SOLLTE die Dokumentation alle Konten mit Administrationsrechten\ + \ enthalten sowie regelm\xE4\xDFig gepr\xFCft werden, ob es notwendig ist,\ + \ die Rechte erweitern zu k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 + ref_id: SYS.2.2.3.A21 + name: Einsatz des Encrypting File Systems + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a21 + ref_id: SYS.2.2.3.A21.1 + description: "Da das Encrypting File System (EFS) die verwendeten Schl\xFCssel\ + \ mit dem Passwort des jeweiligen Kontos sch\xFCtzt, SOLLTE ein sicheres Passwort\ + \ verwendet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a21.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a21 + ref_id: SYS.2.2.3.A21.2 + description: "Zus\xE4tzlich SOLLTEN restriktive Zugriffsrechte die mit EFS verschl\xFC\ + sselten Dateien sch\xFCtzen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a21.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a21 + ref_id: SYS.2.2.3.A21.3 + description: Der Wiederherstellungsagent SOLLTE ein dediziertes Konto und kein + Administrationskonto sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a21.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a21 + ref_id: SYS.2.2.3.A21.4 + description: "In diesem Zusammenhang SOLLTE der private Schl\xFCssel des Agenten\ + \ gesichert und aus dem System entfernt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a21.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a21 + ref_id: SYS.2.2.3.A21.5 + description: "Es SOLLTEN von allen privaten Schl\xFCsseln Datensicherungen erstellt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a21.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a21 + ref_id: SYS.2.2.3.A21.6 + description: "Beim Einsatz von EFS mit lokalen Konten SOLLTEN die lokalen Passwortspeicher\ + \ mittels Syskey verschl\xFCsselt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a21.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a21 + ref_id: SYS.2.2.3.A21.7 + description: Alternativ kann der Windows Defender Credential Guard genutzt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a21.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a21 + ref_id: SYS.2.2.3.A21.8 + description: Benutzende SOLLTEN im korrekten Umgang mit EFS geschult werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 + ref_id: SYS.2.2.3.A22 + name: Verwendung der Windows PowerShell + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a22 + ref_id: SYS.2.2.3.A22.1 + description: "Die PowerShell und die WPS-Dateien SOLLTEN NUR von Administrierenden\ + \ ausgef\xFChrt werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a22.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a22 + ref_id: SYS.2.2.3.A22.2 + description: "Die PowerShell-Ausf\xFChrung selbst SOLLTE zentral protokolliert\ + \ und die Protokolle \xFCberwacht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a22.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a22 + ref_id: SYS.2.2.3.A22.3 + description: "Die Ausf\xFChrung von PowerShell-Skripten SOLLTE mit dem Befehl\ + \ Set-ExecutionPolicy AllSigned eingeschr\xE4nkt werden, um zu verhindern,\ + \ dass unsignierte Skripte versehentlich ausgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a23 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 + ref_id: SYS.2.2.3.A23 + name: Erweiterter Schutz der Anmeldeinformationen unter Windows + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a23.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a23 + ref_id: SYS.2.2.3.A23.1 + description: "Auf UEFI-basierten Systemen SOLLTE SecureBoot verwendet und der\ + \ Status des gesch\xFCtzten Modus f\xFCr den Local Credential Store LSA beim\ + \ Systemstart \xFCberwacht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a23.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a23 + ref_id: SYS.2.2.3.A23.2 + description: "Ist eine Fernwartung der Clients mittels RDP vorgesehen, SOLLTE\ + \ beim Einsatz von Windows in einer Dom\xE4ne ab dem Funktionslevel 2012 R2\ + \ von der Option \u201ErestrictedAdmin\u201C f\xFCr RDP Gebrauch gemacht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a24 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 + ref_id: SYS.2.2.3.A24 + name: Aktivierung des Last-Access-Zeitstempels + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a24.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a24 + ref_id: SYS.2.2.3.A24.1 + description: "Es SOLLTE gepr\xFCft werden, ob der Last-Access-Zeitstempel im\ + \ Dateisystem aktiviert werden kann, um die Analyse eines Systemmissbrauchs\ + \ zu erleichtern." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a24.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a24 + ref_id: SYS.2.2.3.A24.2 + description: "Bei der Pr\xFCfung SOLLTEN m\xF6gliche Auswirkungen dieser Einstellung,\ + \ wie Performance-Aspekte oder resultierende Einschr\xE4nkungen bei inkrementellen\ + \ Backups, ber\xFCcksichtigt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a25 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 + ref_id: SYS.2.2.3.A25 + name: "Umgang mit Fernzugriffsfunktionen der \u201EConnected User Experience\ + \ and Telemetry\u201C" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a25.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a25 + ref_id: SYS.2.2.3.A25.1 + description: "Es SOLLTE ber\xFCcksichtigt werden, dass die Komponente \u201E\ + Connected User Experience and Telemetry\u201C (CUET) bei Windows fester Bestandteil\ + \ des Betriebssystems ist und neben der Telemetriefunktion auch eine Fernzugriffsm\xF6\ + glichkeit f\xFCr den Hersteller Microsoft auf das lokale System erlaubt." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a25.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a25 + ref_id: SYS.2.2.3.A25.2 + description: Ein solcher Fernzugriff auf den Windows-Client SOLLTE netzseitig + geloggt und falls erforderlich geblockt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a26 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3 + ref_id: SYS.2.2.3.A26 + name: Nutzung des Virtual Secure Mode (VSM) + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a26.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.2.3.a26 + ref_id: SYS.2.2.3.A26.1 + description: "Bei der Nutzung des Virtual Secure Mode (VSM) SOLLTE ber\xFCcksichtigt\ + \ werden, dass forensische Untersuchungen, z. B. zur Sicherheitsvorfallbehandlung,\ + \ eingeschr\xE4nkt oder erschwert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys + ref_id: SYS.2.3 + name: Clients unter Linux und Unix + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3 + ref_id: SYS.2.3.A1 + name: Authentisierung von Administrierenden und Benutzenden + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a1 + ref_id: SYS.2.3.A1.1 + description: "Personen mit Adminstrationsrechten D\xDCRFEN sich NICHT im Normalbetrieb\ + \ als \u201Eroot\u201C anmelden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a1 + ref_id: SYS.2.3.A1.2 + description: "F\xFCr die Systemadministrationsaufgaben SOLLTE \u201Esudo\u201C\ + \ oder eine geeignete Alternative mit einer geeigneten Protokollierung genutzt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a1 + ref_id: SYS.2.3.A1.3 + description: "Es SOLLTE verhindert werden, dass sich mehrere Benutzende auf\ + \ einem Client gleichzeitig einloggen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3 + ref_id: SYS.2.3.A2 + name: Auswahl einer geeigneten Distribution + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a2 + ref_id: SYS.2.3.A2.1 + description: "Auf Grundlage der Sicherheitsanforderungen und des Einsatzzwecks\ + \ MUSS ein geeignetes Unix-Derivat bzw. eine geeignete Linux-Distribution\ + \ ausgew\xE4hlt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a2 + ref_id: SYS.2.3.A2.2 + description: "Es MUSS f\xFCr die geplante Einsatzdauer des Betriebssystems Support\ + \ verf\xFCgbar sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a2 + ref_id: SYS.2.3.A2.3 + description: "Alle ben\xF6tigten Anwendungsprogramme SOLLTEN als Teil der Distribution\ + \ direkt verf\xFCgbar sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a2 + ref_id: SYS.2.3.A2.4 + description: "Sie SOLLTEN NUR in Ausnahmef\xE4llen aus Drittquellen bezogen\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a2 + ref_id: SYS.2.3.A2.5 + description: Distributionen, bei denen das Betriebssystem selbst kompiliert + wird, SOLLTEN NICHT in Produktivumgebungen eingesetzt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3 + ref_id: SYS.2.3.A4 + name: Kernel-Aktualisierungen auf unixartigen Systemen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a4 + ref_id: SYS.2.3.A4.1 + description: Der Client MUSS zeitnah neu gebootet werden, nachdem der Kernel + des Betriebssystems aktualisiert wurde. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a4 + ref_id: SYS.2.3.A4.2 + description: "Ist dies nicht m\xF6glich, MUSS alternativ Live-Patching des Kernels\ + \ aktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3 + ref_id: SYS.2.3.A5 + name: Sichere Installation von Software-Paketen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a5 + ref_id: SYS.2.3.A5.1 + description: "Wenn zu installierende Software aus dem Quellcode kompiliert werden\ + \ soll, DARF diese NUR unter einem unprivilegierten Konto entpackt, konfiguriert\ + \ und \xFCbersetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a5 + ref_id: SYS.2.3.A5.2 + description: "Anschlie\xDFend DARF die zu installierende Software NICHT unkontrolliert\ + \ in das Wurzeldateisystem des Betriebssystems installiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a5 + ref_id: SYS.2.3.A5.3 + description: "Wird die Software aus dem Quelltext \xFCbersetzt, dann SOLLTEN\ + \ die gew\xE4hlten Parameter geeignet dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a5 + ref_id: SYS.2.3.A5.4 + description: "Anhand dieser Dokumentation SOLLTE die Software jederzeit nachvollziehbar\ + \ und reproduzierbar kompiliert werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a5.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a5 + ref_id: SYS.2.3.A5.5 + description: Alle weiteren Installationsschritte SOLLTEN dabei ebenfalls dokumentiert + werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3 + ref_id: SYS.2.3.A6 + name: Kein automatisches Einbinden von Wechsellaufwerken + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a6 + ref_id: SYS.2.3.A6.1 + description: Wechsellaufwerke SOLLTEN NICHT automatisch eingebunden werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a6 + ref_id: SYS.2.3.A6.2 + description: "Die Einbindung von Wechsellaufwerken SOLLTE so konfiguriert sein,\ + \ dass alle Dateien als nicht ausf\xFChrbar markiert sind (Mount-Option \u201E\ + noexec\u201C)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3 + ref_id: SYS.2.3.A7 + name: Restriktive Rechtevergabe auf Dateien und Verzeichnisse + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a7 + ref_id: SYS.2.3.A7.1 + description: "Es SOLLTE sichergestellt werden, dass Dienste und Anwendungen\ + \ nur die ihnen zugeordneten Dateien erstellen, ver\xE4ndern oder l\xF6schen\ + \ d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a7 + ref_id: SYS.2.3.A7.2 + description: "Auf Verzeichnissen, in denen alle Konten Schreibrechte haben (z.\ + \ B. \u201E/tmp\u201C), SOLLTE das Sticky Bit gesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3 + ref_id: SYS.2.3.A8 + name: "Einsatz von Techniken zur Rechtebeschr\xE4nkung von Anwendungen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a8 + ref_id: SYS.2.3.A8.1 + description: "Zur Beschr\xE4nkung der Zugriffsrechte von Anwendungen auf Dateien,\ + \ Ger\xE4te und Netze SOLLTE App-Armor oder SELinux eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a8 + ref_id: SYS.2.3.A8.2 + description: "Es SOLLTEN die von dem jeweiligen Unix-Derivat bzw. der Linux-Distribution\ + \ am besten unterst\xFCtzten L\xF6sungen eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a8 + ref_id: SYS.2.3.A8.3 + description: "Rechte SOLLTEN grunds\xE4tzlich entzogen sein und wo n\xF6tig\ + \ \xFCber Positivlisten explizit erteilt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a8 + ref_id: SYS.2.3.A8.4 + description: "Erweiterungen zur Rechtebeschr\xE4nkung SOLLTEN im Zwangsmodus\ + \ (Enforcing Mode) oder mit geeigneten Alternativen verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3 + ref_id: SYS.2.3.A9 + name: "Sichere Verwendung von Passw\xF6rtern auf der Kommandozeile" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a9 + ref_id: SYS.2.3.A9.1 + description: "Passw\xF6rter SOLLTEN NICHT als Parameter an Programme \xFCbergeben\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3 + ref_id: SYS.2.3.A11 + name: "Verhinderung der \xDCberlastung der lokalen Festplatte" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a11 + ref_id: SYS.2.3.A11.1 + description: "Es SOLLTEN Quotas f\xFCr Konten bzw. Dienste eingerichtet werden,\ + \ die ausreichend Freiraum f\xFCr das Betriebssystem lassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a11 + ref_id: SYS.2.3.A11.2 + description: "Generell SOLLTEN unterschiedliche Partitionen f\xFCr Betriebssystem\ + \ und Daten genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a11 + ref_id: SYS.2.3.A11.3 + description: "Alternativ SOLLTEN auch Mechanismen des verwendeten Dateisystems\ + \ genutzt werden, die ab einem geeigneten F\xFCllstand nur noch dem Konto\ + \ \u201Eroot\u201C Schreibrechte einr\xE4umen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3 + ref_id: SYS.2.3.A12 + name: Sicherer Einsatz von Appliances + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a12 + ref_id: SYS.2.3.A12.1 + description: "Es SOLLTE sichergestellt werden, dass Appliances ein \xE4hnliches\ + \ Sicherheitsniveau wie Clients auf Standard-IT-Systemen erf\xFCllen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a12 + ref_id: SYS.2.3.A12.2 + description: "Es SOLLTE dokumentiert werden, wie entsprechende Sicherheitsanforderungen\ + \ mit einer eingesetzten Appliance erf\xFCllt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a12 + ref_id: SYS.2.3.A12.3 + description: "Wenn die Anforderungen nicht zweifelsfrei erf\xFCllt werden k\xF6\ + nnen, SOLLTE eine Konformit\xE4tserkl\xE4rung von den herstellenden Unternehmen\ + \ angefordert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3 + ref_id: SYS.2.3.A14 + name: "Absicherung gegen Nutzung unbefugter Peripherieger\xE4te" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a14 + ref_id: SYS.2.3.A14.1 + description: "Peripherieger\xE4te SOLLTEN nur nutzbar sein, wenn sie explizit\ + \ freigegeben sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a14 + ref_id: SYS.2.3.A14.2 + description: "Kernelmodule f\xFCr Peripherieger\xE4te SOLLTEN nur geladen und\ + \ aktiviert werden, wenn das Ger\xE4t freigegeben ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3 + ref_id: SYS.2.3.A15 + name: "Zus\xE4tzlicher Schutz vor der Ausf\xFChrung unerw\xFCnschter Dateien" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a15 + ref_id: SYS.2.3.A15.1 + description: "Partitionen und Verzeichnisse, in denen Benutzende Schreibrechte\ + \ haben, SOLLTEN so gemountet werden, dass keine Dateien ausgef\xFChrt werden\ + \ k\xF6nnen (Mountoption \u201Enoexec\u201C)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3 + ref_id: SYS.2.3.A17 + name: "Zus\xE4tzliche Verhinderung der Ausbreitung bei der Ausnutzung von Schwachstellen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a17 + ref_id: SYS.2.3.A17.1 + description: "Die Nutzung von Systemaufrufen SOLLTE insbesondere f\xFCr exponierte\ + \ Dienste und Anwendungen auf die unbedingt notwendige Anzahl beschr\xE4nkt\ + \ werden (z. B. durch seccomp)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a17 + ref_id: SYS.2.3.A17.2 + description: "Die vorhandenen Standardprofile bzw. -regeln von SELinux, AppArmor\ + \ sowie alternativen Erweiterungen SOLLTEN manuell \xFCberpr\xFCft und gegebenenfalls\ + \ an die eigene Sicherheitsrichtlinie angepasst werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a17 + ref_id: SYS.2.3.A17.3 + description: Falls erforderlich, SOLLTEN neue Regeln bzw. Profile erstellt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3 + ref_id: SYS.2.3.A18 + name: "Zus\xE4tzlicher Schutz des Kernels" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a18 + ref_id: SYS.2.3.A18.1 + description: "Es SOLLTEN mit speziell geh\xE4rteten Kernels (z. B. grsecurity,\ + \ PaX) geeignete Schutzma\xDFnahmen wie Speicherschutz, Dateisystemabsicherung\ + \ und rollenbasierte Zugriffskontrolle umgesetzt werden, die eine Ausnutzung\ + \ von Schwachstellen und die Ausbreitung im Betriebssystem verhindern." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3 + ref_id: SYS.2.3.A19 + name: "Festplatten- oder Dateiverschl\xFCsselung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a19 + ref_id: SYS.2.3.A19.1 + description: "Festplatten oder die darauf abgespeicherten Dateien SOLLTEN verschl\xFC\ + sselt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a19 + ref_id: SYS.2.3.A19.2 + description: "Die dazugeh\xF6rigen Schl\xFCssel SOLLTEN NICHT auf dem IT-System\ + \ gespeichert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a19.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a19 + ref_id: SYS.2.3.A19.3 + description: "Es SOLLTEN AEAD-Verfahren (Authenticated Encryption with Associated\ + \ Data) bei der Festplatten- und Dateiverschl\xFCsselung eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a19.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a19 + ref_id: SYS.2.3.A19.4 + description: "Alternativ SOLLTE \u201Edm-crypt\u201C in Kombination mit \u201E\ + dm-verity\u201C genutzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3 + ref_id: SYS.2.3.A20 + name: Abschaltung kritischer SysRq-Funktionen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a20 + ref_id: SYS.2.3.A20.1 + description: "Es SOLLTE festgelegt werden, welche SysRq-Funktionen von den Benutzenden\ + \ ausgef\xFChrt werden d\xFCrfen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a20.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.3.a20 + ref_id: SYS.2.3.A20.2 + description: "Generell SOLLTEN keine kritischen SysRq-Funktionen von den Benutzenden\ + \ ausgel\xF6st werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys + ref_id: SYS.2.4 + name: Clients unter macOS + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4 + ref_id: SYS.2.4.A1 + name: Planung des sicheren Einsatzes von macOS + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a1 + ref_id: SYS.2.4.A1.1 + description: "Die Einf\xFChrung von macOS MUSS sorgf\xE4ltig geplant werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a1 + ref_id: SYS.2.4.A1.2 + description: Es MUSS entschieden werden, wo und wie Daten abgelegt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a1 + ref_id: SYS.2.4.A1.3 + description: Es MUSS geplant werden, wie die Datensicherung in das institutionsweite + Datensicherungskonzept integriert werden kann. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a1 + ref_id: SYS.2.4.A1.4 + description: "Es MUSS geplant werden, wie Sicherheits- und sonstige Aktualisierungen\ + \ f\xFCr macOS und Anwendungen systematisch installiert werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a1 + ref_id: SYS.2.4.A1.5 + description: "Es MUSS ermittelt werden, welche Anwendungen bei einem Plattformwechsel\ + \ zu macOS ben\xF6tigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a1 + ref_id: SYS.2.4.A1.6 + description: "Wird der Mac in einem Datennetz betrieben, MUSS zus\xE4tzlich\ + \ ber\xFCcksichtigt werden, welche Netzprotokolle eingesetzt werden sollen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4 + ref_id: SYS.2.4.A2 + name: Nutzung der integrierten Sicherheitsfunktionen von macOS + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a2 + ref_id: SYS.2.4.A2.1 + description: "Die in macOS integrierten Schutzmechanismen \u201ESystem Integrity\ + \ Protection\u201C (SIP), \u201EXprotect\u201C und \u201EGatekeeper\u201C\ + \ M\xDCSSEN aktiviert sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a2 + ref_id: SYS.2.4.A2.2 + description: "Gatekeeper DARF NUR die Ausf\xFChrung signierter Programme erlauben,\ + \ sofern unsignierte Programme nicht zwingend notwendig sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4 + ref_id: SYS.2.4.A3 + name: Verwendung geeigneter Konten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a3 + ref_id: SYS.2.4.A3.1 + description: Das bei der Erstkonfiguration von macOS angelegte Konto hat Administrationsrechte + und DARF NUR zu administrativen Zwecken verwendet werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a3 + ref_id: SYS.2.4.A3.2 + description: "F\xFCr die normale Verwendung des Macs MUSS ein Konto mit Standard-Berechtigungen\ + \ angelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a3 + ref_id: SYS.2.4.A3.3 + description: "Sollte der Mac von mehreren Benutzenden verwendet werden, MUSS\ + \ f\xFCr jeden Benutzenden ein eigenes Konto angelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a3 + ref_id: SYS.2.4.A3.4 + description: Das Gast-Konto MUSS deaktiviert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4 + ref_id: SYS.2.4.A4 + name: "Verwendung einer Festplattenverschl\xFCsselung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a4 + ref_id: SYS.2.4.A4.1 + description: "Festplatten SOLLTEN, insbesondere bei mobilen Macs (z. B. MacBooks),\ + \ verschl\xFCsselt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a4 + ref_id: SYS.2.4.A4.2 + description: "Wird dazu die in macOS integrierte Funktion FileVault verwendet,\ + \ DARF das Schl\xFCsselmaterial NICHT online bei Apple gespeichert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a4 + ref_id: SYS.2.4.A4.3 + description: "Der von FileVault erzeugte Wiederherstellungsschl\xFCssel MUSS\ + \ an einem sicheren Ort aufbewahrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a4 + ref_id: SYS.2.4.A4.4 + description: "Es SOLLTE gepr\xFCft werden, ob ein institutioneller Wiederherstellungsschl\xFC\ + ssel f\xFCr FileVault verwendet werden soll." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4 + ref_id: SYS.2.4.A5 + name: Deaktivierung sicherheitskritischer Funktionen von macOS + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a5 + ref_id: SYS.2.4.A5.1 + description: Die in macOS integrierten Ortungsdienste SOLLTEN deaktiviert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a5 + ref_id: SYS.2.4.A5.2 + description: "Heruntergeladene Daten SOLLTEN NICHT automatisch ge\xF6ffnet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a5 + ref_id: SYS.2.4.A5.3 + description: "Inhalte von optischen und anderen Medien SOLLTEN NICHT automatisch\ + \ ausgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4 + ref_id: SYS.2.4.A6 + name: Verwendung aktueller Mac-Hardware + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a6 + ref_id: SYS.2.4.A6.1 + description: "Werden neue Macs beschafft, SOLLTEN aktuelle Modelle ausgew\xE4\ + hlt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a6 + ref_id: SYS.2.4.A6.2 + description: "Werden bereits vorhandene Macs eingesetzt, SOLLTE regelm\xE4\xDF\ + ig \xFCberpr\xFCft werden, ob diese sowie das darauf installierte Betriebssystem\ + \ weiterhin von Apple mit Sicherheits-Updates versorgt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a6 + ref_id: SYS.2.4.A6.3 + description: "Werden die Macs nicht mehr durch Apple unterst\xFCtzt, SOLLTEN\ + \ sie nicht mehr verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4 + ref_id: SYS.2.4.A7 + name: "Zwei-Faktor-Authentisierung f\xFCr Apple-ID" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a7 + ref_id: SYS.2.4.A7.1 + description: "Die Zwei-Faktor-Authentisierung f\xFCr die Verwendung des Apple-ID-Kontos\ + \ SOLLTE aktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4 + ref_id: SYS.2.4.A8 + name: "Keine Nutzung von iCloud f\xFCr sch\xFCtzenswerte Daten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a8 + ref_id: SYS.2.4.A8.1 + description: "Es SOLLTE verhindert werden, dass sch\xFCtzenswerte Daten zwischen\ + \ mehreren Ger\xE4ten \xFCber iCloud-Dienste synchronisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a8 + ref_id: SYS.2.4.A8.2 + description: "Stattdessen SOLLTEN Daten nur \xFCber selbst betriebene Dienste\ + \ synchronisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a8 + ref_id: SYS.2.4.A8.3 + description: "Sch\xFCtzenswerte Daten SOLLTEN NICHT in iCloud gespeichert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a8 + ref_id: SYS.2.4.A8.4 + description: "Entw\xFCrfe, beispielsweise von E-Mails oder Dokumenten, SOLLTEN\ + \ NICHT automatisch in iCloud gespeichert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4 + ref_id: SYS.2.4.A9 + name: "Verwendung von zus\xE4tzlichen Schutzprogrammen unter macOS" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a9 + ref_id: SYS.2.4.A9.1 + description: "Bei Bedarf, etwa wenn Macs in einem heterogenen Netz betrieben\ + \ werden, SOLLTEN neben den integrierten Schutzmechanismen von macOS zus\xE4\ + tzlich Virenschutz-L\xF6sungen von Drittanbietern eingesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4 + ref_id: SYS.2.4.A10 + name: Aktivierung der Personal Firewall unter macOS + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a10 + ref_id: SYS.2.4.A10.1 + description: Die in macOS integrierte Personal Firewall SOLLTE aktiviert und + geeignet konfiguriert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4 + ref_id: SYS.2.4.A11 + name: "Ger\xE4teaussonderung von Macs" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a11 + ref_id: SYS.2.4.A11.1 + description: "Bei einer Aussonderung des Macs SOLLTEN der nichtfl\xFCchtige\ + \ Datenspeicher NVRAM (Non Volatile Random Access Memory) sowie der SMC (System\ + \ Management Controller) zur\xFCckgesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4 + ref_id: SYS.2.4.A12 + name: Firmware-Kennwort und Boot-Schutz auf Macs + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a12 + ref_id: SYS.2.4.A12.1 + description: "Auf \xE4lteren Macs SOLLTE die Abfrage eines sicheren Firmware-Kennworts\ + \ im sogenannten \u201ECommand-Modus\u201C aktiviert werden, um ein unberechtigtes\ + \ Booten des Macs von einem anderen Startlaufwerk zu verhindern." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a12 + ref_id: SYS.2.4.A12.2 + description: "Es SOLLTE gepr\xFCft werden, ob \xFCber den \u201EFull-Modus\u201C\ + \ ein Kennwort bei jedem Startvorgang abgefragt werden sollte." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a12 + ref_id: SYS.2.4.A12.3 + description: "Auf Macs mit T2-Sicherheitschip SOLLTE ein Firmware-Passwort \xFC\ + ber das Startsicherheitsdienstprogramm gesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a12 + ref_id: SYS.2.4.A12.4 + description: "Die Option \u201ESicheres Starten: Volle Sicherheit\u201C SOLLTE\ + \ aktiviert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a12.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.4.a12 + ref_id: SYS.2.4.A12.5 + description: "Die Option \u201EStarten von externen Medien nicht zulassen\u201C\ + \ SOLLTE aktiviert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys + ref_id: SYS.2.5 + name: 'Client-Virtualisierung ' + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 + ref_id: SYS.2.5.A1 + name: Planung des Einsatzes virtueller Clients + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a1 + ref_id: SYS.2.5.A1.1 + description: Es MUSS festgelegt werden, welche Anwendungen auf den virtuellen + Clients eingesetzt werden sollen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a1 + ref_id: SYS.2.5.A1.2 + description: "Die Aufgaben, die mit diesen Anwendungen gel\xF6st werden sollen,\ + \ M\xDCSSEN festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a1 + ref_id: SYS.2.5.A1.3 + description: "F\xFCr diese Anwendungen MUSS \xFCberpr\xFCft und dokumentiert\ + \ werden, welche Anforderungen an die Virtualisierungsinfrastruktur und deren\ + \ etwaige Zusatzhardware (z. B. Grafikkarten) gestellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a1 + ref_id: SYS.2.5.A1.4 + description: Der genutzte Virtualisierungsserver MUSS die notwendigen Ressourcen + hinsichtlich CPU, Arbeitsspeicher und Datenspeicher bereitstellen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 + ref_id: SYS.2.5.A2 + name: "Planung der verwendeten Netze f\xFCr virtuelle Clients" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a2 + ref_id: SYS.2.5.A2.1 + description: "Die Netze f\xFCr die Verbindung zwischen zugreifenden Clients\ + \ und virtuellen Clients sowie die Netze zur Anbindung nachgelagerter Dienste\ + \ an die virtuellen Clients (z. B. Verzeichnisdienst, E-Mail oder Internetzugriff)\ + \ M\xDCSSEN ausreichend leistungsf\xE4hig ausgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a2 + ref_id: SYS.2.5.A2.2 + description: "Es MUSS geplant werden, welche Netzsegmente f\xFCr die virtuellen\ + \ Clients verwendet werden sollen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a2 + ref_id: SYS.2.5.A2.3 + description: "Die Netzsegmente f\xFCr virtuelle Clients M\xDCSSEN von Netzsegmenten\ + \ f\xFCr Server getrennt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a2 + ref_id: SYS.2.5.A2.4 + description: Eine bestehende Netztrennung DARF NICHT mithilfe eines virtuellen + Clients oder eines Virtualisierungsservers umgangen werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a2 + ref_id: SYS.2.5.A2.5 + description: "F\xFCr virtuelle Clients MUSS festgelegt werden, ob und in welchem\ + \ Ausma\xDF die Kommunikation in nicht vertrauensw\xFCrdige Netze eingeschr\xE4\ + nkt werden soll." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 + ref_id: SYS.2.5.A3 + name: Schutz vor Schadsoftware auf den virtuellen Clients + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a3 + ref_id: SYS.2.5.A3.1 + description: "F\xFCr die virtuellen Clients MUSS ein Schutz vor Schadsoftware\ + \ gem\xE4\xDF den Bausteinen OPS.1.1.4 Schutz vor Schadprogrammen und SYS.2.1\ + \ Allgemeiner Client sowie unter Ber\xFCcksichtigung der betriebssystemspezifischen\ + \ Bausteine umgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a3 + ref_id: SYS.2.5.A3.2 + description: Wird ein Virenschutzprogramm eingesetzt, MUSS festgelegt und dokumentiert + werden, ob dieser Schutz zentralisiert in der Virtualisierungsinfrastruktur, + dezentralisiert auf den virtuellen Clients oder in Mischformen umgesetzt wird. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a3 + ref_id: SYS.2.5.A3.3 + description: "Falls die virtuellen Clients mit zentralen Komponenten gesch\xFC\ + tzt werden sollen, M\xDCSSEN diese zentralen Komponenten \xFCber eine ausreichende\ + \ Leistung verf\xFCgen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a3 + ref_id: SYS.2.5.A3.4 + description: "Falls ein Virenschutzprogramm auf den virtuellen Clients ausgef\xFC\ + hrt wird, MUSS sichergestellt werden, dass die Leistung der Virtualisierungsinfrastruktur\ + \ ausreicht." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 + ref_id: SYS.2.5.A4 + name: "Verwendung einer dedizierten Virtualisierungsinfrastruktur f\xFCr die\ + \ virtuellen Clients" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a4 + ref_id: SYS.2.5.A4.1 + description: Die virtuellen Clients SOLLTEN auf einer dedizierten Virtualisierungsinfrastruktur + betrieben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a4 + ref_id: SYS.2.5.A4.2 + description: "Virtuelle Server SOLLTEN NICHT auf derselben Virtualisierungsinfrastruktur\ + \ ausgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 + ref_id: SYS.2.5.A5 + name: "Zus\xE4tzliche Netzsegmentierung f\xFCr virtuelle Clients" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a5 + ref_id: SYS.2.5.A5.1 + description: "Folgende Kriterien SOLLTEN f\xFCr eine zus\xE4tzliche Netztrennung\ + \ der virtuellen Clients ber\xFCcksichtigt werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a5 + ref_id: SYS.2.5.A5.2 + description: "\u2022 Nutzungsszenario f\xFCr die virtuellen Clients und Gruppenzugeh\xF6\ + rigkeit der Benutzenden" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a5 + ref_id: SYS.2.5.A5.3 + description: "\u2022 aus der Gruppenzugeh\xF6rigkeit abgeleitete Berechtigungen\ + \ der Benutzenden" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a5 + ref_id: SYS.2.5.A5.4 + description: "\u2022 auf den virtuellen Clients installierte und den Benutzenden\ + \ zur Verf\xFCgung gestellte Anwendungen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a5.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a5 + ref_id: SYS.2.5.A5.5 + description: "\u2022 Schutzbedarf der auf den virtuellen Clients verarbeiteten\ + \ Informationen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a5.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a5 + ref_id: SYS.2.5.A5.6 + description: "\u2022 Vertrauensw\xFCrdigkeit der virtuellen Clients" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a5.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a5 + ref_id: SYS.2.5.A5.7 + description: "\u2022 f\xFCr die Funktionsf\xE4higkeit der virtuellen Clients\ + \ notwendige Netzanbindungen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 + ref_id: SYS.2.5.A6 + name: Keine lokale Datenablage auf virtuellen Clients + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a6 + ref_id: SYS.2.5.A6.1 + description: Durch die Benutzenden erstellte oder verarbeitete Daten SOLLTEN + zentral gespeichert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a6 + ref_id: SYS.2.5.A6.2 + description: Die Daten SOLLTEN NICHT dauerhaft auf den virtuellen Clients abgelegt + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a6 + ref_id: SYS.2.5.A6.3 + description: "Benutzende, die sich mit virtuellen Clients verbinden, SOLLTEN\ + \ NICHT in der Lage sein, Daten aus den virtuellen Clients auf ihre lokalen\ + \ IT-Systeme zu \xFCbertragen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a6 + ref_id: SYS.2.5.A6.4 + description: "Falls eine solche \xDCbertragung nachvollziehbar notwendig ist,\ + \ SOLLTE sie auf das notwendige Minimum beschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 + ref_id: SYS.2.5.A7 + name: Automatische Sperrung von Sitzungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a7 + ref_id: SYS.2.5.A7.1 + description: Nachdem ein zugreifender Client seine Terminalserver-Sitzung beendet + hat, SOLLTE die aktive Sitzung auf dem virtuellen Client gesperrt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a7 + ref_id: SYS.2.5.A7.2 + description: "Nach einer definierten Zeit der Inaktivit\xE4t SOLLTEN Verbindungen\ + \ zwischen zugreifendem und virtuellem Client beendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a7 + ref_id: SYS.2.5.A7.3 + description: "Falls der Einsatzzweck des jeweiligen virtuellen Clients dies\ + \ zul\xE4sst, SOLLTEN die virtuellen Clients in einen inaktiven Zustand versetzt\ + \ werden, nachdem die Verbindung beendet ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 + ref_id: SYS.2.5.A8 + name: "H\xE4rtung der virtuellen Clients" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a8 + ref_id: SYS.2.5.A8.1 + description: "Die virtuellen Clients SOLLTEN geh\xE4rtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a8 + ref_id: SYS.2.5.A8.2 + description: "Hierbei SOLLTEN die folgenden Aspekte ber\xFCcksichtigt werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a8 + ref_id: SYS.2.5.A8.3 + description: "\u2022 Einschr\xE4nkung der Daten\xFCbertragung zwischen zugreifenden\ + \ und virtuellen Clients" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a8 + ref_id: SYS.2.5.A8.4 + description: "\u2022 Weiterleitungen von Peripherieger\xE4ten oder externen\ + \ Datentr\xE4gern von zugreifenden an die virtuellen Clients" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a8.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a8 + ref_id: SYS.2.5.A8.5 + description: "\u2022 Explizite Freigabe der Ausf\xFChrung von Anwendungen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a8.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a8 + ref_id: SYS.2.5.A8.6 + description: "\u2022 Deaktivierung von Netzdiensten, die in der Virtualisierungsinfrastruktur\ + \ nicht ben\xF6tigt werden" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 + ref_id: SYS.2.5.A9 + name: "Einbindung der virtuellen Clients in das Patch- und \xC4nderungsmanagement" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a9 + ref_id: SYS.2.5.A9.1 + description: Die Client-Anwendungen SOLLTEN zentral provisioniert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a9 + ref_id: SYS.2.5.A9.2 + description: "Dazu SOLLTE eine geeignete zentral verwaltbare L\xF6sung eingesetzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a9 + ref_id: SYS.2.5.A9.3 + description: "Templates f\xFCr die virtuellen Clients SOLLTEN regelm\xE4\xDF\ + ig aktualisiert und getestet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 + ref_id: SYS.2.5.A10 + name: Bedarfsgerechte Zuweisung von Ressourcen zu virtuellen Clients und Gruppen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a10 + ref_id: SYS.2.5.A10.1 + description: "Anhand von Rollen und T\xE4tigkeiten SOLLTEN die Leistungsanforderungen\ + \ der einzelnen Benutzendengruppen an die virtuellen Clients identifiziert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a10 + ref_id: SYS.2.5.A10.2 + description: "Anhand dieser Anforderungen SOLLTE entschieden werden, wie viele\ + \ Ressourcen (z. B. Prozessorkerne oder Arbeitsspeicher) den einzelnen virtuellen\ + \ Clients zur Verf\xFCgung gestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a10 + ref_id: SYS.2.5.A10.3 + description: "Zus\xE4tzliche Ressourcen wie GPUs (Graphics Processing Units)\ + \ SOLLTEN den Benutzenden nur bei Bedarf bereitgestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 + ref_id: SYS.2.5.A11 + name: Vermeidung von verschachtelter Virtualisierung auf virtuellen Clients + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a11 + ref_id: SYS.2.5.A11.1 + description: Auf virtuellen Clients SOLLTEN keine weiteren virtuellen IT-Systeme + eingerichtet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a11 + ref_id: SYS.2.5.A11.2 + description: "Falls technisch m\xF6glich, SOLLTEN in der zugrundeliegenden Virtualisierungsinfrastruktur\ + \ Funktionen aktiviert werden, die eine verschachtelte Virtualisierung erschweren\ + \ oder unterbinden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 + ref_id: SYS.2.5.A12 + name: Sensibilisierung der Benutzenden + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a12 + ref_id: SYS.2.5.A12.1 + description: "Alle Benutzenden von virtuellen Clients SOLLTEN \xFCber den sicheren\ + \ Umgang mit virtuellen Clients sensibilisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a12 + ref_id: SYS.2.5.A12.2 + description: "Falls die Ressourcen dynamisch anhand der abgerufenen Leistung\ + \ zwischen mehreren virtuellen Clients aufgeteilt werden, SOLLTEN die Benutzenden\ + \ dar\xFCber aufgekl\xE4rt werden, dass ihr Verhalten potenziell andere Benutzende\ + \ beeinflussen kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a12 + ref_id: SYS.2.5.A12.3 + description: "Falls die Sicherheitsanforderungen der auf virtuellen Clients\ + \ ausgef\xFChrten Anwendungen besonders sind, SOLLTE kommuniziert werden,\ + \ wie diese gegen\xFCber physischen Clients abweichen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a12 + ref_id: SYS.2.5.A12.4 + description: Es SOLLTE auch kommuniziert werden, welche spezifischen Sicherheitsaspekte + zu beachten sind. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 + ref_id: SYS.2.5.A13 + name: Verhinderung der Kommunikation zwischen virtuellen Clients an einem gemeinsam + genutzten virtuellen Switch + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a13 + ref_id: SYS.2.5.A13.1 + description: Mechanismen SOLLTEN aktiviert werden, die eine unkontrollierte + Layer-2-Kommunikation zwischen virtuellen Clients an einem gemeinsam genutzten + virtuellen Switch unterbinden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 + ref_id: SYS.2.5.A14 + name: "Erweiterte Sicherheitsfunktionen f\xFCr den Einsatz von virtuellen Clients" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a14 + ref_id: SYS.2.5.A14.1 + description: "Die virtuellen Clients SOLLTEN mit zus\xE4tzlichen Sicherheitsfunktionen\ + \ gesch\xFCtzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a14 + ref_id: SYS.2.5.A14.2 + description: "Dabei SOLLTEN mindestens die folgenden Techniken ber\xFCcksichtigt\ + \ werden:" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a14 + ref_id: SYS.2.5.A14.3 + description: "\u2022 Mikrosegmentierung f\xFCr die virtuellen Clients" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a14.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a14 + ref_id: SYS.2.5.A14.4 + description: "\u2022 Intrusion-Detection- oder Intrusion-Prevention-Systeme,\ + \ die entweder zentralisiert auf der Virtualisierungsinfrastruktur oder dezentral\ + \ auf den virtuellen Clients bereitgestellt werden" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 + ref_id: SYS.2.5.A15 + name: Monitoring der virtuellen Clients + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a15 + ref_id: SYS.2.5.A15.1 + description: "Der Zustand der virtuellen Clients SOLLTE zentral \xFCberwacht\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a15 + ref_id: SYS.2.5.A15.2 + description: "Folgende Parameter SOLLTEN mindestens \xFCberwacht werden:" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a15 + ref_id: SYS.2.5.A15.3 + description: "\u2022 Erreichbarkeit der virtuellen Clients \xFCber alle vorgesehenen\ + \ Netzschnittstellen," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a15.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a15 + ref_id: SYS.2.5.A15.4 + description: "\u2022 Auslastung von CPU und Arbeitsspeicher der virtuellen Clients," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a15.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a15 + ref_id: SYS.2.5.A15.5 + description: "\u2022 freie Festplattenkapazit\xE4t der virtuellen Clients sowie" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a15.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a15 + ref_id: SYS.2.5.A15.6 + description: "\u2022 Verf\xFCgbarkeit der f\xFCr den Zugriff eingesetzten Terminalserver-Dienste." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a15.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a15 + ref_id: SYS.2.5.A15.7 + description: "F\xFCr das Monitoring SOLLTEN vorab die jeweiligen Schwellwerte\ + \ ermittelt werden (Baselining)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a15.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a15 + ref_id: SYS.2.5.A15.8 + description: "Diese Schwellwerte SOLLTEN regelm\xE4\xDFig \xFCberpr\xFCft und\ + \ bei Bedarf angepasst werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 + ref_id: SYS.2.5.A16 + name: "Erweiterte Protokollierung f\xFCr virtuelle Clients" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a16 + ref_id: SYS.2.5.A16.1 + description: "F\xFCr virtuelle Clients SOLLTEN zus\xE4tzliche Ereignisse an\ + \ eine zentrale Protokollierungsinfrastruktur (siehe OPS.1.1.5 Protokollierung)\ + \ \xFCbermittelt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a16 + ref_id: SYS.2.5.A16.2 + description: 'Hierbei SOLLTEN mindestens die folgenden Ereignisse protokolliert + werden:' + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a16 + ref_id: SYS.2.5.A16.3 + description: "\u2022 Aktionen, die mit administrativen Rechten ausgef\xFChrt\ + \ werden," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a16.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a16 + ref_id: SYS.2.5.A16.4 + description: "\u2022 Konfigurations\xE4nderungen," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a16.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a16 + ref_id: SYS.2.5.A16.5 + description: "\u2022 Installation von Software," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a16.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a16 + ref_id: SYS.2.5.A16.6 + description: "\u2022 erfolgreiche und fehlgeschlagene Updates und" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a16.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a16 + ref_id: SYS.2.5.A16.7 + description: "\u2022 alle Ereignisse, die durch den Schutz vor Schadsoftware\ + \ entstehen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 + ref_id: SYS.2.5.A17 + name: Erweitertes Monitoring der virtuellen Clients + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a17 + ref_id: SYS.2.5.A17.1 + description: "Die virtuellen Clients SOLLTEN kontinuierlich darauf \xFCberwacht\ + \ werden, ob die in SYS.2.5.A16 Erweiterte Protokollierung f\xFCr virtuelle\ + \ Clients beschriebenen Ereignisse auftreten." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a17 + ref_id: SYS.2.5.A17.2 + description: Wird ein Security Information and Event Management (SIEM) genutzt, + SOLLTEN die virtuellen Clients darin eingebunden werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a17 + ref_id: SYS.2.5.A17.3 + description: "Im SIEM SOLLTEN die \xFCberwachten Ereignisse auf Anomalien inklusive\ + \ Angriffsmustern automatisiert analysiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a17.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a17 + ref_id: SYS.2.5.A17.4 + description: "Die virtuellen Clients SOLLTEN automatisch und regelm\xE4\xDF\ + ig auf Schwachstellen \xFCberpr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5 + ref_id: SYS.2.5.A18 + name: "Hochverf\xFCgbare Bereitstellung der Virtualisierungsinfrastruktur" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a18 + ref_id: SYS.2.5.A18.1 + description: "Die virtuellen Clients SOLLTEN hochverf\xFCgbar bereitgestellt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a18 + ref_id: SYS.2.5.A18.2 + description: Dies SOLLTE durch die zugrundeliegende Virtualisierungsinfrastruktur + sichergestellt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a18 + ref_id: SYS.2.5.A18.3 + description: Die Virtualisierungsserver SOLLTEN redundant an die relevanten + Netze angeschlossen werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a18.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a18 + ref_id: SYS.2.5.A18.4 + description: Bei Ressourcenknappheit SOLLTEN die virtuellen Clients automatisch + zwischen den Virtualisierungsservern migriert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a18.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.5.a18 + ref_id: SYS.2.5.A18.5 + description: Bei Ausfall eines Virtualisierungsservers SOLLTEN die virtuellen + Clients automatisiert auf einem anderen Virtualisierungsserver gestartet werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys + ref_id: SYS.2.6 + name: 'Virtual Desktop Infrastructure ' + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6 + ref_id: SYS.2.6.A1 + name: Planung des Einsatzes einer VDI + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a1 + ref_id: SYS.2.6.A1.1 + description: "Die Leistungsanforderungen und Anzahl der ben\xF6tigten virtuellen\ + \ Clients sowie die daraus resultierenden Anforderungen an die Dimensionierung\ + \ der VDI M\xDCSSEN identifiziert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a1 + ref_id: SYS.2.6.A1.2 + description: "Die VDI-Komponenten M\xDCSSEN anhand dieser Dimensionierungsanforderungen\ + \ bedarfsgerecht geplant werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a1 + ref_id: SYS.2.6.A1.3 + description: "Die VDI-Komponenten und die genutzte Virtualisierungsinfrastruktur\ + \ M\xDCSSEN aufeinander abgestimmt geplant werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a1 + ref_id: SYS.2.6.A1.4 + description: "Bei der Dimensionierung der VDI MUSS ber\xFCcksichtigt werden,\ + \ ob und wie sich die Anforderungen hieran \xFCber den geplanten Einsatzzeitraum\ + \ der VDI-L\xF6sung \xE4ndern." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a1 + ref_id: SYS.2.6.A1.5 + description: "Der Support MUSS f\xFCr den gesamten geplanten Einsatzzeitraum\ + \ der VDI-L\xF6sung bei der Planung mitber\xFCcksichtig werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a1 + ref_id: SYS.2.6.A1.6 + description: "Die Anzahl virtueller Clients und deren ben\xF6tigte Leistung\ + \ pro Virtualisierungsserver MUSS festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6 + ref_id: SYS.2.6.A2 + name: Sichere Installation und Konfiguration der VDI-Komponenten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a2 + ref_id: SYS.2.6.A2.1 + description: "Wenn die VDI-Komponenten installiert und konfiguriert werden,\ + \ MUSS mindestens ber\xFCcksichtigt werden, wie:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a2 + ref_id: SYS.2.6.A2.2 + description: "\u2022 auf betrieblich und technisch notwendige Funktionen beschr\xE4\ + nkt wird," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a2 + ref_id: SYS.2.6.A2.3 + description: "\u2022 die Kommunikation zwischen VDI-Komponenten abgesichert\ + \ wird sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a2 + ref_id: SYS.2.6.A2.4 + description: "\u2022 virtuelle Clients sicher den Benutzenden oder Gruppen hiervon\ + \ zugewiesen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a2 + ref_id: SYS.2.6.A2.5 + description: "Empfehlungen von dem herstellenden Unternehmen der VDI-L\xF6sung\ + \ f\xFCr die sichere Konfiguration M\xDCSSEN ber\xFCcksichtigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a2.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a2 + ref_id: SYS.2.6.A2.6 + description: "Die Konfigurationen der VDI-Komponenten M\xDCSSEN geeignet dokumentiert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6 + ref_id: SYS.2.6.A3 + name: Sichere Installation und Konfiguration der virtuellen Clients mithilfe + der VDI + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a3 + ref_id: SYS.2.6.A3.1 + description: "Die VDI-L\xF6sung SOLLTE genutzt werden, um die virtuellen Clients\ + \ zu installieren und zu konfigurieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a3 + ref_id: SYS.2.6.A3.2 + description: "Virtuelle Clients SOLLTEN NICHT manuell in die VDI-L\xF6sung integriert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a3 + ref_id: SYS.2.6.A3.3 + description: "In der f\xFCr die VDI verwendeten Virtualisierungsinfrastruktur\ + \ SOLLTEN virtuelle Clients NICHT unabh\xE4ngig von der VDI erzeugt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6 + ref_id: SYS.2.6.A4 + name: Netzsegmentierung der VDI-Komponenten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a4 + ref_id: SYS.2.6.A4.1 + description: "Die VDI-Komponenten inklusive der virtuellen Clients SOLLTEN bei\ + \ der Netzsegmentierung gesondert ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a4 + ref_id: SYS.2.6.A4.2 + description: Netze SOLLTEN dabei mindestens mit Hilfe der Virtualisierungsinfrastruktur + getrennt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a4 + ref_id: SYS.2.6.A4.3 + description: "Dedizierte Netzsegmente SOLLTEN mindestens f\xFCr das Administrationsnetz\ + \ der VDI-Komponenten und f\xFCr die Netze der internen Kommunikation zwischen\ + \ VDI-Komponenten eingerichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6 + ref_id: SYS.2.6.A5 + name: Standardisierter Zugriff auf virtuelle Clients + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a5 + ref_id: SYS.2.6.A5.1 + description: "Die Mechanismen und Dienste der VDI-L\xF6sung SOLLTEN genutzt\ + \ werden, um die Zugriffe auf die virtuellen Clients zu steuern und abzusichern." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a5 + ref_id: SYS.2.6.A5.2 + description: "Falls eine zus\xE4tzliche Software f\xFCr diese Zugriffe auf den\ + \ zugreifenden Clients eingesetzt wird, SOLLTE diese Software standardisiert\ + \ und zentralisiert bereitgestellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6 + ref_id: SYS.2.6.A6 + name: "Verwendung einer dedizierten Infrastruktur f\xFCr virtuelle VDI-Komponenten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a6 + ref_id: SYS.2.6.A6.1 + description: Falls die VDI-Komponenten virtualisiert betrieben werden, SOLLTEN + sie auf einer dedizierten Virtualisierungsinfrastruktur betrieben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6 + ref_id: SYS.2.6.A7 + name: "H\xE4rtung der virtualisierten Clients durch die VDI-L\xF6sung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a7 + ref_id: SYS.2.6.A7.1 + description: "Die M\xF6glichkeiten der VDI-L\xF6sung SOLLTEN f\xFCr die H\xE4\ + rtung der virtuellen Clients entsprechend den Anforderungen des Bausteins\ + \ SYS.2.5 Client-Virtualisierung genutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a7 + ref_id: SYS.2.6.A7.2 + description: "Die Betriebssysteme der Clients SOLLTEN ausschlie\xDFlich \xFC\ + ber die Managementkomponente der VDI-L\xF6sung konfiguriert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a7 + ref_id: SYS.2.6.A7.3 + description: "Eine individuelle Konfiguration bestehender virtueller Clients\ + \ \xFCber die Virtualisierungsinfrastruktur SOLLTE mit technischen Mitteln\ + \ unterbunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6 + ref_id: SYS.2.6.A8 + name: "H\xE4rtung der VDI-L\xF6sung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a8 + ref_id: SYS.2.6.A8.1 + description: "Eine automatische Anmeldung an der VDI SOLLTE nicht m\xF6glich\ + \ sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a8 + ref_id: SYS.2.6.A8.2 + description: Die Authentisierung SOLLTE nur erfolgen, nachdem die Benutzenden + mit der VDI interagiert haben. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6 + ref_id: SYS.2.6.A9 + name: "Einbindung der virtuellen Clients in das Patch- und \xC4nderungsmanagement" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a9 + ref_id: SYS.2.6.A9.1 + description: "Die virtuellen Clients SOLLTEN, wenn m\xF6glich, zentral \xFC\ + ber die Managementkomponenten der VDI-L\xF6sung verwaltet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a9 + ref_id: SYS.2.6.A9.2 + description: "Die virtuellen Clients SOLLTEN auch im ausgeschalteten Zustand\ + \ gepatcht werden, falls dies von der VDI-L\xF6sung unterst\xFCtzt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a9 + ref_id: SYS.2.6.A9.3 + description: "Die Templates, aus denen virtuelle Clients erzeugt werden, SOLLTEN\ + \ regelm\xE4\xDFig aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6 + ref_id: SYS.2.6.A10 + name: "Monitoring von Verf\xFCgbarkeit und Nutzungsgrad der VDI" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a10 + ref_id: SYS.2.6.A10.1 + description: "Der Zustand der VDI-Komponenten SOLLTE zentral \xFCberwacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a10 + ref_id: SYS.2.6.A10.2 + description: "Es SOLLTEN mindestens folgende Parameter f\xFCr jede VDI-Komponente\ + \ \xFCberwacht werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a10 + ref_id: SYS.2.6.A10.3 + description: "\u2022 Erreichbarkeit der ben\xF6tigten Netzschnittstellen" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a10 + ref_id: SYS.2.6.A10.4 + description: "\u2022 Verf\xFCgbarkeit der von der VDI-Komponente bereitgestellten\ + \ Dienste" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a10.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a10 + ref_id: SYS.2.6.A10.5 + description: "\u2022 Auslastung der CPU und des Arbeitsspeichers" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6 + ref_id: SYS.2.6.A11 + name: Monitoring von sicherheitsrelevanten Ereignissen der VDI + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a11 + ref_id: SYS.2.6.A11.1 + description: "F\xFCr die VDI-Komponenten SOLLTEN mindestens die folgenden Ereignisse\ + \ an ein zentrales Monitoring weitergeleitet werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a11 + ref_id: SYS.2.6.A11.2 + description: "\u2022 erfolgreiche und fehlgeschlagene Anmeldeversuche" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a11 + ref_id: SYS.2.6.A11.3 + description: "\u2022 Konfigurations\xE4nderungen an VDI-Komponenten oder virtuellen\ + \ Clients" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a11.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a11 + ref_id: SYS.2.6.A11.4 + description: "\u2022 erfolgreiche und fehlgeschlagene Updates an VDI-Komponenten" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a11.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a11 + ref_id: SYS.2.6.A11.5 + description: "\u2022 fehlgeschlagene Updates an virtuellen Clients Die VDI-Komponenten\ + \ SOLLTEN regelm\xE4\xDFig auf Schwachstellen \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6 + ref_id: SYS.2.6.A12 + name: Verteilung von virtuellen Clients auf Virtualisierungsservern + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a12 + ref_id: SYS.2.6.A12.1 + description: "Pro Virtualisierungsserver SOLLTE die maximale Leistung festgelegt\ + \ werden, die dieser f\xFCr virtuelle Clients zur Verf\xFCgung stellen darf." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a12 + ref_id: SYS.2.6.A12.2 + description: Diese Grenzwerte SOLLTEN in der VDI-Managementkomponente genutzt + werden, um bei hoher Auslastung die virtuellen Clients auf verschiedene Virtualisierungsserver + zu verteilen. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6 + ref_id: SYS.2.6.A13 + name: "Verwendung getrennter VDI-L\xF6sungen f\xFCr unterschiedliche Benutzendengruppen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a13 + ref_id: SYS.2.6.A13.1 + description: "Es SOLLTE gepr\xFCft werden, ob es Benutzendengruppen gibt, die\ + \ sich in ihren Berechtigungen so stark unterscheiden, dass die Nutzung einer\ + \ gemeinsamen VDI-L\xF6sung nicht sinnvoll ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a13 + ref_id: SYS.2.6.A13.2 + description: "In diesem Fall SOLLTE jeweils eine eigene VDI-L\xF6sung pro Benutzendengruppe\ + \ verwendet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6 + ref_id: SYS.2.6.A14 + name: Verwendung von nicht-persistenten virtuellen Clients + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a14 + ref_id: SYS.2.6.A14.1 + description: "Nachdem sie benutzt wurden oder zu einem definierten Zeitpunkt\ + \ SOLLTEN die virtuellen Clients auf ihren Grundzustand, d. h. auf das zugrundeliegende\ + \ Template, zur\xFCckgesetzt oder bei Bedarf neu provisioniert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a14 + ref_id: SYS.2.6.A14.2 + description: Diese Zeitfenster SOLLTEN dokumentiert und an die Betroffenen kommuniziert + werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a14 + ref_id: SYS.2.6.A14.3 + description: "Nicht zur\xFCckgesetzte virtuelle Clients SOLLTEN NICHT von mehreren\ + \ unterschiedlichen Benutzenden verwendet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6 + ref_id: SYS.2.6.A15 + name: "Hochverf\xFCgbare Bereitstellung der VDI-Komponenten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a15 + ref_id: SYS.2.6.A15.1 + description: Die VDI-Komponenten SOLLTEN redundant ausgelegt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a15 + ref_id: SYS.2.6.A15.2 + description: "Jede Komponente SOLLTE dar\xFCber hinaus redundant an die relevanten\ + \ Netze angeschlossen werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a15 + ref_id: SYS.2.6.A15.3 + description: "Falls die VDI-Komponenten auf physischen IT-Systemen betrieben\ + \ werden, SOLLTEN diese IT-Systeme \xFCber redundante Stromversorgung und\ + \ Datenspeicher verf\xFCgen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a15.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a15 + ref_id: SYS.2.6.A15.4 + description: "Falls die VDI-Komponenten virtualisiert betrieben werden, SOLLTEN\ + \ Mechanismen der Virtualisierungsinfrastruktur f\xFCr die Hochverf\xFCgbarkeit\ + \ eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6 + ref_id: SYS.2.6.A16 + name: Integration der VDI in ein SIEM + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a16 + ref_id: SYS.2.6.A16.1 + description: Wird ein Security Information and Event Management (SIEM) genutzt, + SOLLTEN die VDI-Komponenten darin eingebunden werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.2.6.a16 + ref_id: SYS.2.6.A16.2 + description: "Im SIEM SOLLTEN die \xFCberwachten Ereignisse automatisiert hinsichtlich\ + \ Anomalien inklusive Angriffsmustern analysiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys + ref_id: SYS.3.1 + name: Laptops + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1 + ref_id: SYS.3.1.A1 + name: Regelungen zur mobilen Nutzung von Laptops + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a1 + ref_id: SYS.3.1.A1.1 + description: "Es MUSS klar geregelt werden, was Mitarbeitende bei der mobilen\ + \ Nutzung von Laptops ber\xFCcksichtigen m\xFCssen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a1 + ref_id: SYS.3.1.A1.2 + description: "Es MUSS insbesondere festgelegt werden, welche Laptops mobil genutzt\ + \ werden d\xFCrfen, wer sie mitnehmen darf und welche grundlegenden Sicherheitsma\xDF\ + nahmen dabei zu beachten sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a1 + ref_id: SYS.3.1.A1.3 + description: "Die Benutzenden M\xDCSSEN auf die Regelungen hingewiesen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1 + ref_id: SYS.3.1.A3 + name: Einsatz von Personal Firewalls + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a3 + ref_id: SYS.3.1.A3.1 + description: "Auf Laptops MUSS eine Personal Firewall aktiv sein, wenn sie au\xDF\ + erhalb von Netzen der Institution eingesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a3 + ref_id: SYS.3.1.A3.2 + description: "Die Filterregeln der Firewall M\xDCSSEN so restriktiv wie m\xF6\ + glich sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a3 + ref_id: SYS.3.1.A3.3 + description: "Die Filterregeln M\xDCSSEN regelm\xE4\xDFig getestet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a3 + ref_id: SYS.3.1.A3.4 + description: "Die Personal Firewall MUSS so konfiguriert werden, dass die Benutzenden\ + \ nicht durch Warnmeldungen bel\xE4stigt werden, die sie nicht interpretieren\ + \ k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1 + ref_id: SYS.3.1.A6 + name: "Sicherheitsrichtlinien f\xFCr Laptops" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a6 + ref_id: SYS.3.1.A6.1 + description: "F\xFCr Laptops SOLLTE eine Sicherheitsrichtlinie erstellt werden,\ + \ die regelt, wie die Ger\xE4te benutzt werden d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a6 + ref_id: SYS.3.1.A6.2 + description: Die Benutzenden SOLLTEN hinsichtlich des Schutzbedarfs von Laptops + und der dort gespeicherten Daten sensibilisiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a6 + ref_id: SYS.3.1.A6.3 + description: "Auch SOLLTEN sie auf die spezifischen Gef\xE4hrdungen bzw. die\ + \ entsprechenden Anforderungen f\xFCr die Nutzung aufmerksam gemacht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a6 + ref_id: SYS.3.1.A6.4 + description: "Sie SOLLTEN au\xDFerdem dar\xFCber informiert werden, welche Art\ + \ von Informationen sie auf Laptops verarbeiten d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1 + ref_id: SYS.3.1.A7 + name: "Geregelte \xDCbergabe und R\xFCcknahme eines Laptops" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a7 + ref_id: SYS.3.1.A7.1 + description: "Wenn Laptops von verschiedenen Personen abwechselnd genutzt werden,\ + \ SOLLTE geregelt werden, wie sie sicher \xFCbergeben werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a7 + ref_id: SYS.3.1.A7.2 + description: "Auch SOLLTE geregelt werden, wie sie wieder sicher zur\xFCckzunehmen\ + \ sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a7 + ref_id: SYS.3.1.A7.3 + description: "Vor der Weitergabe eines Laptops SOLLTEN eventuell vorhandene\ + \ sch\xFCtzenswerte Daten sicher gel\xF6scht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a7 + ref_id: SYS.3.1.A7.4 + description: "Falls der Laptop vor der Weitergabe nicht neu aufgesetzt wird,\ + \ SOLLTE sichergestellt sein, dass sich auf dem IT-System und allen damit\ + \ verbundenen Datentr\xE4gern keine Schadsoftware befindet." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a7 + ref_id: SYS.3.1.A7.5 + description: "Gemeinsam mit einem Laptop SOLLTE ein Merkblatt f\xFCr den sicheren\ + \ Umgang mit dem Ger\xE4t ausgeh\xE4ndigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1 + ref_id: SYS.3.1.A8 + name: Sicherer Anschluss von Laptops an Datennetze + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a8 + ref_id: SYS.3.1.A8.1 + description: Es SOLLTE geregelt werden, wie Laptops sicher an eigene oder fremde + Datennetze und an das Internet angeschlossen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a8 + ref_id: SYS.3.1.A8.2 + description: "Nur zugelassene Laptops SOLLTEN sich am internen Netz der Institution\ + \ anmelden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1 + ref_id: SYS.3.1.A9 + name: Sicherer Fernzugriff mit Laptops + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a9 + ref_id: SYS.3.1.A9.1 + description: "Aus \xF6ffentlich zug\xE4nglichen Netzen DARF NUR \xFCber einen\ + \ sicheren Kommunikationskanal auf das interne Netz der Institution zugegriffen\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1 + ref_id: SYS.3.1.A10 + name: "Abgleich der Datenbest\xE4nde von Laptops" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a10 + ref_id: SYS.3.1.A10.1 + description: "Es SOLLTE geregelt werden, wie Daten von Laptops in den Informationsverbund\ + \ der Institution \xFCbernommen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a10 + ref_id: SYS.3.1.A10.2 + description: "Wenn ein Synchronisationstool benutzt wird, SOLLTE sichergestellt\ + \ sein, dass Synchronisationskonflikte aufgel\xF6st werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a10 + ref_id: SYS.3.1.A10.3 + description: Der Synchronisationsvorgang SOLLTE protokolliert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a10 + ref_id: SYS.3.1.A10.4 + description: "Au\xDFerdem SOLLTEN die Benutzenden angewiesen werden, die Synchronisationsprotokolle\ + \ zu pr\xFCfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1 + ref_id: SYS.3.1.A11 + name: Sicherstellung der Energieversorgung von Laptops + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a11 + ref_id: SYS.3.1.A11.1 + description: "Alle Benutzenden SOLLTEN dar\xFCber informiert werden, wie sie\ + \ die Energieversorgung von Laptops im mobilen Einsatz optimal sicherstellen\ + \ k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a11 + ref_id: SYS.3.1.A11.2 + description: "Vorhandene Ersatzakkus SOLLTEN in geeigneten H\xFCllen gelagert\ + \ und transportiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1 + ref_id: SYS.3.1.A12 + name: "Verlustmeldung f\xFCr Laptops" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a12 + ref_id: SYS.3.1.A12.1 + description: Benutzende SOLLTEN umgehend melden, wenn ein Laptop verloren gegangen + ist oder gestohlen wurde. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a12 + ref_id: SYS.3.1.A12.2 + description: "Daf\xFCr SOLLTE es in der Institution klare Meldewege geben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a12 + ref_id: SYS.3.1.A12.3 + description: Wenn verlorene Laptops wieder auftauchen, SOLLTE untersucht werden, + ob sie eventuell manipuliert wurden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a12 + ref_id: SYS.3.1.A12.4 + description: Die darauf eingesetzte Software inklusive des Betriebssystems SOLLTE + komplett neu installiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1 + ref_id: SYS.3.1.A13 + name: "Verschl\xFCsselung von Laptops" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a13 + ref_id: SYS.3.1.A13.1 + description: "In Laptops verbaute Datentr\xE4ger wie Festplatten oder SSDs SOLLTEN\ + \ verschl\xFCsselt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1 + ref_id: SYS.3.1.A14 + name: Geeignete Aufbewahrung von Laptops + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a14 + ref_id: SYS.3.1.A14.1 + description: "Alle Benutzenden SOLLTEN darauf hingewiesen werden, wie Laptops\ + \ au\xDFerhalb der Institution sicher aufzubewahren sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a14 + ref_id: SYS.3.1.A14.2 + description: "Abh\xE4ngig vom Schutzbedarf der darauf gespeicherten Daten SOLLTEN\ + \ Laptops auch in den R\xE4umen der Institution au\xDFerhalb der Nutzungszeiten\ + \ gegen Diebstahl gesichert bzw. verschlossen aufbewahrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1 + ref_id: SYS.3.1.A15 + name: Geeignete Auswahl von Laptops + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a15 + ref_id: SYS.3.1.A15.1 + description: "Bevor Laptops beschafft werden, SOLLTE eine Anforderungsanalyse\ + \ durchgef\xFChrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a15 + ref_id: SYS.3.1.A15.2 + description: "Anhand der Ergebnisse SOLLTEN alle infrage kommenden Ger\xE4te\ + \ bewertet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a15.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a15 + ref_id: SYS.3.1.A15.3 + description: Die Beschaffungsentscheidung SOLLTE mit dem IT-Betrieb abgestimmt + sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1 + ref_id: SYS.3.1.A16 + name: Zentrale Administration und Verwaltung von Laptops + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a16 + ref_id: SYS.3.1.A16.1 + description: Es SOLLTE eine geeignete Regelung definiert werden, wie Laptops + zentral zu administrieren und verwalten sind. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a16 + ref_id: SYS.3.1.A16.2 + description: "Ein Tool zum zentralen Laptop-Management SOLLTE m\xF6glichst alle\ + \ eingesetzten Betriebssysteme unterst\xFCtzen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1 + ref_id: SYS.3.1.A17 + name: Sammelaufbewahrung von Laptops + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a17 + ref_id: SYS.3.1.A17.1 + description: Nicht benutzte Laptops SOLLTEN in einem geeignet abgesicherten + Raum vorgehalten werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a17 + ref_id: SYS.3.1.A17.2 + description: "Der daf\xFCr genutzte Raum SOLLTE den Anforderungen aus dem Baustein\ + \ INF.5 Raum sowie Schrank f\xFCr technische Infrastruktur entsprechen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1 + ref_id: SYS.3.1.A18 + name: Einsatz von Diebstahl-Sicherungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a18 + ref_id: SYS.3.1.A18.1 + description: "Es SOLLTE geregelt werden, welche Diebstahlsicherungen f\xFCr\ + \ Laptops eingesetzt werden sollen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.1.a18 + ref_id: SYS.3.1.A18.2 + description: Bei mechanischen Sicherungen SOLLTE besonders auf ein gutes Schloss + geachtet werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys + ref_id: SYS.3.2.1 + name: Allgemeine Smartphones und Tablets + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 + ref_id: SYS.3.2.1.A1 + name: "Festlegung einer Richtlinie f\xFCr den Einsatz von Smartphones und Tablets" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a1 + ref_id: SYS.3.2.1.A1.1 + description: "Bevor eine Institution Smartphones oder Tablets bereitstellt,\ + \ betreibt oder einsetzt, MUSS eine generelle Richtlinie f\xFCr die Nutzung\ + \ und Kontrolle der Ger\xE4te festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a1 + ref_id: SYS.3.2.1.A1.2 + description: Hierbei MUSS unter anderem festgelegt werden, wer mit Smartphones + auf welche Informationen der Institution zugreifen darf. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 + ref_id: SYS.3.2.1.A2 + name: "Festlegung einer Strategie f\xFCr die Cloud-Nutzung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a2 + ref_id: SYS.3.2.1.A2.1 + description: "Die Institution MUSS im Zusammenhang mit Smartphones und Tablets\ + \ eine generelle Strategie f\xFCr die Cloud-Nutzung sowie f\xFCr den Schutz\ + \ und die Kontrolle der Informationen festlegen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a2 + ref_id: SYS.3.2.1.A2.2 + description: "Die erlaubte Nutzung von Cloud-Diensten f\xFCr Informationen der\ + \ Institution MUSS gekl\xE4rt und festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a2 + ref_id: SYS.3.2.1.A2.3 + description: "Es MUSS festgelegt werden, ob und in welchem Umfang Cloud-Dienste\ + \ bei privater Nutzung der Ger\xE4te erlaubt sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a2 + ref_id: SYS.3.2.1.A2.4 + description: "Die Benutzenden M\xDCSSEN regelm\xE4\xDFig bez\xFCglich der Nutzung\ + \ solcher Cloud-Dienste sensibilisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 + ref_id: SYS.3.2.1.A3 + name: "Sichere Grundkonfiguration f\xFCr mobile Ger\xE4te" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a3 + ref_id: SYS.3.2.1.A3.1 + description: "Alle mobilen Endger\xE4te M\xDCSSEN so konfiguriert sein, dass\ + \ sie das erforderliche Schutzniveau angemessen erf\xFCllen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a3 + ref_id: SYS.3.2.1.A3.2 + description: "Daf\xFCr MUSS eine passende Grundkonfiguration der Sicherheitsmechanismen\ + \ und -einstellungen zusammengestellt und dokumentiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a3 + ref_id: SYS.3.2.1.A3.3 + description: "Nicht ben\xF6tigte Funktionen SOLLTEN deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a3 + ref_id: SYS.3.2.1.A3.4 + description: "Die Freischaltung von Kommunikationsschnittstellen MUSS geregelt\ + \ und auf das dienstlich notwendige Ma\xDF reduziert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a3.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a3 + ref_id: SYS.3.2.1.A3.5 + description: Nicht benutzte Schnittstellen SOLLTEN deaktiviert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 + ref_id: SYS.3.2.1.A4 + name: Verwendung eines Zugriffsschutzes + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4 + ref_id: SYS.3.2.1.A4.1 + description: "Smartphones und Tablets M\xDCSSEN mit einem angemessen komplexen\ + \ Ger\xE4tesperrcode gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4 + ref_id: SYS.3.2.1.A4.2 + description: Die Bildschirmsperre MUSS genutzt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4 + ref_id: SYS.3.2.1.A4.3 + description: Die Anzeige von vertraulichen Informationen auf dem Sperrbildschirm + MUSS deaktiviert sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4 + ref_id: SYS.3.2.1.A4.4 + description: "Alle mobilen Ger\xE4te M\xDCSSEN nach einer angemessen kurzen\ + \ Zeitspanne selbstt\xE4tig die Bildschirmsperre aktivieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4 + ref_id: SYS.3.2.1.A4.5 + description: "Diese Zeitspanne MUSS in Abh\xE4ngigkeit zum angestrebten Schutzniveau\ + \ stehen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4 + ref_id: SYS.3.2.1.A4.6 + description: "Bei jedem fehlgeschlagenen Versuch, das Ger\xE4t zu entsperren,\ + \ SOLLTE sich die Wartezeit zu einem neuen Versuch verl\xE4ngern." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4 + ref_id: SYS.3.2.1.A4.7 + description: "Die Anzahl der Ger\xE4tesperrcodes, nach der sich ein Code wiederholen\ + \ darf, SOLLTE festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4 + ref_id: SYS.3.2.1.A4.8 + description: "Nach mehreren fehlgeschlagenen Versuchen, den Bildschirm zu entsperren,\ + \ SOLLTE sich das mobile Ger\xE4t in den Werkszustand zur\xFCcksetzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4 + ref_id: SYS.3.2.1.A4.9 + description: "Es SOLLTEN dabei die Daten oder die Verschl\xFCsselungsschl\xFC\ + ssel sicher vernichtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a4 + ref_id: SYS.3.2.1.A4.10 + description: Es SOLLTE vermieden werden, dass die Benutzenden bei einem Passwortwechsel + Kennworte nutzen, die erst vor Kurzem verwendet wurden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 + ref_id: SYS.3.2.1.A5 + name: Updates von Betriebssystem und Apps + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a5 + ref_id: SYS.3.2.1.A5.1 + description: "Bereits bei der Auswahl von zu beschaffenden mobilen Ger\xE4ten\ + \ MUSS die Institution darauf achten, dass die herstellende Institution angibt,\ + \ \xFCber welchen geplanten Nutzungszeitraum Sicherheitsaktualisierungen f\xFC\ + r die Ger\xE4te bereitgestellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a5 + ref_id: SYS.3.2.1.A5.2 + description: "\xC4ltere Ger\xE4te, f\xFCr die keine Aktualisierungen mehr bereitgestellt\ + \ werden, M\xDCSSEN ausgesondert und durch von der herstellenden Institution\ + \ unterst\xFCtzte Ger\xE4te ersetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a5 + ref_id: SYS.3.2.1.A5.3 + description: "Apps SOLLTEN ebenfalls NICHT mehr eingesetzt werden, wenn sie\ + \ nicht mehr durch die herstellende Institution unterst\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 + ref_id: SYS.3.2.1.A6 + name: Datenschutzeinstellungen und Berechtigungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a6 + ref_id: SYS.3.2.1.A6.1 + description: "Der Zugriff von Apps und Betriebssystem auf Daten und Schnittstellen\ + \ MUSS angemessen eingeschr\xE4nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a6 + ref_id: SYS.3.2.1.A6.2 + description: "Die Datenschutzeinstellungen M\xDCSSEN so restriktiv wie m\xF6\ + glich konfiguriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a6 + ref_id: SYS.3.2.1.A6.3 + description: "Insbesondere der Zugriff auf Kamera, Mikrofon sowie Ortungs- und\ + \ Gesundheits- bzw. Fitnessdaten MUSS auf Konformit\xE4t mit den organisationsinternen\ + \ Datenschutz- und Sicherheitsvorgaben \xFCberpr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a6 + ref_id: SYS.3.2.1.A6.4 + description: Der Zugriff MUSS restriktiv konfiguriert bzw. deaktiviert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a6.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a6 + ref_id: SYS.3.2.1.A6.5 + description: "Sicherheitsrelevante Berechtigungseinstellungen M\xDCSSEN so festgelegt\ + \ werden, dass sie nicht durch Benutzende oder Apps ge\xE4ndert werden k\xF6\ + nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a6.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a6 + ref_id: SYS.3.2.1.A6.6 + description: "Wo dies technisch nicht m\xF6glich ist, M\xDCSSEN die Berechtigungseinstellungen\ + \ regelm\xE4\xDFig gepr\xFCft und erneut gesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a6.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a6 + ref_id: SYS.3.2.1.A6.7 + description: Dies gilt insbesondere auch nach der Installation von Updates. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 + ref_id: SYS.3.2.1.A7 + name: "Verhaltensregeln bei Sicherheitsvorf\xE4llen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a7 + ref_id: SYS.3.2.1.A7.1 + description: "Gehen Ger\xE4te verloren oder werden unberechtigte \xC4nderungen\ + \ an Ger\xE4t und Software festgestellt, M\xDCSSEN die Benutzenden sofort\ + \ die Zust\xE4ndigen informieren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 + ref_id: SYS.3.2.1.A8 + name: Installation von Apps + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a8 + ref_id: SYS.3.2.1.A8.1 + description: "Die Institution MUSS regeln, ob, wie und welche Apps Benutzende\ + \ selbst auf ihren Ger\xE4ten installieren d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a8 + ref_id: SYS.3.2.1.A8.2 + description: "Sie SOLLTEN nur freigegebene Apps installieren d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a8 + ref_id: SYS.3.2.1.A8.3 + description: "Die Institution MUSS festlegen, aus welchen Quellen Apps installiert\ + \ werden d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a8 + ref_id: SYS.3.2.1.A8.4 + description: Es MUSS unterbunden werden, dass sich Apps aus nicht zugelassenen + Quellen installieren lassen. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 + ref_id: SYS.3.2.1.A9 + name: Restriktive Nutzung von funktionalen Erweiterungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a9 + ref_id: SYS.3.2.1.A9.1 + description: Funktionale Erweiterungen SOLLTEN nur restriktiv genutzt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a9 + ref_id: SYS.3.2.1.A9.2 + description: "Wenn m\xF6glich, SOLLTE auf funktionale Erweiterungen verzichtet\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a9 + ref_id: SYS.3.2.1.A9.3 + description: "Die funktionalen Erweiterungen SOLLTEN keinen automatischen Zugriff\ + \ auf sch\xFCtzenswerte Informationen haben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a9.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a9 + ref_id: SYS.3.2.1.A9.4 + description: "Sie SOLLTEN die festgelegte Grundkonfiguration nicht umgehen oder\ + \ \xE4ndern k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 + ref_id: SYS.3.2.1.A10 + name: "Richtlinie f\xFCr Mitarbeitende zur Benutzung von mobilen Ger\xE4ten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a10 + ref_id: SYS.3.2.1.A10.1 + description: "Eine verbindliche Richtlinie f\xFCr Mitarbeitende zur Benutzung\ + \ von mobilen Ger\xE4ten SOLLTE erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a10 + ref_id: SYS.3.2.1.A10.2 + description: "Diese SOLLTE festlegen, wie mobile Ger\xE4te genutzt und gepflegt\ + \ werden sollen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a10 + ref_id: SYS.3.2.1.A10.3 + description: Die Themen Aufbewahrung und Verlustmeldung SOLLTEN darin behandelt + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a10 + ref_id: SYS.3.2.1.A10.4 + description: "Au\xDFerdem SOLLTE verboten werden, Verwaltungssoftware zu deinstallieren,\ + \ das Ger\xE4t zu rooten oder sicherheitsrelevante Konfigurationen zu \xE4\ + ndern." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 + ref_id: SYS.3.2.1.A11 + name: "Verschl\xFCsselung des Speichers" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a11 + ref_id: SYS.3.2.1.A11.1 + description: "Der nichtfl\xFCchtige Speicher des mobilen Ger\xE4ts SOLLTE verschl\xFC\ + sselt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a11 + ref_id: SYS.3.2.1.A11.2 + description: "Sch\xFCtzenswerte Daten auf zus\xE4tzlich verwendeten Speichermedien,\ + \ wie SD-Karten, SOLLTEN verschl\xFCsselt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 + ref_id: SYS.3.2.1.A12 + name: "Verwendung nicht personalisierter Ger\xE4tenamen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a12 + ref_id: SYS.3.2.1.A12.1 + description: "Der Ger\xE4tename SOLLTE keine Hinweise auf die Institution oder\ + \ die Benutzenden enthalten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 + ref_id: SYS.3.2.1.A13 + name: Regelungen zum Screensharing und Casting + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a13 + ref_id: SYS.3.2.1.A13.1 + description: "Es SOLLTE entschieden werden, ob und wie Funktionen zur \xDCbertragung\ + \ von Bildschirminhalten, Audio oder Video (Screensharing oder Casting) eingesetzt\ + \ werden sollen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a13 + ref_id: SYS.3.2.1.A13.2 + description: Die Funktionen SOLLTEN organisatorisch oder technisch geregelt + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a13 + ref_id: SYS.3.2.1.A13.3 + description: Hierzu SOLLTE eine entsprechende Vereinbarung mit den Benutzenden + getroffen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 + ref_id: SYS.3.2.1.A16 + name: Deaktivierung nicht benutzter Kommunikationsschnittstellen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a16 + ref_id: SYS.3.2.1.A16.1 + description: Kommunikationsschnittstellen SOLLTEN nur bei Bedarf und nur in + geeigneten Umgebungen aktiviert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a16 + ref_id: SYS.3.2.1.A16.2 + description: "Wird ein MDM verwendet, SOLLTEN die Schnittstellen zentral \xFC\ + ber das MDM verwaltet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 + ref_id: SYS.3.2.1.A18 + name: Verwendung biometrischer Authentisierung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a18 + ref_id: SYS.3.2.1.A18.1 + description: "Wenn biometrische Verfahren zur Authentisierung (z. B. ein Fingerabdrucksensor)\ + \ genutzt werden sollen, SOLLTE gepr\xFCft werden, ob dadurch ein \xE4hnlich\ + \ hoher oder h\xF6herer Schutz im Vergleich zu einem Ger\xE4tepasswort erzielt\ + \ werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a18 + ref_id: SYS.3.2.1.A18.2 + description: Im Zweifelsfall oder bei einem schlechteren Schutz SOLLTEN biometrische + Verfahren NICHT genutzt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a18 + ref_id: SYS.3.2.1.A18.3 + description: "Die Benutzenden SOLLTEN f\xFCr die F\xE4lschbarkeit von biometrischen\ + \ Merkmalen sensibilisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 + ref_id: SYS.3.2.1.A19 + name: Verwendung von Sprachassistenten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a19 + ref_id: SYS.3.2.1.A19.1 + description: Sprachassistenten SOLLTEN nur eingesetzt werden, wenn sie zwingend + notwendig sind. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a19 + ref_id: SYS.3.2.1.A19.2 + description: Andernfalls SOLLTEN sie deaktiviert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a19.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a19 + ref_id: SYS.3.2.1.A19.3 + description: "Generell SOLLTE ein Sprachassistent nicht genutzt werden k\xF6\ + nnen, wenn das Ger\xE4t gesperrt ist." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 + ref_id: SYS.3.2.1.A22 + name: "Einbindung mobiler Ger\xE4te in die interne Infrastruktur via VPN" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a22 + ref_id: SYS.3.2.1.A22.1 + description: "Mobile Endger\xE4te SOLLTEN nur mittels eines VPN in die Infrastruktur\ + \ der Institution integriert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a22.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a22 + ref_id: SYS.3.2.1.A22.2 + description: "Hierzu SOLLTE ein geeignetes Verfahren ausgew\xE4hlt und eingesetzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a22.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a22 + ref_id: SYS.3.2.1.A22.3 + description: "Statt durch Passw\xF6rter SOLLTEN sich die Ger\xE4te \xFCber Zertifikate\ + \ gegen\xFCber der internen Infrastruktur authentisieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a25 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 + ref_id: SYS.3.2.1.A25 + name: Nutzung von getrennten Arbeitsumgebungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a25.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a25 + ref_id: SYS.3.2.1.A25.1 + description: "Ist es den Mitarbeitenden erlaubt, dienstliche Ger\xE4te auch\ + \ privat zu nutzen, SOLLTEN L\xF6sungen f\xFCr getrennte Arbeitsumgebungen\ + \ auf dem Endger\xE4t eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a25.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a25 + ref_id: SYS.3.2.1.A25.2 + description: "Wenn m\xF6glich, SOLLTEN daf\xFCr nur zertifizierte Produkte (z.\ + \ B. nach Common Criteria) beschafft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a25.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a25 + ref_id: SYS.3.2.1.A25.3 + description: "Dienstliche Daten SOLLTEN ausschlie\xDFlich in der dienstlichen\ + \ Umgebung verbleiben." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a26 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 + ref_id: SYS.3.2.1.A26 + name: Nutzung von PIM-Containern + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a26.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a26 + ref_id: SYS.3.2.1.A26.1 + description: "Informationen auf den mobilen Endger\xE4ten SOLLTEN gekapselt\ + \ werden, zum Beispiel in einem PIM-Container." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a26.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a26 + ref_id: SYS.3.2.1.A26.2 + description: "Zus\xE4tzlich SOLLTEN die Daten durch eine separate Authentisierung\ + \ und eine vom Betriebssystem unabh\xE4ngige Daten- und Transportverschl\xFC\ + sselung abgesichert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a27 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 + ref_id: SYS.3.2.1.A27 + name: "Einsatz besonders abgesicherter Endger\xE4te" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a27.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a27 + ref_id: SYS.3.2.1.A27.1 + description: "Institutionen SOLLTEN abh\xE4ngig vom Schutzbedarf besonders abgesicherte\ + \ mobile Endger\xE4te einsetzen, die f\xFCr die Verarbeitung von Informationen\ + \ nach gesetzlichen Informationsschutz-Klassifizierungen zertifiziert sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a28 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 + ref_id: SYS.3.2.1.A28 + name: "Verwendung der Filteroption f\xFCr Webseiten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a28.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a28 + ref_id: SYS.3.2.1.A28.1 + description: "Wird in der Institution bereits ein Reputationsdienst oder ein\ + \ entsprechender Proxy-Server verwendet, SOLLTE dieser als globaler HTTP-Proxy\ + \ f\xFCr alle installierten Browser hinterlegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a28.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a28 + ref_id: SYS.3.2.1.A28.2 + description: "Ist der Proxy nur im internen Netz erreichbar, SOLLTEN die Endger\xE4\ + te \xFCber eine VPN-Verbindung wahlweise permanent oder basierend auf den\ + \ verwendeten Apps geeignet eingebunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a28.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a28 + ref_id: SYS.3.2.1.A28.3 + description: "Sind die mobilen Endger\xE4te nicht in eine vorhandene Proxy-\ + \ oder Reputations-Infrastruktur der Institution eingebunden, SOLLTEN f\xFC\ + r Webbrowser Filteroptionen auf Basis von Allowlists oder Blocklists oder\ + \ Inhaltsfilter Dritter verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a29 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 + ref_id: SYS.3.2.1.A29 + name: Verwendung eines institutionsbezogenen APN + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a29.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a29 + ref_id: SYS.3.2.1.A29.1 + description: "Es SOLLTE gepr\xFCft werden, ob ein institutionsbezogener Zugangspunkt\ + \ zum Mobilfunknetz (APN, Access Point Name) zur Eingrenzung des erlaubten\ + \ Ger\xE4te-Pools verwendet werden kann." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a29.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a29 + ref_id: SYS.3.2.1.A29.2 + description: "Alle Ger\xE4te, die diesen APN verwenden, SOLLTEN vom Mobilfunk-Provider\ + \ einen mit der Institution abgestimmten IP-Adressbereich erhalten." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a29.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a29 + ref_id: SYS.3.2.1.A29.3 + description: "F\xFCr die Authentisierung SOLLTE ein komplexes Passwort mit maximal\ + \ 64 Stellen mit dem Mobilfunk-Provider vereinbart werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a29.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a29 + ref_id: SYS.3.2.1.A29.4 + description: Beim Einsatz eines institutionsbezogenen APN SOLLTE die Authentisierung + auf Basis des Protokolls CHAP realisiert werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a30 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 + ref_id: SYS.3.2.1.A30 + name: "Einschr\xE4nkung der App-Installation mittels Allowlist" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a30.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a30 + ref_id: SYS.3.2.1.A30.1 + description: "Bei erh\xF6htem Schutzbedarf SOLLTEN auf den mobilen Endger\xE4\ + ten nur freigegebene und gepr\xFCfte Apps installiert werden d\xFCrfen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a30.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a30 + ref_id: SYS.3.2.1.A30.2 + description: Wird ein MDM eingesetzt, SOLLTE es verhindern, dass andere Apps + installiert werden oder alternativ unbefugt installierte Apps sofort wieder + entfernen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a31 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 + ref_id: SYS.3.2.1.A31 + name: Regelung zu Mobile Payment + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a31.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a31 + ref_id: SYS.3.2.1.A31.1 + description: Es SOLLTE geregelt werden, ob Mobile Payment mit dienstlichen Smartphones + und Tablets erlaubt wird. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a32 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 + ref_id: SYS.3.2.1.A32 + name: MDM Nutzung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a32.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a32 + ref_id: SYS.3.2.1.A32.1 + description: Smartphones und Tablets SOLLTEN durch ein MDM-System verwaltet + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a33 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 + ref_id: SYS.3.2.1.A33 + name: Auswahl und Installation von Sicherheits-Apps + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a33.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a33 + ref_id: SYS.3.2.1.A33.1 + description: "Alle mobilen Endger\xE4te SOLLTEN vor Schadprogrammen gesch\xFC\ + tzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a33.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a33 + ref_id: SYS.3.2.1.A33.2 + description: "Falls m\xF6glich, SOLLTEN f\xFCr das Endger\xE4t geeignete Sicherheits-Apps\ + \ ausgew\xE4hlt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a33.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a33 + ref_id: SYS.3.2.1.A33.3 + description: Die Sicherheits-Apps SOLLTEN automatisch, zum Beispiel durch ein + MDM, installiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a34 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 + ref_id: SYS.3.2.1.A34 + name: Konfiguration des verwendeten DNS-Servers + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a34.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a34 + ref_id: SYS.3.2.1.A34.1 + description: "Standard-Gateway-Eintr\xE4ge, wie beispielsweise DNS-Server der\ + \ herstellenden oder entwickelnden Institutionen, SOLLTEN durch die des Providers\ + \ oder durch eigene ersetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a34.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a34 + ref_id: SYS.3.2.1.A34.2 + description: Sollte der Provider sogenanntes DNS-over-HTTPS (DoH) anbieten, + SOLLTE dieses verwendet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a34.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a34 + ref_id: SYS.3.2.1.A34.3 + description: Bietet er es noch nicht an, SOLLTE es deaktiviert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a35 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1 + ref_id: SYS.3.2.1.A35 + name: Verwendung einer Firewall + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a35.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.1.a35 + ref_id: SYS.3.2.1.A35.1 + description: Auf Smartphones und Tablets SOLLTE eine Firewall installiert und + aktiviert sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys + ref_id: SYS.3.2.2 + name: Mobile Device Management (MDM) + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2 + ref_id: SYS.3.2.2.A1 + name: "Festlegung einer Strategie f\xFCr das Mobile Device Management" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.1 + description: "Es MUSS eine Strategie erarbeitet werden, die festlegt, wie Mitarbeitende\ + \ mobile Endger\xE4te benutzen d\xFCrfen und wie die Ger\xE4te in die IT-Strukturen\ + \ der Institution integriert sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.2 + description: Grundlage MUSS dabei der Schutzbedarf der zu verarbeitenden Informationen + sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.3 + description: 'Die Strategie MUSS mindestens folgende Aspekte abdecken:' + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.4 + description: "\u2022 Darf das MDM als Cloud-Dienst betrieben werden?" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.5 + description: "\u2022 Soll das MDM durch die Institution selbst betrieben werden?" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.6 + description: "\u2022 Soll das MDM alle Apps bereitstellen oder d\xFCrfen die\ + \ Benutzenden selber Apps installieren?" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.7 + description: Welche Restriktionen gibt die Institution bei bereitgestellten + oder selbst installierten Apps vor? + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.8 + description: "\u2022 Soll das MDM in eine weitere Infrastruktur eingebunden\ + \ werden?" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.9 + description: "\u2022 Welche Anforderungen bez\xFCglich Supportleistungen und\ + \ Reaktionszeiten sind an die anbietende Institution des MDM zu stellen?" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.10 + description: "\u2022 Welche Compliance-Anforderungen m\xFCssen durchgesetzt\ + \ werden?" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.11 + description: "\u2022 Welche mobilen Ger\xE4te und welche Betriebssysteme muss\ + \ das MDM unterst\xFCtzen?" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.12 + description: "\u2022 Muss die MDM-L\xF6sung mandantenf\xE4hig sein?" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.13 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.13 + description: "Gew\xE4hrleistet sie die notwendige Mandantentrennung?" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.14 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.14 + description: "\u2022 M\xFCssen Cloud-Dienste eingebunden werden?" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.15 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.15 + description: "\u2022 M\xFCssen Dokumentenmanagementsysteme eingebunden werden?" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.16 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.16 + description: "\u2022 Muss das MDM auch Peripherieger\xE4te einbinden und verwalten?" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.17 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.17 + description: "\u2022 Welches Betriebsmodell soll eingesetzt werden: private\ + \ Endger\xE4te (Bring Your Own Device, BYOD), personalisierte Endger\xE4te\ + \ (Eigentum der Institution) oder nicht personalisierte Endger\xE4te (Eigentum\ + \ der Institution, gemeinsam genutzt)?" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1.18 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a1 + ref_id: SYS.3.2.2.A1.18 + description: Die Strategie MUSS schriftlich fixiert und von dem oder der ISB + freigegeben werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2 + ref_id: SYS.3.2.2.A2 + name: "Festlegung erlaubter mobiler Endger\xE4te" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a2 + ref_id: SYS.3.2.2.A2.1 + description: "Es MUSS festgelegt werden, welche mobilen Endger\xE4te und Betriebssysteme\ + \ in der Institution zugelassen sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a2 + ref_id: SYS.3.2.2.A2.2 + description: "Alle erlaubten Ger\xE4te und Betriebssysteme M\xDCSSEN den Anforderungen\ + \ der MDM-Strategie gen\xFCgen und die technischen Sicherheitsanforderungen\ + \ der Institution vollst\xE4ndig erf\xFCllen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a2 + ref_id: SYS.3.2.2.A2.3 + description: "Das MDM MUSS so konfiguriert werden, dass nur mit freigegebenen\ + \ Ger\xE4ten auf Informationen der Institution zugegriffen werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a2 + ref_id: SYS.3.2.2.A2.4 + description: "Es D\xDCRFEN nur von der Institution zugelassene mobile Endger\xE4\ + te beschafft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2 + ref_id: SYS.3.2.2.A3 + name: Auswahl eines MDM-Produkts + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a3 + ref_id: SYS.3.2.2.A3.1 + description: "Wenn eine geeignete MDM-Software beschafft werden soll, MUSS sichergestellt\ + \ sein, dass sich mit ihr alle in der MDM-Strategie festgelegten Anforderungen\ + \ erf\xFCllen lassen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a3 + ref_id: SYS.3.2.2.A3.2 + description: "Auch MUSS sie s\xE4mtliche technischen und organisatorischen Sicherheitsma\xDF\ + nahmen umsetzen k\xF6nnen und alle zugelassenen mobilen Endger\xE4te unterst\xFC\ + tzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2 + ref_id: SYS.3.2.2.A4 + name: "Verteilung der Grundkonfiguration auf mobile Endger\xE4te" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a4 + ref_id: SYS.3.2.2.A4.1 + description: "Alle mobilen Endger\xE4te M\xDCSSEN, bevor sie eingesetzt werden,\ + \ in das MDM integriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a4 + ref_id: SYS.3.2.2.A4.2 + description: "Wenn die Ger\xE4te die Grundkonfiguration erhalten, M\xDCSSEN\ + \ sie sich im Werkszustand befinden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a4 + ref_id: SYS.3.2.2.A4.3 + description: "Die Verbindung der mobilen Endger\xE4te zum MDM MUSS angemessen\ + \ abgesichert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a4 + ref_id: SYS.3.2.2.A4.4 + description: "Bei bereits benutzten Ger\xE4ten M\xDCSSEN vorher alle institutionsbezogenen\ + \ Daten gel\xF6scht werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a4 + ref_id: SYS.3.2.2.A4.5 + description: "Ein nicht \xFCber MDM konfiguriertes Endger\xE4t DARF NICHT auf\ + \ Informationen der Institution zugreifen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2 + ref_id: SYS.3.2.2.A5 + name: Installation des MDM-Clients + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a5 + ref_id: SYS.3.2.2.A5.1 + description: "Wenn mobile Endger\xE4te an Mitarbeitende \xFCbergeben werden,\ + \ MUSS, wenn vom Betriebssystem nicht bereits bereitgestellt, darauf der MDM-Client\ + \ installiert und konfiguriert sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2 + ref_id: SYS.3.2.2.A6 + name: "Protokollierung des Ger\xE4testatus" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a6 + ref_id: SYS.3.2.2.A6.1 + description: "Der Lebenszyklus einschlie\xDFlich der Konfigurationshistorie\ + \ eines mobilen Endger\xE4tes SOLLTE ausreichend protokolliert und zentral\ + \ abrufbar sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a6 + ref_id: SYS.3.2.2.A6.2 + description: "Bei Bedarf SOLLTE der aktuelle Status der verwalteten Endger\xE4\ + te durch den IT-Betrieb ermittelt werden k\xF6nnen (Device Audit)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2 + ref_id: SYS.3.2.2.A7 + name: Installation von Apps + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a7 + ref_id: SYS.3.2.2.A7.1 + description: "Apps SOLLTEN gem\xE4\xDF den Anforderungen des geplanten Einsatzszenarios\ + \ \xFCber das MDM installiert, deinstalliert und aktualisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a7 + ref_id: SYS.3.2.2.A7.2 + description: "Das MDM SOLLTE die Installation, Deinstallation und Aktualisierung\ + \ erzwingen, sobald eine Verbindung zum mobilen Endger\xE4t besteht." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a7 + ref_id: SYS.3.2.2.A7.3 + description: "\xDCber das MDM installierte Apps SOLLTEN NICHT durch Benutzende\ + \ deinstalliert werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a7 + ref_id: SYS.3.2.2.A7.4 + description: "Das MDM SOLLTE eine Block- oder Allow-List f\xFCr die Installation\ + \ von Apps erm\xF6glichen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2 + ref_id: SYS.3.2.2.A12 + name: Absicherung der MDM-Betriebsumgebung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a12 + ref_id: SYS.3.2.2.A12.1 + description: "Das MDM selbst SOLLTE durch technische Ma\xDFnahmen abgesichert\ + \ werden, um dem Schutzbedarf der hinterlegten oder verarbeiteten Informationen\ + \ zu gen\xFCgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a12 + ref_id: SYS.3.2.2.A12.2 + description: "Das zugrundeliegende Betriebssystem SOLLTE geh\xE4rtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2 + ref_id: SYS.3.2.2.A14 + name: "Benutzung externer Reputation-Services f\xFCr Apps" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a14 + ref_id: SYS.3.2.2.A14.1 + description: "Wenn die Administrierenden einer Institution die erlaubten Apps\ + \ nicht selbst ausw\xE4hlen k\xF6nnen und die Benutzenden selbstst\xE4ndig\ + \ Apps auf ihren Ger\xE4ten installieren d\xFCrfen, SOLLTE ein sogenannter\ + \ Reputation-Service eingesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a14 + ref_id: SYS.3.2.2.A14.2 + description: "Das MDM SOLLTE dann mithilfe dieser Informationen aus dem Reputation-Service\ + \ die Installation von Apps zumindest einschr\xE4nken." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2 + ref_id: SYS.3.2.2.A17 + name: "Kontrolle der Nutzung von mobilen Endger\xE4ten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a17 + ref_id: SYS.3.2.2.A17.1 + description: "Es SOLLTEN angemessene Kriterien definiert werden, aufgrund derer\ + \ die Ger\xE4te zu \xFCberwachen sind, ohne gegen gesetzliche oder interne\ + \ Regelungen zu versto\xDFen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a17 + ref_id: SYS.3.2.2.A17.2 + description: Insbesondere SOLLTEN sogenannte Jailbreaks oder sogenanntes Routen + erkannt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2 + ref_id: SYS.3.2.2.A19 + name: Einsatz von Geofencing + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a19 + ref_id: SYS.3.2.2.A19.1 + description: "Durch die Hinterlegung einer Geofencing-Richtlinie SOLLTE sichergestellt\ + \ werden, dass Ger\xE4te mit schutzbed\xFCrftigen Informationen nicht au\xDF\ + erhalb eines zuvor festgelegten geografischen Bereichs verwendet werden k\xF6\ + nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a19 + ref_id: SYS.3.2.2.A19.2 + description: "Wird der geografische Bereich verlassen, SOLLTEN entsprechend\ + \ klassifizierte Informationen oder das Ger\xE4t vollst\xE4ndig gel\xF6scht\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a19.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a19 + ref_id: SYS.3.2.2.A19.3 + description: "Bevor das Ger\xE4t selektiv oder vollst\xE4ndig gel\xF6scht wird,\ + \ SOLLTEN die zust\xE4ndigen Administrierenden und das Sicherheitsmanagement\ + \ sowie die Benutzenden informiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a19.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a19 + ref_id: SYS.3.2.2.A19.4 + description: "Erst mit einer angemessenen zeitlichen Verz\xF6gerung SOLLTE das\ + \ Ger\xE4t selektiv oder vollst\xE4ndig gel\xF6scht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a19.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a19 + ref_id: SYS.3.2.2.A19.5 + description: "Die Bereiche, an denen diese zus\xE4tzlichen Sicherheitsma\xDF\ + nahmen n\xF6tig sind, SOLLTEN identifiziert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a19.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a19 + ref_id: SYS.3.2.2.A19.6 + description: "Anschlie\xDFend SOLLTEN die Sicherheitsma\xDFnahmen unter Beachtung\ + \ gesetzlicher und interner Regelungen umgesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2 + ref_id: SYS.3.2.2.A20 + name: "Regelm\xE4\xDFige \xDCberpr\xFCfung des MDM" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a20 + ref_id: SYS.3.2.2.A20.1 + description: "Sicherheitseinstellungen M\xDCSSEN regelm\xE4\xDFig \xFCberpr\xFC\ + ft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a20.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a20 + ref_id: SYS.3.2.2.A20.2 + description: "Bei neuen Betriebssystemversionen der mobilen Endger\xE4te MUSS\ + \ vorab gepr\xFCft werden, ob das MDM diese vollst\xE4ndig unterst\xFCtzt\ + \ und die Konfigurationsprofile und Sicherheitseinstellungen weiterhin wirksam\ + \ und ausreichend sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a20.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a20 + ref_id: SYS.3.2.2.A20.3 + description: "Abweichungen M\xDCSSEN korrigiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a20.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a20 + ref_id: SYS.3.2.2.A20.4 + description: "Die zugeteilten Berechtigungen f\xFCr Benutzende und Administrierende\ + \ M\xDCSSEN regelm\xE4\xDFig daraufhin \xFCberpr\xFCft werden, ob sie weiterhin\ + \ angemessen sind (Minimalprinzip)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2 + ref_id: SYS.3.2.2.A21 + name: Verwaltung von Zertifikaten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a21 + ref_id: SYS.3.2.2.A21.1 + description: "Zertifikate zur Nutzung von Diensten auf dem mobilen Endger\xE4\ + t SOLLTEN zentral \xFCber das MDM installiert, deinstalliert und aktualisiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a21.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a21 + ref_id: SYS.3.2.2.A21.2 + description: "Die Installation von nicht vertrauensw\xFCrdigen und nicht verifizierbaren\ + \ (Root-) Zertifikaten durch Benutzende SOLLTE durch das MDM verhindert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a21.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a21 + ref_id: SYS.3.2.2.A21.3 + description: "Das MDM SOLLTE Mechanismen unterst\xFCtzen, um die G\xFCltigkeit\ + \ von Zertifikaten zu \xFCberpr\xFCfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2 + ref_id: SYS.3.2.2.A22 + name: "Fernl\xF6schung und Au\xDFerbetriebnahme von Endger\xE4ten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a22 + ref_id: SYS.3.2.2.A22.1 + description: "Das MDM SOLLTE sicherstellen, dass s\xE4mtliche dienstliche Daten\ + \ auf dem mobilen Endger\xE4t aus der Ferne gel\xF6scht werden k\xF6nnen (Remote\ + \ Wipe bei bestehender Datenverbindung)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a22.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a22 + ref_id: SYS.3.2.2.A22.2 + description: "Werden in dem mobilen Endger\xE4t externe Speicher genutzt, SOLLTE\ + \ gepr\xFCft werden, ob diese bei einem Remote Wipe ebenfalls gel\xF6scht\ + \ werden sollen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a22.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a22 + ref_id: SYS.3.2.2.A22.3 + description: "Diese Funktion SOLLTE vom MDM unterst\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a22.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a22 + ref_id: SYS.3.2.2.A22.4 + description: "Der Prozess zur Au\xDFerbetriebnahme des mobilen Endger\xE4tes\ + \ (Unenrollment) SOLLTE sicherstellen, dass keine schutzbed\xFCrftigen Daten\ + \ auf dem mobilen Endger\xE4t oder eingebundenen Speichermedien verbleiben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a22.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a22 + ref_id: SYS.3.2.2.A22.5 + description: "Dies SOLLTE insbesondere dann gelten, wenn das Unenrollment aus\ + \ der Ferne ausgef\xFChrt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2 + ref_id: SYS.3.2.2.A23 + name: Durchsetzung von Compliance-Anforderungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23 + ref_id: SYS.3.2.2.A23.1 + description: "Verst\xF6\xDFe gegen die Regelungen der Institution oder sogar\ + \ eine Manipulation des Betriebssystems SOLLTEN mit einer geeigneten L\xF6\ + sung erkannt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23 + ref_id: SYS.3.2.2.A23.2 + description: "Die folgenden Aktionen SOLLTEN bei Verdacht auf Versto\xDF gegen\ + \ Regelungen oder Manipulation des Betriebssystems ausgef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23 + ref_id: SYS.3.2.2.A23.3 + description: 'Hierzu SOLLTEN entsprechende Funktionen bereitgestellt werden:' + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23 + ref_id: SYS.3.2.2.A23.4 + description: "1. selbstst\xE4ndiges Versenden von Warnhinweisen," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23 + ref_id: SYS.3.2.2.A23.5 + description: "2. selbstst\xE4ndiges Sperren des Ger\xE4ts," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23 + ref_id: SYS.3.2.2.A23.6 + description: "3. L\xF6schen der vertraulichen Informationen der Institution," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23 + ref_id: SYS.3.2.2.A23.7 + description: "4. L\xF6schen des kompletten Ger\xE4ts," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23 + ref_id: SYS.3.2.2.A23.8 + description: 5. Verhindern des Zugangs zu Unternehmens-Apps sowie + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23 + ref_id: SYS.3.2.2.A23.9 + description: 6. Verhindern des Zugangs zu den Systemen und Informationen der + Institution. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.2.a23 + ref_id: SYS.3.2.2.A23.10 + description: "Bei Verdacht auf einen Versto\xDF oder eine Manipulation SOLLTE\ + \ ein Alarm an die zust\xE4ndigen Administrierenden und das Sicherheitsmanagement\ + \ in der Institution gesandt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys + ref_id: SYS.3.2.3 + name: iOS (for Enterprise) + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3 + ref_id: SYS.3.2.3.A1 + name: "Strategie f\xFCr die iOS-Nutzung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a1 + ref_id: SYS.3.2.3.A1.1 + description: "Wird ein MDM eingesetzt, so M\xDCSSEN die iOS-basierten Ger\xE4\ + te \xFCber das MDM verwaltet und konfiguriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a1 + ref_id: SYS.3.2.3.A1.2 + description: "Hierzu MUSS eine Strategie zur iOS-Nutzung vorliegen, in der Aspekte\ + \ wie die Auswahl der Endger\xE4te oder Strategien f\xFCr Datensicherungen\ + \ festgelegt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a1 + ref_id: SYS.3.2.3.A1.3 + description: "Es MUSS geregelt werden, ob zus\xE4tzliche Apps von Drittanbietenden\ + \ genutzt werden sollen bzw. d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a1 + ref_id: SYS.3.2.3.A1.4 + description: "Au\xDFerdem M\xDCSSEN Jailbreaks organisatorisch untersagt und\ + \ nach M\xF6glichkeit technisch verhindert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3 + ref_id: SYS.3.2.3.A2 + name: Planung des Einsatzes von Cloud-Diensten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a2 + ref_id: SYS.3.2.3.A2.1 + description: "Bevor iOS-basierte Ger\xE4te verwendet werden, MUSS festgelegt\ + \ werden, welche Cloud-Services in welchem Umfang genutzt werden sollen bzw.\ + \ d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a2 + ref_id: SYS.3.2.3.A2.2 + description: "Dabei SOLLTE ber\xFCcksichtigt werden, dass iOS-basierte Ger\xE4\ + te grunds\xE4tzlich eng mit iCloud-Diensten von Apple verzahnt sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a2 + ref_id: SYS.3.2.3.A2.3 + description: "Au\xDFerdem SOLLTE ber\xFCcksichtigt werden, dass beispielsweise\ + \ bereits die Aktivierung von Einzelger\xE4ten mit einer Apple-ID hiervon\ + \ betroffen ist." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a2 + ref_id: SYS.3.2.3.A2.4 + description: "Daher SOLLTE gepr\xFCft werden, ob zur Ger\xE4teregistrierung\ + \ Apple Business Manager (fr\xFCher Device Enrollment Program, DEP) genutzt\ + \ werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3 + ref_id: SYS.3.2.3.A7 + name: "Verhinderung des unautorisierten L\xF6schens von Konfigurationsprofilen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a7 + ref_id: SYS.3.2.3.A7.1 + description: "Damit Konfigurationsprofile nicht unautorisiert gel\xF6scht werden\ + \ k\xF6nnen, M\xDCSSEN geeignete technische (z. B. durch den betreuten Modus)\ + \ oder organisatorische Ma\xDFnahmen getroffen und umgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a7 + ref_id: SYS.3.2.3.A7.2 + description: "Benutzende von mobilen Endger\xE4ten SOLLTEN f\xFCr den Sinn und\ + \ Zweck der Sicherheitsma\xDFnahmen sensibilisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3 + ref_id: SYS.3.2.3.A12 + name: Verwendung von Apple-IDs + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a12 + ref_id: SYS.3.2.3.A12.1 + description: "Statt einer pers\xF6nlichen Apple-ID der Benutzenden SOLLTE eine\ + \ anonymisierte Apple-ID verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a12 + ref_id: SYS.3.2.3.A12.2 + description: "Falls m\xF6glich, SOLLTE der Apple Business Manager f\xFCr Volumenlizenzen\ + \ (fr\xFCher Volume Purchase Program, VPP) sowie eine zentralisierte Installation\ + \ von Apps verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3 + ref_id: SYS.3.2.3.A13 + name: "Verwendung der Konfigurationsoption \u201EEinschr\xE4nkungen unter iOS\u201C" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a13 + ref_id: SYS.3.2.3.A13.1 + description: "Alle nicht ben\xF6tigten oder erlaubten Funktionen bzw. Dienste\ + \ von iOS SOLLTEN deaktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a13 + ref_id: SYS.3.2.3.A13.2 + description: "Basierend auf dem Einsatzzweck und dem zugrundeliegenden Schutzbedarf\ + \ SOLLTE gepr\xFCft werden, welche der Funktionen \u201ESperrbildschirm\u201C\ + , \u201EUnified Communication\u201C, \u201ESiri\u201C, \u201EHintergrundbild\u201C\ + , \u201EVerbindung mit Host-Systemen\u201C und \u201EDiagnose- und Nutzungsdaten\u201C\ + \ einzusetzen sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3 + ref_id: SYS.3.2.3.A14 + name: Verwendung der iCloud-Infrastruktur + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a14 + ref_id: SYS.3.2.3.A14.1 + description: "Bevor die umf\xE4ngliche oder selektive Nutzung der iCloud-Infrastruktur\ + \ f\xFCr eine dienstliche Nutzung freigegeben wird, SOLLTE bewertet werden,\ + \ ob die allgemeinen Gesch\xE4ftsbedingungen der Firma Apple mit den internen\ + \ Richtlinien hinsichtlich Verf\xFCgbarkeit, Vertraulichkeit, Integrit\xE4\ + t und Datenschutz vereinbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a14 + ref_id: SYS.3.2.3.A14.2 + description: "Wird die Nutzung der iCloud-Infrastruktur erlaubt, SOLLTE die\ + \ Identit\xE4t am iCloud-Webservice durch eine Zwei-Faktor-Authentisierung\ + \ gepr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a14 + ref_id: SYS.3.2.3.A14.3 + description: "Ansonsten SOLLTE die iCloud-Nutzung f\xFCr einen rein dienstlichen\ + \ Bedarf auf ein geringes Ma\xDF reduziert oder komplett ausgeschlossen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3 + ref_id: SYS.3.2.3.A15 + name: Verwendung der Continuity-Funktionen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a15 + ref_id: SYS.3.2.3.A15.1 + description: "Wurde die Nutzung der iCloud-Infrastruktur nicht grunds\xE4tzlich\ + \ durch das Sicherheitsmanagement der Institution untersagt, SOLLTE die Vereinbarkeit\ + \ der Continuity-Funktionen mit den internen Richtlinien unter Ber\xFCcksichtigung\ + \ der Aspekte Vertraulichkeit und Integrit\xE4t bewertet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a15 + ref_id: SYS.3.2.3.A15.2 + description: "Auf Basis der Bewertungsergebnisse SOLLTE geregelt werden, inwieweit\ + \ diese Funktionen technisch bzw. organisatorisch eingeschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3 + ref_id: SYS.3.2.3.A17 + name: "Verwendung der Ger\xE4tecode-Historie" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a17 + ref_id: SYS.3.2.3.A17.1 + description: Im Konfigurationsprofil SOLLTE die Anzahl der eindeutigen Codes + bis zur ersten Wiederholung auf einen angemessenen Wert festgelegt sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3 + ref_id: SYS.3.2.3.A18 + name: "Verwendung der Konfigurationsoption f\xFCr den Browser Safari" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a18 + ref_id: SYS.3.2.3.A18.1 + description: "Die bereits in der Institution etablierten Browserrichtlinien\ + \ SOLLTEN entsprechend auch f\xFCr Safari durch technische und organisatorische\ + \ Ma\xDFnahmen umgesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a18 + ref_id: SYS.3.2.3.A18.2 + description: "Dabei SOLLTEN die bereits etablierten Anforderungen f\xFCr Browser\ + \ auf station\xE4ren und tragbaren PCs als Grundlage f\xFCr die Absicherung\ + \ der iOS-basierten Ger\xE4te dienen sowie die Einsatzszenarien." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a18 + ref_id: SYS.3.2.3.A18.3 + description: "Das Einsatzumfeld der Ger\xE4te SOLLTE beachtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3 + ref_id: SYS.3.2.3.A21 + name: Installation von Apps und Einbindung des Apple App Stores + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a21 + ref_id: SYS.3.2.3.A21.1 + description: "Um sicherzustellen, dass den autorisierten Benutzenden die ben\xF6\ + tigten Apps zum notwendigen Zeitpunkt ausreichend zur Verf\xFCgung stehen,\ + \ SOLLTE \xFCberlegt werden, den Apple Business Manager in die MDM-Infrastruktur\ + \ zu integrieren." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a21.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a21 + ref_id: SYS.3.2.3.A21.2 + description: "Zahlungen im App Store SOLLTE NICHT \xFCber biometrische Verfahren\ + \ best\xE4tigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a23 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3 + ref_id: SYS.3.2.3.A23 + name: "Verwendung der automatischen Konfigurationsprofill\xF6schung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a23.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a23 + ref_id: SYS.3.2.3.A23.1 + description: "Ger\xE4te, die \xFCber einen klar definierten Zeitraum durchg\xE4\ + ngig offline sind, SOLLTEN ihren Zugang zur internen Infrastruktur verlieren." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a23.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a23 + ref_id: SYS.3.2.3.A23.2 + description: "Nach Ablauf des definierten Zeitraums oder an einem bestimmten\ + \ Tag, SOLLTE das Konfigurationsprofil ohne Zutun des IT-Betriebs gel\xF6\ + scht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a23.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a23 + ref_id: SYS.3.2.3.A23.3 + description: "Falls Benutzende des Ger\xE4ts vor Ablauf der Frist auf das interne\ + \ Netz zugreift, SOLLTE der Zeitraum bis zur automatischen L\xF6schung des\ + \ Konfigurationsprofils erneuert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a23.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a23 + ref_id: SYS.3.2.3.A23.4 + description: "Falls sicherzustellen ist, ob die Benutzenden noch im Besitz ihres\ + \ Ger\xE4tes sind, SOLLTEN sie aktiv zum Zugriff innerhalb einer Frist aufgefordert\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a23.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a23 + ref_id: SYS.3.2.3.A23.5 + description: "Falls die Frist ohne Zugriff verstreicht, sollte das Konfigurationsprofil\ + \ der entsprechenden Benutzenden automatisch gel\xF6scht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a25 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3 + ref_id: SYS.3.2.3.A25 + name: "Verwendung der Konfigurationsoption f\xFCr AirPrint" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a25.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a25 + ref_id: SYS.3.2.3.A25.1 + description: Freigegebene AirPrint-Drucker SOLLTEN den Benutzenden durch ein + Konfigurationsprofil bereitgestellt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a25.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a25 + ref_id: SYS.3.2.3.A25.2 + description: "Um zu vermeiden, dass Informationen auf nicht vertrauensw\xFC\ + rdigen Druckern von Benutzenden ausgedruckt werden k\xF6nnen, SOLLTEN stets\ + \ alle Kommunikationsverbindungen \xFCber die Infrastruktursysteme der Institution\ + \ gef\xFChrt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a26 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3 + ref_id: SYS.3.2.3.A26 + name: Keine Verbindung mit Host-Systemen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a26.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.3.a26 + ref_id: SYS.3.2.3.A26.1 + description: "Um zu vermeiden, dass iOS-basierte Ger\xE4te unautorisiert mit\ + \ anderen IT-Systemen verbunden werden, SOLLTEN die Benutzenden iOS-basierte\ + \ Ger\xE4te ausschlie\xDFlich mit dem MDM verbinden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys + ref_id: SYS.3.2.4 + name: Android + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4 + ref_id: SYS.3.2.4.A2 + name: Deaktivieren des Entwicklermodus + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4.a2 + ref_id: SYS.3.2.4.A2.1 + description: "In allen Android-basierten Ger\xE4ten SOLLTE der Entwicklermodus\ + \ deaktiviert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4 + ref_id: SYS.3.2.4.A3 + name: "Einsatz des Multi-User- und G\xE4ste-Modus" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4.a3 + ref_id: SYS.3.2.4.A3.1 + description: "Es SOLLTE geregelt sein, ob ein Ger\xE4t mit anderen Personen\ + \ geteilt werden darf." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4.a3 + ref_id: SYS.3.2.4.A3.2 + description: "Es SOLLTE festgelegt werden, ob dazu der Multi-User- oder G\xE4\ + ste-Modus verwendet werden muss." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4.a3 + ref_id: SYS.3.2.4.A3.3 + description: "Benutzende auf einem Android-basierten Ger\xE4t SOLLTEN nat\xFC\ + rliche Personen sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4 + ref_id: SYS.3.2.4.A5 + name: Erweiterte Sicherheitseinstellungen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4.a5 + ref_id: SYS.3.2.4.A5.1 + description: "Es SOLLTEN nur freigegebene Sicherheits-Apps Rechte zur Ger\xE4\ + teadministration bekommen oder sich als \u201ETrust Agents\u201C eintragen\ + \ lassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4.a5 + ref_id: SYS.3.2.4.A5.2 + description: "Dies SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.2.4.a5 + ref_id: SYS.3.2.4.A5.3 + description: "Weiterhin SOLLTE es nur erlaubten Apps m\xF6glich sein, auf Nutzungsdaten\ + \ und auf Benachrichtigungen zuzugreifen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys + ref_id: SYS.3.3 + name: Mobiltelefon + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3 + ref_id: SYS.3.3.A1 + name: "Sicherheitsrichtlinien und Regelungen f\xFCr die Nutzung von Mobiltelefonen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a1 + ref_id: SYS.3.3.A1.1 + description: "Im Hinblick auf die Nutzung und Kontrolle der Ger\xE4te MUSS eine\ + \ Sicherheitsrichtlinie erstellt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a1 + ref_id: SYS.3.3.A1.2 + description: "Jeder benutzenden Person eines Mobiltelefons MUSS ein Exemplar\ + \ der Sicherheitsrichtlinie ausgeh\xE4ndigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a1 + ref_id: SYS.3.3.A1.3 + description: "Es MUSS regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Sicherheitsrichtlinie\ + \ eingehalten wird." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a1 + ref_id: SYS.3.3.A1.4 + description: "Die Sicherheitsrichtlinie zur dienstlichen Nutzung von Mobiltelefonen\ + \ SOLLTE Bestandteil der Schulung zu Sicherheitsma\xDFnahmen sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3 + ref_id: SYS.3.3.A2 + name: "Sperrma\xDFnahmen bei Verlust eines Mobiltelefons" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a2 + ref_id: SYS.3.3.A2.1 + description: Bei Verlust eines Mobiltelefons MUSS die darin verwendete SIM-Karte + zeitnah gesperrt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a2 + ref_id: SYS.3.3.A2.2 + description: "Falls m\xF6glich, SOLLTEN vorhandene Mechanismen zum Diebstahlschutz,\ + \ wie Fernl\xF6schung oder -sperrung, genutzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a2 + ref_id: SYS.3.3.A2.3 + description: "Alle notwendigen Informationen zur Sperrung von SIM-Karte und\ + \ Mobiltelefon M\xDCSSEN unmittelbar griffbereit sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3 + ref_id: SYS.3.3.A3 + name: Sensibilisierung und Schulung der Mitarbeitenden im Umgang mit Mobiltelefonen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a3 + ref_id: SYS.3.3.A3.1 + description: "Mitarbeitende M\xDCSSEN f\xFCr die besonderen Gef\xE4hrdungen\ + \ der Informationssicherheit durch Mobiltelefone sensibilisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a3 + ref_id: SYS.3.3.A3.2 + description: "Sie M\xDCSSEN in die Sicherheitsfunktion der Mobiltelefone eingewiesen\ + \ sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a3.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a3 + ref_id: SYS.3.3.A3.3 + description: "Den Benutzenden MUSS der Prozess bekannt sein, durch den die Mobiltelefone\ + \ gesperrt werden k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a3.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a3 + ref_id: SYS.3.3.A3.4 + description: "Die Benutzenden M\xDCSSEN darauf hingewiesen werden, wie die Mobiltelefone\ + \ sicher und korrekt aufbewahrt werden sollten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3 + ref_id: SYS.3.3.A4 + name: "Aussonderung und ordnungsgem\xE4\xDFe Entsorgung von Mobiltelefonen und\ + \ darin verwendeter Speicherkarten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a4 + ref_id: SYS.3.3.A4.1 + description: "Mobiltelefone M\xDCSSEN vor der Entsorgung auf den Werkszustand\ + \ zur\xFCckgesetzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a4 + ref_id: SYS.3.3.A4.2 + description: "Es MUSS \xFCberpr\xFCft werden, ob alle Daten gel\xF6scht wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a4 + ref_id: SYS.3.3.A4.3 + description: "Es SOLLTE zudem sichergestellt werden, dass die Mobiltelefone\ + \ und eventuell darin verwendete Speicherkarten ordnungsgem\xE4\xDF entsorgt\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a4 + ref_id: SYS.3.3.A4.4 + description: "Falls die Mobiltelefone und Speicherkarten erst zu einem sp\xE4\ + teren Zeitpunkt beziehungsweise in gr\xF6\xDFerer Anzahl entsorgt werden,\ + \ M\xDCSSEN die gesammelten Mobiltelefone und Speicherkarten vor unberechtigtem\ + \ Zugriff gesch\xFCtzt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3 + ref_id: SYS.3.3.A5 + name: Nutzung der Sicherheitsmechanismen von Mobiltelefonen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a5 + ref_id: SYS.3.3.A5.1 + description: "Die verf\xFCgbaren Sicherheitsmechanismen SOLLTEN auf den Mobiltelefonen\ + \ genutzt und vorkonfiguriert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a5 + ref_id: SYS.3.3.A5.2 + description: "Die SIM-Karte SOLLTE durch eine sichere PIN gesch\xFCtzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a5 + ref_id: SYS.3.3.A5.3 + description: "Die Super-PIN/PUK SOLLTE nur im Rahmen der definierten Prozesse\ + \ von den Zust\xE4ndigen benutzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a5 + ref_id: SYS.3.3.A5.4 + description: "Das Mobiltelefon SOLLTE durch einen Ger\xE4te-Code gesch\xFCtzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a5.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a5 + ref_id: SYS.3.3.A5.5 + description: "Falls m\xF6glich, SOLLTE das Ger\xE4t an die SIM-Karte gebunden\ + \ werden (SIM-Lock)." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3 + ref_id: SYS.3.3.A6 + name: Updates von Mobiltelefonen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a6 + ref_id: SYS.3.3.A6.1 + description: "Es SOLLTE regelm\xE4\xDFig gepr\xFCft werden, ob es Softwareupdates\ + \ f\xFCr die Mobiltelefone gibt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a6 + ref_id: SYS.3.3.A6.2 + description: Der Umgang mit Updates SOLLTE geregelt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a6 + ref_id: SYS.3.3.A6.3 + description: "Wenn es neue Softwareupdates gibt, SOLLTE festgelegt werden, wie\ + \ die Benutzenden dar\xFCber informiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a6 + ref_id: SYS.3.3.A6.4 + description: "Es SOLLTE festgelegt werden, ob die Benutzenden die Updates selber\ + \ installieren d\xFCrfen, oder ob die Mobiltelefone an einer zentralen Stelle\ + \ hierf\xFCr abgegeben werden sollen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3 + ref_id: SYS.3.3.A7 + name: Beschaffung von Mobiltelefonen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a7 + ref_id: SYS.3.3.A7.1 + description: Bevor Mobiltelefone beschafft werden, SOLLTE eine Anforderungsliste + erstellt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a7 + ref_id: SYS.3.3.A7.2 + description: "Anhand der Anforderungsliste SOLLTEN die am Markt erh\xE4ltlichen\ + \ Produkte bewertet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a7 + ref_id: SYS.3.3.A7.3 + description: "Das Produkt SOLLTE danach ausgew\xE4hlt werden, ob die Herstellenden\ + \ f\xFCr den geplanten Einsatzzeitraum Updates anbieten." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a7 + ref_id: SYS.3.3.A7.4 + description: "Es SOLLTE gew\xE4hrleistet werden, dass Ersatzteile wie Akkus\ + \ und Ladeger\xE4te in ausreichender Qualit\xE4t nachbeschafft werden k\xF6\ + nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3 + ref_id: SYS.3.3.A8 + name: Nutzung drahtloser Schnittstellen von Mobiltelefonen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a8 + ref_id: SYS.3.3.A8.1 + description: "Drahtlose Schnittstellen von Mobiltelefonen wie IrDA, WLAN oder\ + \ Bluetooth SOLLTEN deaktiviert werden, solange sie nicht ben\xF6tigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3 + ref_id: SYS.3.3.A9 + name: Sicherstellung der Energieversorgung von Mobiltelefonen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a9 + ref_id: SYS.3.3.A9.1 + description: "Es SOLLTEN angemessene Ma\xDFnahmen getroffen werden, um die dauerhafte\ + \ Energieversorgung von Mobiltelefonen sicherzustellen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a9 + ref_id: SYS.3.3.A9.2 + description: Je nach Bedarf SOLLTEN Wechselakkus oder Powerbanks eingesetzt + werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3 + ref_id: SYS.3.3.A10 + name: "Sichere Daten\xFCbertragung \xFCber Mobiltelefone" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a10 + ref_id: SYS.3.3.A10.1 + description: "Es SOLLTE geregelt sein, welche Daten \xFCber Mobiltelefone \xFC\ + bertragen werden d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a10 + ref_id: SYS.3.3.A10.2 + description: "Die daf\xFCr erlaubten Schnittstellen SOLLTEN festgelegt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a10 + ref_id: SYS.3.3.A10.3 + description: "Au\xDFerdem SOLLTE beschlossen werden, wie die Daten bei Bedarf\ + \ zu verschl\xFCsseln sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3 + ref_id: SYS.3.3.A11 + name: Ausfallvorsorge bei Mobiltelefonen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a11 + ref_id: SYS.3.3.A11.1 + description: "Die auf einem Mobiltelefon gespeicherten Daten SOLLTEN in regelm\xE4\ + \xDFigen Abst\xE4nden auf einem externen Medium gesichert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a11 + ref_id: SYS.3.3.A11.2 + description: "Muss ein defektes Mobiltelefon repariert werden, SOLLTEN zuvor\ + \ alle Daten gel\xF6scht und das Ger\xE4t auf den Werkszustand zur\xFCckgesetzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a11 + ref_id: SYS.3.3.A11.3 + description: "Es SOLLTEN immer Ersatzger\xE4te vorhanden sein, um ein ausgefallenes\ + \ Mobiltelefon kurzfristig ersetzen zu k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3 + ref_id: SYS.3.3.A12 + name: Einrichtung eines Mobiltelefon-Pools + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a12 + ref_id: SYS.3.3.A12.1 + description: "Bei h\xE4ufig wechselnden Benutzenden dienstlicher Mobiltelefone\ + \ SOLLTE eine Sammelaufbewahrung (Pool) eingerichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a12 + ref_id: SYS.3.3.A12.2 + description: "Die Ausgabe und R\xFCcknahme von Mobiltelefonen und Zubeh\xF6\ + r SOLLTE dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a12 + ref_id: SYS.3.3.A12.3 + description: "Vor der Ausgabe SOLLTE sichergestellt werden, dass die Mobiltelefone\ + \ aufgeladen und mit den n\xF6tigen Programmen und Daten f\xFCr die neuen\ + \ Besitzenden ausgestattet sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a12 + ref_id: SYS.3.3.A12.4 + description: Zudem SOLLTEN die Benutzenden auf die Einhaltung der Sicherheitsleitlinie + hingewiesen werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a12.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a12 + ref_id: SYS.3.3.A12.5 + description: "Nachdem die Ger\xE4te wieder zur\xFCckgegeben wurden, SOLLTEN\ + \ sie auf den Werkszustand zur\xFCckgesetzt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3 + ref_id: SYS.3.3.A13 + name: Schutz vor der Erstellung von Bewegungsprofilen bei der Nutzung von Mobilfunk + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a13 + ref_id: SYS.3.3.A13.1 + description: "Es SOLLTE gekl\xE4rt werden, ob sich die Erstellung von Bewegungsprofilen\ + \ durch Dritte negativ auswirken kann oder als Problem angesehen wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a13 + ref_id: SYS.3.3.A13.2 + description: "Um eine Ortung \xFCber GPS zu verhindern, SOLLTE diese Funktion\ + \ abgeschaltet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a13 + ref_id: SYS.3.3.A13.3 + description: "Falls eine Ortung \xFCber das Mobilfunknetz verhindert werden\ + \ soll, SOLLTE das Mobiltelefon abgeschaltet und der Akku entfernt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3 + ref_id: SYS.3.3.A14 + name: Schutz vor Rufnummernermittlung bei der Nutzung von Mobiltelefonen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a14 + ref_id: SYS.3.3.A14.1 + description: "Um zu verhindern, dass die verwendeten Rufnummern bestimmten Personen\ + \ zugeordnet werden k\xF6nnen, SOLLTEN Rufnummern f\xFCr ausgehende Anrufe\ + \ unterdr\xFCckt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a14 + ref_id: SYS.3.3.A14.2 + description: "Au\xDFerdem SOLLTEN KEINE SMS- und MMS-Nachrichten versendet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a14 + ref_id: SYS.3.3.A14.3 + description: "Rufnummern von Mobiltelefonen SOLLTEN NICHT ver\xF6ffentlicht\ + \ oder an unbefugte Dritte weitergegeben werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3 + ref_id: SYS.3.3.A15 + name: "Schutz vor Abh\xF6ren der Raumgespr\xE4che \xFCber Mobiltelefone" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a15 + ref_id: SYS.3.3.A15.1 + description: "Damit vertrauliche Informationen nicht abgeh\xF6rt werden k\xF6\ + nnen, SOLLTE daf\xFCr gesorgt werden, dass keine Mobiltelefone zu vertraulichen\ + \ Besprechungen und Gespr\xE4chen in die entsprechenden R\xE4ume mitgenommen\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.3.3.a15 + ref_id: SYS.3.3.A15.2 + description: "Falls erforderlich, SOLLTE das Mitf\xFChrungsverbot durch Mobilfunk-Detektoren\ + \ \xFCberpr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys + ref_id: SYS.4.1 + name: "Drucker, Kopierer und Multifunktionsger\xE4te" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1 + ref_id: SYS.4.1.A1 + name: "Planung des Einsatzes von Druckern, Kopierern und Multifunktionsger\xE4\ + ten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1 + ref_id: SYS.4.1.A1.1 + description: "Bevor Drucker, Kopierer und Multifunktionsger\xE4te beschafft\ + \ werden, MUSS der sichere Einsatz geplant werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1 + ref_id: SYS.4.1.A1.2 + description: "Dabei SOLLTEN folgende Kriterien ber\xFCcksichtigt werden:" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1 + ref_id: SYS.4.1.A1.3 + description: "\u2022 Unterst\xFCtzung sicherer Protokolle zur Daten\xFCbertragung\ + \ und Administration," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1 + ref_id: SYS.4.1.A1.4 + description: "\u2022 Verschl\xFCsselung der abgespeicherten Informationen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1 + ref_id: SYS.4.1.A1.5 + description: "\u2022 Authentisierung der Benutzenden direkt am Ger\xE4t," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1 + ref_id: SYS.4.1.A1.6 + description: "\u2022 Nutzung physischer Schutzmechanismen, wie \xD6sen zum Diebstahlschutz\ + \ oder Ger\xE4teschl\xF6sser," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1 + ref_id: SYS.4.1.A1.7 + description: "\u2022 Existenz eines zuverl\xE4ssigen und leistungsf\xE4higen\ + \ automatischen Seiteneinzugs der Scaneinheit," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1 + ref_id: SYS.4.1.A1.8 + description: "\u2022 Unterst\xFCtzung geeigneter Datenformate," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1 + ref_id: SYS.4.1.A1.9 + description: "\u2022 Bei Bedarf Unterst\xFCtzung von Patch- sowie Barcodes zur\ + \ Dokumententrennung und \xDCbergabe von Metainformationen," + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1 + ref_id: SYS.4.1.A1.10 + description: "\u2022 Existenz einer Funktion zum sicheren L\xF6schen des Speichers\ + \ sowie" + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1 + ref_id: SYS.4.1.A1.11 + description: "\u2022 Verf\xFCgbarkeit von regelm\xE4\xDFigen Updates und Wartungsvertr\xE4\ + gen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1 + ref_id: SYS.4.1.A1.12 + description: "Es MUSS festgelegt werden, wo die Ger\xE4te aufgestellt werden\ + \ d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1.13 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1 + ref_id: SYS.4.1.A1.13 + description: "Au\xDFerdem MUSS festgelegt sein, wer auf die Drucker, Kopierer\ + \ und Multifunktionsger\xE4te zugreifen darf." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1.14 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a1 + ref_id: SYS.4.1.A1.14 + description: Die Ergebnisse SOLLTEN in einem Basiskonzept dokumentiert werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1 + ref_id: SYS.4.1.A2 + name: "Geeignete Aufstellung und Zugriff auf Drucker, Kopierer und Multifunktionsger\xE4\ + te" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a2 + ref_id: SYS.4.1.A2.1 + description: "Der IT-Betrieb MUSS Drucker, Kopierer und Multifunktionsger\xE4\ + te so aufstellen und absichern, dass nur befugte Personen die Ger\xE4te verwenden\ + \ und auf verarbeitete Informationen zugreifen k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a2 + ref_id: SYS.4.1.A2.2 + description: "Au\xDFerdem MUSS sichergestellt sein, dass nur berechtigte Personen\ + \ die Ger\xE4te administrieren, warten und reparieren k\xF6nnen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a2 + ref_id: SYS.4.1.A2.3 + description: "Mit Dienstleistenden (z. B. f\xFCr die Wartung) M\xDCSSEN schriftliche\ + \ Vertraulichkeitsvereinbarungen getroffen werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a2 + ref_id: SYS.4.1.A2.4 + description: "Drucker, Kopierer und Multifunktionsger\xE4te M\xDCSSEN mit Ger\xE4\ + tepassw\xF6rtern versehen sein, um so den Zugriff auf Webserver und Bedienfeld\ + \ f\xFCr die Administration zu sperren." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a2 + ref_id: SYS.4.1.A2.5 + description: "Diese M\xDCSSEN die Vorgaben des Identit\xE4ts- und Berechtigungsmanagements\ + \ der Institution erf\xFCllen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1 + ref_id: SYS.4.1.A4 + name: "Erstellung einer Sicherheitsrichtlinie f\xFCr den Einsatz von Druckern,\ + \ Kopierern und Multifunktionsger\xE4ten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a4 + ref_id: SYS.4.1.A4.1 + description: "Die Institution SOLLTE eine Sicherheitsrichtlinie f\xFCr Drucker,\ + \ Kopierer und Multifunktionsger\xE4te entwickeln." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a4 + ref_id: SYS.4.1.A4.2 + description: "Darin SOLLTE geregelt werden, welche Anforderungen und Vorgaben\ + \ an die Informationssicherheit der Ger\xE4te gestellt und wie diese erf\xFC\ + llt werden sollen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a4 + ref_id: SYS.4.1.A4.3 + description: "Es SOLLTE auch festgelegt werden, welche Funktionen von welchen\ + \ Benutzenden unter welchen Bedingungen administriert beziehungsweise genutzt\ + \ werden d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1 + ref_id: SYS.4.1.A5 + name: "Erstellung von Nutzungsrichtlinien f\xFCr den Umgang mit Druckern, Kopierern\ + \ und Multifunktionsger\xE4ten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a5 + ref_id: SYS.4.1.A5.1 + description: "F\xFCr die Institution SOLLTE der oder die ISB eine Nutzungsrichtlinie\ + \ erstellen, auf der alle Sicherheitsvorgaben zum Umgang mit den Ger\xE4ten\ + \ \xFCbersichtlich und verst\xE4ndlich zusammengefasst sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a5 + ref_id: SYS.4.1.A5.2 + description: Die Nutzungsrichtlinie SOLLTE allen Benutzenden bekannt sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1 + ref_id: SYS.4.1.A7 + name: "Beschr\xE4nkung der administrativen Fernzugriffe auf Drucker, Kopierer\ + \ und Multifunktionsger\xE4te" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a7 + ref_id: SYS.4.1.A7.1 + description: "Der IT-Betrieb SOLLTE sicherstellen, dass der administrative Fernzugriff\ + \ auf Drucker, Kopierer und Multifunktionsger\xE4te nur einer klar definierten\ + \ Gruppe des Administrations- und Servicepersonals erm\xF6glicht wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a7 + ref_id: SYS.4.1.A7.2 + description: "Das SOLLTE auch dann gew\xE4hrleistet sein, wenn die Institution\ + \ eine zentrale Ger\xE4teverwaltungssoftware einsetzt." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a7 + ref_id: SYS.4.1.A7.3 + description: "Es SOLLTE festgelegt werden, ob die Anzeige des Bedienfelds \xFC\ + ber ein Datennetz eingesehen werden darf." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a7.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a7 + ref_id: SYS.4.1.A7.4 + description: "Wenn dies gew\xFCnscht ist, SOLLTE es nur an den IT-Betrieb \xFC\ + bertragen werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a7.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a7 + ref_id: SYS.4.1.A7.5 + description: Auch SOLLTE dies mit den betroffenen Benutzenden abgestimmt sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1 + ref_id: SYS.4.1.A11 + name: "Einschr\xE4nkung der Anbindung von Druckern, Kopierern und Multifunktionsger\xE4\ + ten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a11 + ref_id: SYS.4.1.A11.1 + description: "Der IT-Betrieb SOLLTE sicherstellen, dass netzf\xE4hige Drucker,\ + \ Kopierer und Multifunktionsger\xE4te nicht aus Fremdnetzen erreichbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a11 + ref_id: SYS.4.1.A11.2 + description: "Wenn Multifunktionsger\xE4te an das Telefonnetz angeschlossen\ + \ werden, SOLLTE sichergestellt werden, dass keine unkontrollierten Datenverbindungen\ + \ zwischen dem Datennetz der Institution und dem Telefonnetz aufgebaut werden\ + \ k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a11 + ref_id: SYS.4.1.A11.3 + description: "Netzdrucker und Multifunktionsger\xE4te SOLLTEN in einem eigenen\ + \ Netzsegment, das von den Clients und Servern der Institution getrennt ist,\ + \ betrieben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1 + ref_id: SYS.4.1.A14 + name: "Authentisierung und Autorisierung bei Druckern, Kopierern und Multifunktionsger\xE4\ + ten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a14 + ref_id: SYS.4.1.A14.1 + description: "Nur berechtigte Personen SOLLTEN auf die ausgedruckten oder kopierten\ + \ Dokumente zugreifen k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a14 + ref_id: SYS.4.1.A14.2 + description: "Es SOLLTEN m\xF6glichst nur zentrale Drucker, Kopierer und Multifunktionsger\xE4\ + te eingesetzt werden, bei denen sich die Benutzenden am Ger\xE4t authentisieren,\ + \ bevor der Druckauftrag startet (\u201ESecure-Print\u201C)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a14 + ref_id: SYS.4.1.A14.3 + description: "Nachdem sich die Benutzenden authentisiert haben, SOLLTEN ausschlie\xDF\ + lich nur die eigenen Druckauftr\xE4ge sichtbar sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a14.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a14 + ref_id: SYS.4.1.A14.4 + description: "Nur die f\xFCr die jeweiligen Benutzenden notwendigen Funktionen\ + \ SOLLTEN freigeschaltet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1 + ref_id: SYS.4.1.A15 + name: "Verschl\xFCsselung von Informationen bei Druckern, Kopierern und Multifunktionsger\xE4\ + ten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a15 + ref_id: SYS.4.1.A15.1 + description: "Wenn m\xF6glich, SOLLTEN alle auf ger\xE4teinternen, nichtfl\xFC\ + chtigen Speichermedien abgelegten Informationen verschl\xFCsselt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a15 + ref_id: SYS.4.1.A15.2 + description: "Auch Druckauftr\xE4ge SOLLTEN m\xF6glichst verschl\xFCsselt \xFC\ + bertragen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1 + ref_id: SYS.4.1.A16 + name: "Verringerung von Ausfallzeiten bei Druckern, Kopierern und Multifunktionsger\xE4\ + ten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a16 + ref_id: SYS.4.1.A16.1 + description: "Um die Ausfallzeiten von Druckern, Kopierern und Multifunktionsger\xE4\ + ten so gering wie m\xF6glich zu halten, SOLLTEN unter anderem" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a16 + ref_id: SYS.4.1.A16.2 + description: "\u2022 Ersatzger\xE4te bereitstehen," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a16 + ref_id: SYS.4.1.A16.3 + description: "\u2022 in Wartungsvertr\xE4gen auf eine angemessene Reaktionszeit\ + \ geachtet werden," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a16.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a16 + ref_id: SYS.4.1.A16.4 + description: "\u2022 eine Liste mit Fachhandlungen gef\xFChrt werden, um schnell\ + \ Ersatzger\xE4te oder -teile beschaffen zu k\xF6nnen und" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a16.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a16 + ref_id: SYS.4.1.A16.5 + description: "\u2022 falls erforderlich, h\xE4ufig ben\xF6tigte Ersatzteile\ + \ gelagert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1 + ref_id: SYS.4.1.A17 + name: Schutz von Nutz- und Metadaten + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a17 + ref_id: SYS.4.1.A17.1 + description: "Nutz- und Metadaten wie Druckauftr\xE4ge und Scandateien SOLLTEN\ + \ nur so kurz wie m\xF6glich auf den Ger\xE4ten gespeichert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a17 + ref_id: SYS.4.1.A17.2 + description: "Die Daten SOLLTEN nach einer vordefinierten Zeit automatisch gel\xF6\ + scht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a17 + ref_id: SYS.4.1.A17.3 + description: "Dateiserver in den Ger\xE4ten und Funktionen wie \u201EScan in\ + \ den Ger\xE4tespeicher\" SOLLTEN vom IT-Betrieb abgeschaltet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a17.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a17 + ref_id: SYS.4.1.A17.4 + description: "Die daf\xFCr ben\xF6tigten Protokolle und Funktionen SOLLTEN,\ + \ soweit m\xF6glich, gesperrt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a17.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a17 + ref_id: SYS.4.1.A17.5 + description: "Generell SOLLTE vom IT-Betrieb sichergestellt werden, dass alle\ + \ Metadaten nicht f\xFCr Unberechtigte sichtbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a17.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a17 + ref_id: SYS.4.1.A17.6 + description: Es SOLLTE von der Institution geregelt werden, wie mit Metadaten + versehene Ausdrucke an Dritte weitergegeben werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1 + ref_id: SYS.4.1.A18 + name: "Konfiguration von Druckern, Kopierern und Multifunktionsger\xE4ten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a18 + ref_id: SYS.4.1.A18.1 + description: "Alle Drucker und Multifunktionsger\xE4te SOLLTEN nur vom IT-Betrieb\ + \ konfiguriert werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a18 + ref_id: SYS.4.1.A18.2 + description: "Nicht ben\xF6tigte Ger\xE4tefunktionen SOLLTEN abgeschaltet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a18 + ref_id: SYS.4.1.A18.3 + description: "Insbesondere SOLLTEN alle nicht ben\xF6tigten Daten- und Netzschnittstellen\ + \ von Druckern, Kopierern und Multifunktionsger\xE4ten deaktiviert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a18.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a18 + ref_id: SYS.4.1.A18.4 + description: "Die Ger\xE4te SOLLTEN ausschlie\xDFlich \xFCber verschl\xFCsselte\ + \ Protokolle wie HTTPS und SNMPv3 verwaltet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a18.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a18 + ref_id: SYS.4.1.A18.5 + description: "S\xE4mtliche Protokolle, mit denen unverschl\xFCsselt auf Drucker\ + \ und Multifunktionsger\xE4te zugegriffen werden kann, SOLLTEN vom IT-Betrieb\ + \ durch verschl\xFCsselte ersetzt oder abgeschaltet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a18.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a18 + ref_id: SYS.4.1.A18.6 + description: "Das SOLLTE insbesondere f\xFCr Protokolle umgesetzt werden, mit\ + \ denen sich die Ger\xE4tekonfiguration ver\xE4ndern l\xE4sst, z. B. SNMP,\ + \ Telnet und PJL." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1 + ref_id: SYS.4.1.A20 + name: "Erweiterter Schutz von Informationen bei Druckern, Kopierern und Multifunktionsger\xE4\ + ten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a20 + ref_id: SYS.4.1.A20.1 + description: "Es SOLLTEN auf dem Druckserver die Namen der Druckauftr\xE4ge\ + \ nur anonymisiert angezeigt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a20.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a20 + ref_id: SYS.4.1.A20.2 + description: "Alle Schnittstellen f\xFCr externe Speichermedien SOLLTEN gesperrt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a20.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a20 + ref_id: SYS.4.1.A20.3 + description: "Weiterhin SOLLTEN ger\xE4teinterne Adressb\xFCcher deaktiviert\ + \ und den Benutzenden alternative Adressierungsverfahren (z. B. Adresssuche\ + \ per LDAP) angeboten werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a20.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a20 + ref_id: SYS.4.1.A20.4 + description: "Bei Druckern und Multifunktionsger\xE4ten mit E-Mail-Funktion\ + \ SOLLTE sichergestellt sein, dass E-Mails ausschlie\xDFlich mit den E-Mail-Adressen\ + \ der authentisierten Benutzenden versendet werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a20.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a20 + ref_id: SYS.4.1.A20.5 + description: "Auch SOLLTEN Dokumente nur an interne E-Mail-Adressen verschickt\ + \ werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a20.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a20 + ref_id: SYS.4.1.A20.6 + description: "Eingehende Fax-Dokumente sowie Sendeberichte SOLLTEN nur autorisierten\ + \ Personen zug\xE4nglich sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1 + ref_id: SYS.4.1.A21 + name: "Erweiterte Absicherung von Druckern, Kopierern und Multifunktionsger\xE4\ + ten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a21 + ref_id: SYS.4.1.A21.1 + description: "Der IT-Betrieb SOLLTE die Sicherheitseinstellungen von Druckern,\ + \ Kopierern und Multifunktionsger\xE4ten regelm\xE4\xDFig kontrollieren und,\ + \ falls notwendig, korrigieren." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a21.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a21 + ref_id: SYS.4.1.A21.2 + description: "Wenn ein automatisiertes Kontroll- und Korrektursystem verf\xFC\ + gbar ist, SOLLTE es genutzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a21.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a21 + ref_id: SYS.4.1.A21.3 + description: "Zudem SOLLTE eingeschr\xE4nkt werden, dass die Ger\xE4te \xFC\ + ber das Bootmen\xFC auf die Werkseinstellungen zur\xFCckgestellt werden k\xF6\ + nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a21.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a21 + ref_id: SYS.4.1.A21.4 + description: "Es SOLLTE sichergestellt sein, dass keine Firmware oder Zusatzsoftware\ + \ auf Druckern und Multifunktionsger\xE4ten installiert werden kann, die nicht\ + \ von den jeweiligen Herstellenden verifiziert und freigegeben wurde." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1 + ref_id: SYS.4.1.A22 + name: "Ordnungsgem\xE4\xDFe Entsorgung ausgedruckter Dokumente" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a22 + ref_id: SYS.4.1.A22.1 + description: "Nicht ben\xF6tigte, aber ausgedruckte Dokumente mit vertraulichen\ + \ Informationen M\xDCSSEN in geeigneter Weise vernichtet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a22.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.1.a22 + ref_id: SYS.4.1.A22.2 + description: "Sind Heimarbeitspl\xE4tze mit Druckern, Kopierern oder Multifunktionsger\xE4\ + ten ausgestattet, SOLLTE gew\xE4hrleistet werden, dass die ausgedruckten Informationen\ + \ auch direkt vor Ort geeignet vernichtet werden k\xF6nnen, wenn sie nicht\ + \ mehr ben\xF6tigt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys + ref_id: SYS.4.3 + name: Eingebettete Systeme + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 + ref_id: SYS.4.3.A1 + name: Regelungen zum Umgang mit eingebetteten Systemen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a1 + ref_id: SYS.4.3.A1.1 + description: "Alle Benutzenden und Administrierende M\xDCSSEN \xFCber Verhaltensregeln\ + \ und Meldewege bei Ausf\xE4llen, Fehlfunktionen oder bei Verdacht auf einen\ + \ Sicherheitsvorfall informiert sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a1 + ref_id: SYS.4.3.A1.2 + description: "Alle eingebetteten Systeme inklusive Schnittstellen M\xDCSSEN\ + \ erfasst werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a1 + ref_id: SYS.4.3.A1.3 + description: "Die eingebetteten Systeme M\xDCSSEN sicher vorkonfiguriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a1 + ref_id: SYS.4.3.A1.4 + description: Die vorgenommene Konfiguration SOLLTE dokumentiert sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a1.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a1 + ref_id: SYS.4.3.A1.5 + description: "Weiterhin SOLLTEN Regelungen festgelegt werden, um die Integrit\xE4\ + t und Funktionsf\xE4higkeit der eingebetteten Systeme zu testen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 + ref_id: SYS.4.3.A2 + name: Deaktivieren nicht benutzter Schnittstellen und Dienste bei eingebetteten + Systemen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a2 + ref_id: SYS.4.3.A2.1 + description: "Es MUSS sichergestellt werden, dass nur auf ben\xF6tigte Schnittstellen\ + \ zugegriffen werden kann." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a2 + ref_id: SYS.4.3.A2.2 + description: "Alle anderen Schnittstellen M\xDCSSEN deaktiviert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a2 + ref_id: SYS.4.3.A2.3 + description: "Zudem D\xDCRFEN NUR ben\xF6tigte Dienste aktiviert sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a2 + ref_id: SYS.4.3.A2.4 + description: "Der Zugang zu Anwendungsschnittstellen MUSS durch sichere Authentisierung\ + \ gesch\xFCtzt sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 + ref_id: SYS.4.3.A3 + name: Protokollierung sicherheitsrelevanter Ereignisse bei eingebetteten Systemen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a3.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a3 + ref_id: SYS.4.3.A3.1 + description: "Sicherheitsverst\xF6\xDFe M\xDCSSEN protokolliert werden (siehe\ + \ OPS.1.1.5 Protokollierung)." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a3.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a3 + ref_id: SYS.4.3.A3.2 + description: Ist eine elektronische Protokollierung nicht oder nur sehr begrenzt + realisierbar, SOLLTEN alternative, organisatorische Regelungen geschaffen + und umgesetzt werden. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 + ref_id: SYS.4.3.A4 + name: "Erstellung von Beschaffungskriterien f\xFCr eingebettete Systeme" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a4 + ref_id: SYS.4.3.A4.1 + description: Bevor eingebettete Systeme beschafft werden, SOLLTE eine Anforderungsliste + erstellt werden, anhand derer die infrage kommenden Systeme oder Komponenten + bewertet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a4 + ref_id: SYS.4.3.A4.2 + description: 'Die Anforderungsliste SOLLTE mindestens folgende sicherheitsrelevante + Aspekte umfassen:' + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a4 + ref_id: SYS.4.3.A4.3 + description: "\u2022 Aspekte der materiellen Sicherheit," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a4 + ref_id: SYS.4.3.A4.4 + description: "\u2022 Anforderungen an die Sicherheitseigenschaften der Hardware," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a4 + ref_id: SYS.4.3.A4.5 + description: "\u2022 Anforderungen an die Sicherheitseigenschaften der Software," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a4.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a4 + ref_id: SYS.4.3.A4.6 + description: "\u2022 Unterst\xFCtzung eines Trusted Plattform Module (TPM) durch\ + \ das Betriebssystem," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a4.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a4 + ref_id: SYS.4.3.A4.7 + description: "\u2022 Sicherheitsaspekte der Entwicklungsumgebung sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a4.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a4 + ref_id: SYS.4.3.A4.8 + description: "\u2022 organisatorische Sicherheitsaspekte." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 + ref_id: SYS.4.3.A5 + name: "Schutz vor sch\xE4digenden Umwelteinfl\xFCssen bei eingebetteten Systemen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a5 + ref_id: SYS.4.3.A5.1 + description: "Es SOLLTE sichergestellt werden, dass eingebettete Systeme entsprechend\ + \ ihrer vorgesehenen Einsatzart und des vorgesehenen Einsatzorts angemessen\ + \ vor sch\xE4digenden Umwelteinfl\xFCssen gesch\xFCtzt sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a5 + ref_id: SYS.4.3.A5.2 + description: "Die Anforderungen hierf\xFCr SOLLTEN bereits bei der Planung analysiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a5 + ref_id: SYS.4.3.A5.3 + description: "Zudem SOLLTE sichergestellt werden, dass die Vorkehrungen, um\ + \ einzelne Komponenten vor Staub, Hitze, N\xE4sse und Verschmutzung zu sch\xFC\ + tzen, keine Probleme mit den Anforderungen des \xFCbergeordneten Systems verursachen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 + ref_id: SYS.4.3.A6 + name: "Verhindern von Debugging-M\xF6glichkeiten bei eingebetteten Systemen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a6 + ref_id: SYS.4.3.A6.1 + description: "Eventuelle Debugging-M\xF6glichkeiten SOLLTEN m\xF6glichst vollst\xE4\ + ndig aus eingebetteten Systemen entfernt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a6 + ref_id: SYS.4.3.A6.2 + description: "Wird On-Chip-Debugging genutzt, MUSS sichergestellt werden, dass\ + \ Debugging-Funktionen nicht unberechtigt genutzt oder aktiviert werden k\xF6\ + nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a6 + ref_id: SYS.4.3.A6.3 + description: "Weiterhin SOLLTE sichergestellt werden, dass keine Eingabeschnittstellen\ + \ f\xFCr Testsignale und Messpunkte zum Anschluss von Analysatoren aktiviert\ + \ und f\xFCr Unberechtigte nutzbar sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a6.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a6 + ref_id: SYS.4.3.A6.4 + description: Zudem SOLLTEN alle Hardware-Debugging-Schnittstellen deaktiviert + sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 + ref_id: SYS.4.3.A7 + name: Hardware-Realisierung von Funktionen eingebetteter Systeme + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a7 + ref_id: SYS.4.3.A7.1 + description: "Werden eingebettete Systeme selbst entwickelt, SOLLTEN bei der\ + \ Designentscheidung zur Hardware- und Software-Realisierung Sicherheitsaspekte\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a7 + ref_id: SYS.4.3.A7.2 + description: "Auch bei der Entscheidung, eine bestimmte Hardware-Technik zu\ + \ implementieren, SOLLTEN Sicherheitsaspekte ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 + ref_id: SYS.4.3.A8 + name: "Einsatz eines sicheren Betriebssystems f\xFCr eingebettete Systeme" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a8 + ref_id: SYS.4.3.A8.1 + description: "Das eingesetzte Betriebssystem und die Konfiguration des eingebetteten\ + \ Systems SOLLTEN f\xFCr den vorgesehenen Betrieb geeignet sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a8 + ref_id: SYS.4.3.A8.2 + description: "So SOLLTE das Betriebssystem f\xFCr die vorgesehene Aufgabe \xFC\ + ber ausreichende Sicherheitsmechanismen verf\xFCgen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a8 + ref_id: SYS.4.3.A8.3 + description: "Die ben\xF6tigten Dienste und Funktionen SOLLTEN aktiviert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a8 + ref_id: SYS.4.3.A8.4 + description: "Das Betriebssystem SOLLTE es unterst\xFCtzen, ein Trusted Plattform\ + \ Module (TPM) zu nutzen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 + ref_id: SYS.4.3.A9 + name: Einsatz kryptografischer Prozessoren bzw. Koprozessoren bei eingebetteten + Systemen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a9 + ref_id: SYS.4.3.A9.1 + description: "Wird ein zus\xE4tzlicher Mikrocontroller f\xFCr die kryptografischen\ + \ Berechnungen verwendet, SOLLTE dessen Kommunikation mit dem System-Mikrocontroller\ + \ ausreichend abgesichert sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a9 + ref_id: SYS.4.3.A9.2 + description: "F\xFCr das eingebettete System SOLLTEN die n\xF6tigen Vertrauensanker\ + \ realisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a9.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a9 + ref_id: SYS.4.3.A9.3 + description: Auch SOLLTE eine Vertrauenskette (Chain of Trust) implementiert + sein. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 + ref_id: SYS.4.3.A10 + name: Wiederherstellung von eingebetteten Systemen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a10 + ref_id: SYS.4.3.A10.1 + description: "Eingebettete Systeme SOLLTEN \xFCber Rollback-F\xE4higkeiten verf\xFC\ + gen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 + ref_id: SYS.4.3.A11 + name: Sichere Aussonderung eines eingebetteten Systems + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a11 + ref_id: SYS.4.3.A11.1 + description: "Bevor eingebettete Systeme ausgesondert werden, SOLLTEN s\xE4\ + mtliche Daten auf dem System sicher gel\xF6scht werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a11 + ref_id: SYS.4.3.A11.2 + description: "Ist dies nicht m\xF6glich, SOLLTE das System vernichtet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a11.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a11 + ref_id: SYS.4.3.A11.3 + description: "Die L\xF6schung oder Vernichtung SOLLTE dokumentiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 + ref_id: SYS.4.3.A12 + name: "Auswahl einer vertrauensw\xFCrdigen Lieferungs- und Logistikkette sowie\ + \ qualifizierte herstellende Institutionen f\xFCr eingebettete Systeme" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a12 + ref_id: SYS.4.3.A12.1 + description: "Es SOLLTEN in der Logistikkette wirksame Kontrollen durchgef\xFC\ + hrt werden, sodass sichergestellt ist," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a12 + ref_id: SYS.4.3.A12.2 + description: "\u2022 dass eingebettete Systeme keine manipulierten, gef\xE4\ + lschten oder getauschten Komponenten enthalten," + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a12.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a12 + ref_id: SYS.4.3.A12.3 + description: "\u2022 die Systeme der Spezifikation entsprechen und keine verdeckten\ + \ Funktionen bei der Herstellung implementiert wurden sowie" + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a12.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a12 + ref_id: SYS.4.3.A12.4 + description: "\u2022 Unbefugte nicht an vertrauliche Informationen \xFCber das\ + \ eingebettete System gelangen k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a12.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a12 + ref_id: SYS.4.3.A12.5 + description: Die beteiligten Unternehmen SOLLTEN nachweisbar qualifiziert sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 + ref_id: SYS.4.3.A13 + name: Einsatz eines zertifizierten Betriebssystems + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a13 + ref_id: SYS.4.3.A13.1 + description: Das Betriebssystem SOLLTE nach einem anerkannten Standard auf einer + angemessenen Stufe evaluiert sein. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 + ref_id: SYS.4.3.A14 + name: Abgesicherter und authentisierter Bootprozess bei eingebetteten Systemen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a14 + ref_id: SYS.4.3.A14.1 + description: "Der Bootprozess eines eingebetteten Systems SOLLTE abgesichert\ + \ sein, indem der Bootloader die Integrit\xE4t des Betriebssystems \xFCberpr\xFC\ + ft und es nur dann l\xE4dt, wenn es als korrekt eingestuft wurde." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a14 + ref_id: SYS.4.3.A14.2 + description: "Umgekehrt SOLLTE auch das Betriebssystem die Integrit\xE4t des\ + \ Bootloaders pr\xFCfen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a14 + ref_id: SYS.4.3.A14.3 + description: "Es SOLLTE ein mehrstufiges Boot-Konzept mit kryptografisch sicherer\ + \ \xDCberpr\xFCfung der Einzelschritte realisiert werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a14.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a14 + ref_id: SYS.4.3.A14.4 + description: Sichere Hardware-Vertrauensanker SOLLTEN verwendet werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a14.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a14 + ref_id: SYS.4.3.A14.5 + description: Bei einem ARM-basierten eingebetteten System SOLLTE ARM Secure + Boot genutzt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a14.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a14 + ref_id: SYS.4.3.A14.6 + description: Bei einem Unified Extensible Firmware Interface (UEFI) SOLLTE Secure + Boot genutzt werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 + ref_id: SYS.4.3.A15 + name: Speicherschutz bei eingebetteten Systemen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a15 + ref_id: SYS.4.3.A15.1 + description: "Bereits beim Entwurf eingebetteter Systeme SOLLTEN Speicherschutzmechanismen\ + \ ber\xFCcksichtigt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a15 + ref_id: SYS.4.3.A15.2 + description: "Die Art des Speicherschutzes sowie Anzahl und Gr\xF6\xDFe der\ + \ Schutzr\xE4ume SOLLTEN f\xFCr den Einsatzzweck angemessen sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 + ref_id: SYS.4.3.A16 + name: Tamper-Schutz bei eingebetteten Systemen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a16 + ref_id: SYS.4.3.A16.1 + description: "F\xFCr eingebettete Systeme SOLLTE ein Tamper-Schutz-Konzept entwickelt\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a16 + ref_id: SYS.4.3.A16.2 + description: Es SOLLTEN angemessene Mechanismen etabliert werden, die Tamper-Angriffe + erkennen, aufzeichnen und verhindern. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a16 + ref_id: SYS.4.3.A16.3 + description: "Schlie\xDFlich SOLLTEN angemessene Vorgaben etabliert werden,\ + \ wie auf einen Tamper-Angriff zu reagieren ist." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 + ref_id: SYS.4.3.A17 + name: "Automatische \xDCberwachung der Baugruppenfunktion" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a17 + ref_id: SYS.4.3.A17.1 + description: "S\xE4mtliche Baugruppen eines eingebetteten Systems mit erh\xF6\ + hten Anforderungen an die Verf\xFCgbarkeit und Integrit\xE4t SOLLTEN integrierte\ + \ Selbsttesteinrichtungen (Built-in Self-Test, BIST) besitzen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a17 + ref_id: SYS.4.3.A17.2 + description: "Tests SOLLTEN w\xE4hrend des Einschaltvorgangs sowie in angemessenen\ + \ zeitlichen Intervallen w\xE4hrend des Betriebs die Integrit\xE4t des Systems\ + \ pr\xFCfen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a17.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a17 + ref_id: SYS.4.3.A17.3 + description: "Soweit m\xF6glich, SOLLTEN die Selbsttestfunktionen auch Sicherheitsfunktionen\ + \ und Sicherheitseigenschaften der Baugruppe \xFCberpr\xFCfen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a17.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a17 + ref_id: SYS.4.3.A17.4 + description: "Regelm\xE4\xDFig SOLLTE die Integrit\xE4t der Speicher und I/O-Komponenten\ + \ im Rahmen des BIST gepr\xFCft werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a17.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a17 + ref_id: SYS.4.3.A17.5 + description: "Bestehende BIST-Funktionen SOLLTEN, falls m\xF6glich, um die erforderlichen\ + \ Funktionen erg\xE4nzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3 + ref_id: SYS.4.3.A18 + name: "Widerstandsf\xE4higkeit eingebetteter Systeme gegen Seitenkanalangriffe" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.3.a18 + ref_id: SYS.4.3.A18.1 + description: Es SOLLTEN angemessene Vorkehrungen gegen nicht-invasive und (semi-)invasive + Seitenkanalangriffe getroffen werden. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys + ref_id: SYS.4.4 + name: "Allgemeines IoT-Ger\xE4t" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 + ref_id: SYS.4.4.A1 + name: "Einsatzkriterien f\xFCr IoT-Ger\xE4te" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a1 + ref_id: SYS.4.4.A1.1 + description: "IoT-Ger\xE4te M\xDCSSEN Update-Funktionen besitzen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a1 + ref_id: SYS.4.4.A1.2 + description: "Die herstellenden Unternehmen M\xDCSSEN einen Update-Prozess anbieten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a1 + ref_id: SYS.4.4.A1.3 + description: "Die Ger\xE4te M\xDCSSEN eine angemessene Authentisierung erm\xF6\ + glichen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a1.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a1 + ref_id: SYS.4.4.A1.4 + description: "Es D\xDCRFEN KEINE fest codierten oder herzuleitenden Zugangsdaten\ + \ in den Ger\xE4ten enthalten sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 + ref_id: SYS.4.4.A2 + name: Authentisierung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a2 + ref_id: SYS.4.4.A2.1 + description: Eine angemessene Authentisierung MUSS aktiviert sein. + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a2 + ref_id: SYS.4.4.A2.2 + description: "IoT-Gerate M\xDCSSEN in das Identit\xE4ts- und Berechtigungsmanagement\ + \ der Institution integriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 + ref_id: SYS.4.4.A5 + name: "Einschr\xE4nkung des Netzzugriffs" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a5 + ref_id: SYS.4.4.A5.1 + description: "Der Netzzugriff von IoT-Ger\xE4ten MUSS auf das erforderliche\ + \ Minimum eingeschr\xE4nkt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a5 + ref_id: SYS.4.4.A5.2 + description: "Dies SOLLTE regelm\xE4\xDFig kontrolliert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a5.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a5 + ref_id: SYS.4.4.A5.3 + description: 'Dazu SOLLTEN folgende Punkte beachtet werden:' + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a5.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a5 + ref_id: SYS.4.4.A5.4 + description: "\u2022 Bei Verkehrskontrollen an Netz\xFCberg\xE4ngen, z. B. durch\ + \ Regelwerke auf Firewalls und Access Control Lists (ACLs) auf Routern, D\xDC\ + RFEN NUR zuvor definierte ein- und ausgehende Verbindungen erlaubt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a5.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a5 + ref_id: SYS.4.4.A5.5 + description: "\u2022 Die Routings auf IoT-Ger\xE4ten und Sensoren, insbesondere\ + \ die Unterdr\xFCckung von Default-Routen, SOLLTE restriktiv konfiguriert\ + \ werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a5.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a5 + ref_id: SYS.4.4.A5.6 + description: "\u2022 Die IoT-Ger\xE4te und Sensoren SOLLTEN in einem eigenen\ + \ Netzsegment betrieben werden, das ausschlie\xDFlich mit dem Netzsegment\ + \ f\xFCr das Management kommunizieren darf." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a5.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a5 + ref_id: SYS.4.4.A5.7 + description: "\u2022 Virtual Private Networks (VPNs) zwischen den Netzen mit\ + \ IoT-Ger\xE4ten und Sensor-Netzen und den Management-Netzen SOLLTEN restriktiv\ + \ konfiguriert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a5.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a5 + ref_id: SYS.4.4.A5.8 + description: "\u2022 Die UPnP-Funktion MUSS an allen Routern deaktiviert sein." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 + ref_id: SYS.4.4.A6 + name: "Aufnahme von IoT-Ger\xE4ten in die Sicherheitsrichtlinie der Institution" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a6 + ref_id: SYS.4.4.A6.1 + description: "In der allgemeinen Sicherheitsrichtlinie der Institution SOLLTEN\ + \ die Anforderungen an IoT-Ger\xE4te konkretisiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a6 + ref_id: SYS.4.4.A6.2 + description: "Die Richtlinie SOLLTE allen Personen, die IoT-Ger\xE4te beschaffen\ + \ und betreiben, bekannt und Grundlage f\xFCr deren Arbeit sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a6 + ref_id: SYS.4.4.A6.3 + description: "Die Umsetzung der in der Richtlinie geforderten Inhalte SOLLTE\ + \ regelm\xE4\xDFig \xFCberpr\xFCft und die Ergebnisse sinnvoll dokumentiert\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 + ref_id: SYS.4.4.A7 + name: "Planung des Einsatzes von IoT-Ger\xE4ten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a7 + ref_id: SYS.4.4.A7.1 + description: "Um einen sicheren Betrieb von IoT-Ger\xE4ten zu gew\xE4hrleisten,\ + \ SOLLTE im Vorfeld geplant werden, wo und wie diese eingesetzt werden sollen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a7.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a7 + ref_id: SYS.4.4.A7.2 + description: "Die Planung SOLLTE dabei nicht nur Aspekte betreffen, die klassischerweise\ + \ mit dem Begriff Informationssicherheit verkn\xFCpft werden, sondern auch\ + \ normale, betriebliche Aspekte, die Anforderungen im Bereich der Sicherheit\ + \ nach sich ziehen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a7.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a7 + ref_id: SYS.4.4.A7.3 + description: Alle Entscheidungen, die in der Planungsphase getroffen wurden, + SOLLTEN geeignet dokumentiert werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a8 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 + ref_id: SYS.4.4.A8 + name: "Beschaffungskriterien f\xFCr IoT-Ger\xE4te" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a8.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a8 + ref_id: SYS.4.4.A8.1 + description: "Der oder die ISB SOLLTE bei allen Beschaffungen von IoT-Ger\xE4\ + ten mit einbezogen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a8.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a8 + ref_id: SYS.4.4.A8.2 + description: "Bevor IoT-Ger\xE4te beschafft werden, SOLLTE festgelegt werden,\ + \ welche Sicherheitsanforderungen diese erf\xFCllen m\xFCssen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a8.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a8 + ref_id: SYS.4.4.A8.3 + description: "Bei der Beschaffung von IoT-Ger\xE4ten SOLLTEN Aspekte der materiellen\ + \ Sicherheit ebenso wie Anforderungen an die Sicherheitseigenschaften der\ + \ Software ausreichend ber\xFCcksichtigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a8.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a8 + ref_id: SYS.4.4.A8.4 + description: "Eine Anforderungsliste SOLLTE erstellt werden, anhand derer die\ + \ am Markt erh\xE4ltlichen Produkte bewertet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a9 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 + ref_id: SYS.4.4.A9 + name: "Regelung des Einsatzes von IoT-Ger\xE4ten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a9.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a9 + ref_id: SYS.4.4.A9.1 + description: "F\xFCr jedes IoT-Ger\xE4t SOLLTE eine zust\xE4ndige Person f\xFC\ + r dessen Betrieb benannt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a9.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a9 + ref_id: SYS.4.4.A9.2 + description: "Die Zust\xE4ndigen SOLLTEN ausreichend \xFCber den Umgang mit\ + \ dem IoT-Ger\xE4t informiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 + ref_id: SYS.4.4.A10 + name: "Sichere Installation und Konfiguration von IoT-Ger\xE4ten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a10 + ref_id: SYS.4.4.A10.1 + description: "Es SOLLTE festgelegt werden, unter welchen Rahmenbedingungen IoT-Ger\xE4\ + te installiert und konfiguriert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a10.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a10 + ref_id: SYS.4.4.A10.2 + description: "Die IoT-Ger\xE4te SOLLTEN nur von autorisierten Personen (Zust\xE4\ + ndige f\xFCr IoT-Ger\xE4te, Administrierende oder vertraglich gebundene Dienstleistende)\ + \ nach einem definierten Prozess installiert und konfiguriert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a10.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a10 + ref_id: SYS.4.4.A10.3 + description: Alle Installations- und Konfigurationsschritte SOLLTEN so dokumentiert + werden, dass die Installation und Konfiguration durch sachkundige Dritte anhand + der Dokumentation nachvollzogen und wiederholt werden kann. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a10.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a10 + ref_id: SYS.4.4.A10.4 + description: "Die Grundeinstellungen von IoT-Ger\xE4ten SOLLTEN \xFCberpr\xFC\ + ft und n\xF6tigenfalls entsprechend den Vorgaben der Sicherheitsrichtlinie\ + \ angepasst werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a10.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a10 + ref_id: SYS.4.4.A10.5 + description: "Falls m\xF6glich, SOLLTEN IoT-Ger\xE4te erst mit Datennetzen verbunden\ + \ werden, nachdem die Installation und die Konfiguration abgeschlossen sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 + ref_id: SYS.4.4.A11 + name: "Verwendung von verschl\xFCsselter Daten\xFCbertragung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a11 + ref_id: SYS.4.4.A11.1 + description: "IoT-Ger\xE4te SOLLTEN Daten nur verschl\xFCsselt \xFCbertragen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 + ref_id: SYS.4.4.A13 + name: "Deaktivierung und Deinstallation nicht ben\xF6tigter Komponenten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a13 + ref_id: SYS.4.4.A13.1 + description: "Nach der Installation SOLLTE \xFCberpr\xFCft werden, welche Protokolle,\ + \ Anwendungen und weiteren Tools auf den IoT-Ger\xE4ten installiert und aktiviert\ + \ sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a13 + ref_id: SYS.4.4.A13.2 + description: "Nicht ben\xF6tigte Protokolle, Dienste, Anmeldekennungen und Schnittstellen\ + \ SOLLTEN deaktiviert oder ganz deinstalliert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a13 + ref_id: SYS.4.4.A13.3 + description: "Die Verwendung von nicht ben\xF6tigten Funkschnittstellen SOLLTE\ + \ unterbunden werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a13.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a13 + ref_id: SYS.4.4.A13.4 + description: "Wenn dies nicht am Ger\xE4t selber m\xF6glich ist, SOLLTEN nicht\ + \ ben\xF6tigte Dienste \xFCber die Firewall eingeschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a13.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a13 + ref_id: SYS.4.4.A13.5 + description: "Die getroffenen Entscheidungen SOLLTEN so dokumentiert werden,\ + \ dass nachvollzogen werden kann, welche Konfiguration f\xFCr die IoT-Ger\xE4\ + te gew\xE4hlt wurden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 + ref_id: SYS.4.4.A15 + name: Restriktive Rechtevergabe + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a15 + ref_id: SYS.4.4.A15.1 + description: "Die Zugriffsberechtigungen auf IoT-Ger\xE4te SOLLTEN m\xF6glichst\ + \ restriktiv vergeben werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a15 + ref_id: SYS.4.4.A15.2 + description: "Wenn dies \xFCber die IoT-Ger\xE4te selber nicht m\xF6glich ist,\ + \ SOLLTE \xFCberlegt werden, dies netzseitig zu regeln." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 + ref_id: SYS.4.4.A16 + name: "Beseitigung von Schadprogrammen auf IoT-Ger\xE4ten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a16 + ref_id: SYS.4.4.A16.1 + description: "Der IT-Betrieb SOLLTE sich regelm\xE4\xDFig informieren, ob sich\ + \ die eingesetzten IoT-Ger\xE4te mit Schadprogrammen infizieren k\xF6nnten\ + \ und wie Infektionen beseitigt werden k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a16.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a16 + ref_id: SYS.4.4.A16.2 + description: "Schadprogramme SOLLTEN unverz\xFCglich beseitigt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a16.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a16 + ref_id: SYS.4.4.A16.3 + description: "Kann die Ursache f\xFCr die Infektion nicht behoben bzw. eine\ + \ Neuinfektion nicht wirksam verhindert werden, SOLLTEN die betroffenen IoT-Ger\xE4\ + te nicht mehr verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 + ref_id: SYS.4.4.A17 + name: "\xDCberwachung des Netzverkehrs von IoT-Ger\xE4ten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a17 + ref_id: SYS.4.4.A17.1 + description: "Es SOLLTE \xFCberwacht werden, ob die IoT-Ger\xE4te oder Sensor-Systeme\ + \ nur mit IT-Systemen kommunizieren, die f\xFCr den Betrieb der IoT-Ger\xE4\ + te notwendig sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a18 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 + ref_id: SYS.4.4.A18 + name: "Protokollierung sicherheitsrelevanter Ereignisse bei IoT-Ger\xE4ten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a18.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a18 + ref_id: SYS.4.4.A18.1 + description: Sicherheitsrelevante Ereignisse SOLLTEN automatisch protokolliert + werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a18.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a18 + ref_id: SYS.4.4.A18.2 + description: "Falls dies durch die IoT-Ger\xE4te selber nicht m\xF6glich ist,\ + \ SOLLTEN hierf\xFCr Router oder Protokollmechanismen anderer IT-Systeme genutzt\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a18.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a18 + ref_id: SYS.4.4.A18.3 + description: Die Protokolle SOLLTEN geeignet ausgewertet werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a19 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 + ref_id: SYS.4.4.A19 + name: Schutz der Administrationsschnittstellen + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a19.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a19 + ref_id: SYS.4.4.A19.1 + description: "Abh\xE4ngig davon, ob IoT-Ger\xE4te lokal, direkt \xFCber das\ + \ Netz oder \xFCber zentrale netzbasierte Tools administriert werden, SOLLTEN\ + \ geeignete Sicherheitsvorkehrungen getroffen werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a19.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a19 + ref_id: SYS.4.4.A19.2 + description: "Der Zugriff auf die Administrationsschnittstellen von IoT-Ger\xE4\ + ten SOLLTE wie folgt eingeschr\xE4nkt werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a19.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a19 + ref_id: SYS.4.4.A19.3 + description: "\u2022 Netzbasierte Administrationsschnittstellen SOLLTEN auf\ + \ berechtigte IT-Systeme bzw. Netzsegmente beschr\xE4nkt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a19.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a19 + ref_id: SYS.4.4.A19.4 + description: "\u2022 Es SOLLTEN bevorzugt lokale Administrationsschnittstellen\ + \ am IoT-Ger\xE4t oder Administrationsschnittstellen \xFCber lokale Netze\ + \ verwendet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a19.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a19 + ref_id: SYS.4.4.A19.5 + description: Die zur Administration verwendeten Methoden SOLLTEN in der Sicherheitsrichtlinie + festgelegt werden. + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a19.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a19 + ref_id: SYS.4.4.A19.6 + description: "Die IoT-Ger\xE4te SOLLTEN entsprechend der Sicherheitsrichtlinie\ + \ administriert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a20 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 + ref_id: SYS.4.4.A20 + name: "Geregelte Au\xDFerbetriebnahme von IoT-Ger\xE4ten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a20.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a20 + ref_id: SYS.4.4.A20.1 + description: "Es SOLLTE eine \xDCbersicht dar\xFCber geben, welche Daten wo\ + \ auf IoT-Ger\xE4ten gespeichert sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a20.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a20 + ref_id: SYS.4.4.A20.2 + description: "Es SOLLTE eine Checkliste erstellt werden, die bei der Au\xDF\ + erbetriebnahme von IoT-Ger\xE4ten abgearbeitet werden kann." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a20.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a20 + ref_id: SYS.4.4.A20.3 + description: "Diese Checkliste SOLLTE mindestens Aspekte zur Datensicherung\ + \ weiterhin ben\xF6tigter Daten und dem anschlie\xDFenden sicheren L\xF6schen\ + \ aller Daten umfassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a21 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 + ref_id: SYS.4.4.A21 + name: Einsatzumgebung und Stromversorgung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a21.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a21 + ref_id: SYS.4.4.A21.1 + description: "Es SOLLTE gekl\xE4rt werden, ob IoT-Ger\xE4te in der angedachten\ + \ Einsatzumgebung betrieben werden d\xFCrfen (Schutzbedarf anderer IT-Systeme,\ + \ Datenschutz)." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a21.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a21 + ref_id: SYS.4.4.A21.2 + description: "IoT-Ger\xE4te SOLLTEN in der Einsatzumgebung vor Diebstahl, Zerst\xF6\ + rung und Manipulation gesch\xFCtzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a21.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a21 + ref_id: SYS.4.4.A21.3 + description: "Es SOLLTE gekl\xE4rt sein, ob ein IoT-Ger\xE4t bestimmte Anforderungen\ + \ an die physische Einsatzumgebung hat, wie z. B. Luftfeuchtigkeit, Temperatur\ + \ oder Energieversorgung." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a21.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a21 + ref_id: SYS.4.4.A21.4 + description: "Falls erforderlich, SOLLTEN daf\xFCr erg\xE4nzende Ma\xDFnahmen\ + \ bei der Infrastruktur umgesetzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a21.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a21 + ref_id: SYS.4.4.A21.5 + description: "Wenn IoT-Ger\xE4te mit Batterien betrieben werden, SOLLTE der\ + \ regelm\xE4\xDFige Funktionstest und Austausch der Batterien geregelt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a21.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a21 + ref_id: SYS.4.4.A21.6 + description: "IoT-Ger\xE4te SOLLTEN entsprechend ihrer vorgesehenen Einsatzart\ + \ und dem vorgesehenen Einsatzort vor Staub und Verschmutzungen gesch\xFC\ + tzt werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a22 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 + ref_id: SYS.4.4.A22 + name: "System\xFCberwachung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a22.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a22 + ref_id: SYS.4.4.A22.1 + description: "Die IoT-Ger\xE4te SOLLTEN in ein geeignetes System\xFCberwachungs-\ + \ bzw. Monitoringkonzept eingebunden werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a22.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a22 + ref_id: SYS.4.4.A22.2 + description: "Der Systemzustand und die Funktionsf\xE4higkeit der IoT-Ger\xE4\ + te SOLLTEN laufend \xFCberwacht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a22.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a22 + ref_id: SYS.4.4.A22.3 + description: "Fehlerzust\xE4nde sowie die \xDCberschreitung definierter Grenzwerte\ + \ SOLLTEN an das Betriebspersonal gemeldet werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a22.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a22 + ref_id: SYS.4.4.A22.4 + description: "Es SOLLTE gepr\xFCft werden, ob die verwendeten Ger\xE4te die\ + \ Anforderung an die Verf\xFCgbarkeit erf\xFCllen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a22.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a22 + ref_id: SYS.4.4.A22.5 + description: "Alternativ SOLLTE gepr\xFCft werden, ob weitere Ma\xDFnahmen,\ + \ wie das Einrichten eines Clusters oder die Beschaffung von Standby-Ger\xE4\ + ten, erforderlich sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a23 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 + ref_id: SYS.4.4.A23 + name: "Auditierung von IoT-Ger\xE4ten" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a23.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a23 + ref_id: SYS.4.4.A23.1 + description: "Alle eingesetzten IoT-Ger\xE4te SOLLTEN regelm\xE4\xDFig auditiert\ + \ werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a24 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4 + ref_id: SYS.4.4.A24 + name: Sichere Konfiguration und Nutzung eines eingebetteten Webservers + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a24.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a24 + ref_id: SYS.4.4.A24.1 + description: "In IoT-Ger\xE4ten integrierte Webserver SOLLTEN m\xF6glichst restriktiv\ + \ konfiguriert sein." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a24.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.4.a24 + ref_id: SYS.4.4.A24.2 + description: "Der Webserver SOLLTE, soweit m\xF6glich, NICHT unter einem privilegierten\ + \ Konto betrieben werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys + ref_id: SYS.4.5 + name: "Wechseldatentr\xE4ger" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5 + ref_id: SYS.4.5.A1 + name: "Sensibilisierung zum sicheren Umgang mit Wechseldatentr\xE4gern" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a1.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a1 + ref_id: SYS.4.5.A1.1 + description: "Alle Benutzenden M\xDCSSEN f\xFCr den sicheren Umgang mit Wechseldatentr\xE4\ + gern sensibilisiert werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a1.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a1 + ref_id: SYS.4.5.A1.2 + description: "Die Institution MUSS insbesondere darauf hinweisen, wie die Benutzenden\ + \ mit Wechseldatentr\xE4gern umgehen sollten, um einem Verlust oder Diebstahl\ + \ vorzubeugen und eine lange Lebensdauer zu gew\xE4hrleisten." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a1.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a1 + ref_id: SYS.4.5.A1.3 + description: "Die Institution MUSS die Benutzenden dar\xFCber informieren, dass\ + \ sie keine Wechseldatentr\xE4ger, die aus unbekannten Quellen stammen, an\ + \ ihre IT-Systeme anschlie\xDFen d\xFCrfen." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5 + ref_id: SYS.4.5.A2 + name: Verlust- und Manipulationsmeldung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a2.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a2 + ref_id: SYS.4.5.A2.1 + description: "Die Benutzenden M\xDCSSEN umgehend melden, wenn ein Wechseldatentr\xE4\ + ger gestohlen oder verloren wurde oder der Verdacht einer Manipulation besteht." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a2.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a2 + ref_id: SYS.4.5.A2.2 + description: "Die Benutzenden M\xDCSSEN bei ihrer Meldung angeben, welche Informationen\ + \ auf dem Wechseldatentr\xE4ger gespeichert sind." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a2.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a2 + ref_id: SYS.4.5.A2.3 + description: "Hierf\xFCr MUSS es in der Institution klare Meldewege und Zust\xE4\ + ndigkeiten geben." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a2.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a2 + ref_id: SYS.4.5.A2.4 + description: "Die Institution MUSS festlegen, wie Wechseldatentr\xE4ger behandelt\ + \ werden sollen, die nach einem Verlust wiedergefunden wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a2.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a2 + ref_id: SYS.4.5.A2.5 + description: "Wiedergefundene Wechseldatentr\xE4ger D\xDCRFEN NICHT ohne vorherige\ + \ \xDCberpr\xFCfung auf Manipulation und Schadsoftware verwendet werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5 + ref_id: SYS.4.5.A4 + name: "Erstellung einer Richtlinie zum sicheren Umgang mit Wechseldatentr\xE4\ + gern" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4 + ref_id: SYS.4.5.A4.1 + description: "Es SOLLTE eine Richtlinie f\xFCr den richtigen Umgang mit Wechseldatentr\xE4\ + gern erstellt werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4 + ref_id: SYS.4.5.A4.2 + description: "Folgende grundlegenden Aspekte SOLLTEN dabei ber\xFCcksichtigt\ + \ werden:" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4 + ref_id: SYS.4.5.A4.3 + description: "\u2022 welche Wechseldatentr\xE4ger genutzt werden und wer diese\ + \ einsetzen darf," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4.4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4 + ref_id: SYS.4.5.A4.4 + description: "\u2022 welche Daten auf Wechseldatentr\xE4gern gespeichert werden\ + \ d\xFCrfen und welche nicht," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4.5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4 + ref_id: SYS.4.5.A4.5 + description: "\u2022 wie die auf Wechseldatentr\xE4gern gespeicherten Daten\ + \ vor unbefugtem Zugriff, Manipulation und Verlust gesch\xFCtzt werden," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4.6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4 + ref_id: SYS.4.5.A4.6 + description: "\u2022 wie die Daten auf den Wechseldatentr\xE4gern gel\xF6scht\ + \ werden sollen," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4.7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4 + ref_id: SYS.4.5.A4.7 + description: "\u2022 mit welchen externen Institutionen Wechseldatentr\xE4ger\ + \ ausgetauscht werden d\xFCrfen und welche Sicherheitsregelungen dabei zu\ + \ beachten sind," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4.8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4 + ref_id: SYS.4.5.A4.8 + description: "\u2022 ob Wechseldatentr\xE4ger an fremde IT-Systeme angeschlossen\ + \ werden d\xFCrfen und was dabei zu beachten ist," + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4.9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4 + ref_id: SYS.4.5.A4.9 + description: "\u2022 wie Wechseldatentr\xE4ger zu versenden sind sowie" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4.10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4 + ref_id: SYS.4.5.A4.10 + description: "\u2022 wie der Verbreitung von Schadsoftware \xFCber Wechseldatentr\xE4\ + ger vorgebeugt wird." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4.11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4 + ref_id: SYS.4.5.A4.11 + description: "Die Institution SOLLTE in der Sicherheitsrichtlinie festlegen,\ + \ unter welchen Bedingungen Wechseldatentr\xE4ger gelagert werden sollen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4.12 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4 + ref_id: SYS.4.5.A4.12 + description: "Insbesondere SOLLTE die Institution vorgeben, dass nur berechtigte\ + \ Benutzende Zugang zu beschriebenen Wechseldatentr\xE4gern haben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4.13 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4 + ref_id: SYS.4.5.A4.13 + description: "Die Institution SOLLTE festlegen, dass Angaben des herstellenden\ + \ Unternehmens zum Umgang mit Datentr\xE4gern ber\xFCcksichtigt werden m\xFC\ + ssen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4.14 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4 + ref_id: SYS.4.5.A4.14 + description: "Die Institution SOLLTE die Verwendung von privaten Wechseldatentr\xE4\ + gern untersagen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4.15 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a4 + ref_id: SYS.4.5.A4.15 + description: "Es SOLLTE regelm\xE4\xDFig \xFCberpr\xFCft werden, ob die Sicherheitsvorgaben\ + \ f\xFCr den Umgang mit Wechseldatentr\xE4gern aktuell sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a5 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5 + ref_id: SYS.4.5.A5 + name: "Regelung zur Mitnahme von Wechseldatentr\xE4gern" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a5.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a5 + ref_id: SYS.4.5.A5.1 + description: "Es SOLLTE klare schriftliche Regeln dazu geben, ob, wie und zu\ + \ welchen Anl\xE4ssen Wechseldatentr\xE4ger mitgenommen werden d\xFCrfen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a5.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a5 + ref_id: SYS.4.5.A5.2 + description: "Insbesondere SOLLTE festgelegt sein, welche Wechseldatentr\xE4\ + ger von wem au\xDFer Haus transportiert werden d\xFCrfen und welche Sicherheitsma\xDF\ + nahmen dabei zu beachten sind." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a6 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5 + ref_id: SYS.4.5.A6 + name: "Datentr\xE4gerverwaltung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a6.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a6 + ref_id: SYS.4.5.A6.1 + description: "Es SOLLTE eine Verwaltung f\xFCr Wechseldatentr\xE4ger geben." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a6.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a6 + ref_id: SYS.4.5.A6.2 + description: "Die Wechseldatentr\xE4ger SOLLTEN einheitlich gekennzeichnet werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a6.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a6 + ref_id: SYS.4.5.A6.3 + description: "Die Verwaltung f\xFCr Wechseldatentr\xE4ger SOLLTE gew\xE4hrleisten,\ + \ dass Wechseldatentr\xE4ger sachgerecht behandelt und aufbewahrt sowie ordnungsgem\xE4\ + \xDF eingesetzt und transportiert werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a7 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5 + ref_id: SYS.4.5.A7 + name: "Sicheres L\xF6schen der Wechseldatentr\xE4ger vor und nach der Verwendung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a7.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a7 + ref_id: SYS.4.5.A7.1 + description: "Bevor Wechseldatentr\xE4ger weitergegeben, wiederverwendet oder\ + \ ausgesondert werden, SOLLTEN sie in geeigneter Weise sicher gel\xF6scht\ + \ werden." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a10 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5 + ref_id: SYS.4.5.A10 + name: "Datentr\xE4gerverschl\xFCsselung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a10.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a10 + ref_id: SYS.4.5.A10.1 + description: "Wenn Wechseldatentr\xE4ger au\xDFerhalb eines sicheren Bereiches\ + \ verwendet oder transportiert werden und dabei schutzbed\xFCrftige Daten\ + \ enthalten, M\xDCSSEN die Daten mit einem sicheren Verfahren verschl\xFC\ + sselt werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a11 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5 + ref_id: SYS.4.5.A11 + name: "Integrit\xE4tsschutz durch Checksummen oder digitale Signaturen" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a11.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a11 + ref_id: SYS.4.5.A11.1 + description: "Es SOLLTE ein Verfahren zum Schutz gegen zuf\xE4llige oder vors\xE4\ + tzliche Ver\xE4nderungen eingesetzt werden, mit dem die Integrit\xE4t von\ + \ vertraulichen Informationen sichergestellt wird." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a11.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a11 + ref_id: SYS.4.5.A11.2 + description: "Die Verfahren zum Schutz vor Ver\xE4nderungen SOLLTEN dem aktuellen\ + \ Stand der Technik entsprechen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a12 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5 + ref_id: SYS.4.5.A12 + name: Schutz vor Schadsoftware + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a12.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a12 + ref_id: SYS.4.5.A12.1 + description: "Die Institution MUSS sicherstellen, dass nur Daten auf Wechseldatentr\xE4\ + ger \xFCbertragen werden, die auf Schadsoftware \xFCberpr\xFCft wurden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a12.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a12 + ref_id: SYS.4.5.A12.2 + description: "Bevor Daten von Wechseldatentr\xE4gern verarbeitet werden, M\xDC\ + SSEN sie auf Schadsoftware \xFCberpr\xFCft werden." + implementation_groups: + - B + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a13 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5 + ref_id: SYS.4.5.A13 + name: "Kennzeichnung der Wechseldatentr\xE4ger beim Versand" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a13.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a13 + ref_id: SYS.4.5.A13.1 + description: "Wechseldatentr\xE4ger, die versendet werden sollen, SOLLTEN so\ + \ gekennzeichnet werden, dass die Absendenden und die Empfangenden sie sofort\ + \ identifizieren k\xF6nnen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a13.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a13 + ref_id: SYS.4.5.A13.2 + description: "Die Kennzeichnung der Wechseldatentr\xE4ger oder deren Verpackung\ + \ SOLLTE f\xFCr die Empfangenden eindeutig sein." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a13.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a13 + ref_id: SYS.4.5.A13.3 + description: "Die Kennzeichnung von Wechseldatentr\xE4gern mit sch\xFCtzenswerten\ + \ Informationen SOLLTE f\xFCr Au\xDFenstehende keine R\xFCckschl\xFCsse auf\ + \ Art und Inhalte der Informationen zulassen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a14 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5 + ref_id: SYS.4.5.A14 + name: Sichere Versandart und Verpackung + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a14.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a14 + ref_id: SYS.4.5.A14.1 + description: "Die Institution SOLLTE \xFCberpr\xFCfen, wie vertrauliche Informationen\ + \ bei einem Versand angemessen gesch\xFCtzt werden k\xF6nnen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a14.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a14 + ref_id: SYS.4.5.A14.2 + description: "Es SOLLTE eine sichere Versandverpackung f\xFCr Wechseldatentr\xE4\ + ger verwendet werden, bei der Manipulationen sofort zu erkennen sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a14.3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a14 + ref_id: SYS.4.5.A14.3 + description: Die Institution SOLLTE alle Beteiligten auf notwendige Versand- + und Verpackungsarten hinweisen. + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a15 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5 + ref_id: SYS.4.5.A15 + name: "Verwendung zertifizierter Wechseldatentr\xE4ger" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a15.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a15 + ref_id: SYS.4.5.A15.1 + description: "Die Institution SOLLTE nur Wechseldatentr\xE4ger verwenden, die\ + \ zertifiziert sind." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a15.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a15 + ref_id: SYS.4.5.A15.2 + description: "Die Zertifizierung SOLLTE insbesondere eine integere Datenerhaltung\ + \ sowie m\xF6glicherweise vorhandene Verschl\xFCsselungsverfahren umfassen." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a16 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5 + ref_id: SYS.4.5.A16 + name: "Nutzung dedizierter IT-Systeme zur Datenpr\xFCfung" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a16.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a16 + ref_id: SYS.4.5.A16.1 + description: "Die Institution SOLLTE dedizierte IT-Systeme als Datenschleuse\ + \ verwenden, bei denen Daten von einem Wechseldatentr\xE4ger auf einen anderen\ + \ \xFCbertragen werden und dabei auf Schadsoftware untersucht werden." + implementation_groups: + - E + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a17 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5 + ref_id: SYS.4.5.A17 + name: "Gew\xE4hrleistung der Integrit\xE4t und Verf\xFCgbarkeit bei Langzeitspeichern" + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a17.1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a17 + ref_id: SYS.4.5.A17.1 + description: "Falls Wechseldatentr\xE4ger verwendet werden, um Daten f\xFCr\ + \ lange Zeitr\xE4ume zu speichern, SOLLTE die Institution sicherstellen, dass\ + \ die verwendeten Wechseldatentr\xE4ger geeignet sind, um die Integrit\xE4\ + t und Verf\xFCgbarkeit der Daten w\xE4hrend des gesamten Nutzungszeitraums\ + \ sicherzustellen." + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a17.2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:it-grundschutz-kompendium-2023:sys.4.5.a17 + ref_id: SYS.4.5.A17.2 + description: "Die Integrit\xE4t der Daten SOLLTE regelm\xE4\xDFig \xFCberpr\xFC\ + ft werden." + implementation_groups: + - S diff --git a/tools/bsi/it-grundschutz-kompendium-2023.xlsx b/tools/bsi/it-grundschutz-kompendium-2023.xlsx new file mode 100644 index 000000000..b49d6ba3b Binary files /dev/null and b/tools/bsi/it-grundschutz-kompendium-2023.xlsx differ