BSIT Golden Rules

Goldene Regeln GR 1.0

www.bsi.bund.de/grundschutz

GR 1.0 Sicherheitsmanagement

Mit (Informations-)Sicherheitsmanagement wird die Planungs- und Lenkungsaufgabe bezeichnet,die erforderlich ist, um einen durchdachten und wirksamen Prozess zur Herstellungvon Informationssicherheit aufzubauen und kontinuierlich umzusetzen. Ein funktionierendesSicherheitsmanagement muss in die existierenden Managementstrukturen einer jeden Institutioneingebettet werden.

- Die Leitungsebene muss die Gesamtverantwortung fr Informationssicherheit in der Institutionbernehmen.

- Die Leitungsebene muss eine bergeordnete Leitlinie zur Informationssicherheit verabschieden,die den Stellenwert der Informationssicherheit, die Sicherheitsziele und die wichtigsten Aspekteder Sicherheitsstrategie beschreibt.

- Die Sicherheitsleitlinie muss allen Mitarbeitern und sonstigen Mitgliedern der Institution bekanntgegeben werden.

- Die Leitungsebene muss einen IT-Sicherheitsbeauftragten benennen, der dieInformationssicherheit in der Institution frdert und den Sicherheitsprozess steuert und koordiniert.

- Der IT-Sicherheitsbeauftragte muss mit angemessenen Ressourcen ausgestattet werden undberichtet bei Bedarf direkt an die Leitungsebene.

- Im Rahmen des Sicherheitsprozesses mssen fr die gesamte Informationsverarbeitungausfhrliche und angemessene Sicherheitsmanahmen festgelegt werden.

- Alle Sicherheitsmanahmen mssen systematisch in Sicherheitskonzepten dokumentiert undregelmig aktualisiert werden.

- Der Sicherheitsprozess und die Sicherheitskonzepte mssen die individuell geltenden Vorschriftenund Regelungen bercksichtigen. Sie sollten auf anerkannten Standards basieren.

- Alle Mitarbeiter der Institution und sonstige relevante Personen (wie extern Beschftigteoder Projektmitarbeiter) mssen systematisch und zielgruppengerecht zu Sicherheitsrisikensensibilisiert und zu Fragen der Informationssicherheit geschult werden.

- Der Sicherheitsprozess, die Sicherheitskonzepte, die Leitlinie zur Informationssicherheit unddie Organisationsstruktur fr Informationssicherheit mssen regelmig auf Wirksamkeit undAngemessenheit berprft und aktualisiert werden.

Die Sicherheitsempfehlungen zum Thema Sicherheitsmanagement mssen zielgruppengerechtaufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zum ThemaSicherheitsmanagement finden sich im Baustein B 1.0 Sicherheitsmanagement der IT-Grundschutz-Kataloge sowie in den BSI-Standards 100-1 und 100-2.



GR 1.1 Organisation

Viele Sicherheitsmanahmen sind auf organisatorischer Ebene zu ergreifen, insbesondere gehrendazu die allgemeinen und bergreifenden Manahmen, die als organisatorische Standardmanahmenzur Erreichung eines Mindestschutzniveaus erforderlich sind.

- Fr alle Aufgaben im Sicherheitsprozess mssen sowohl Verantwortlichkeiten als auch Befugnissefestgelegt sein. Alle Mitarbeiter mssen auf ihre Verantwortung fr die Informationssicherheit inihrem Einflussbereich hingewiesen worden sein.

- Fr alle Informationen, Anwendungen und IT-Komponenten sollte festgelegt werden, wer fr dieseund deren Sicherheit verantwortlich ist. Es muss auch klar geregelt sein, welche Informationen mitwem ausgetauscht werden drfen und wie diese dabei zu schtzen sind.

- Es mssen konkrete Handlungsanweisungen und Verantwortlichkeiten zur Informationssicherheitfestgelegt werden. Diese Regelungen sind den betroffenen Mitarbeitern in geeigneter Weisebekannt zu geben.

- Die Aufgabenverteilung und die hierfr erforderlichen Funktionen sind so zu strukturieren,dass operative und kontrollierende Funktionen auf verschiedene Personen verteilt werden, umInteressenskonflikte bei den handelnden Personen zu verhindern (Funktionstrennung).

- In allen Geschftsprozessen muss es funktionierende Vertretungsregelungen geben.- Auf den verschiedenen Ebenen mssen angemessene und praktikable Berechtigungen vergeben

werden (z. B. fr den Zutritt zu Rumen, Zugang zu IT-Systemen, Zugriff auf Anwendungen).Es sollten immer nur so viele Rechte vergeben werden, wie es fr die Aufgabenwahrnehmungnotwendig ist. Es muss ein geregeltes Verfahren fr die Vergabe, die Verwaltung und den Entzugvon Berechtigungen geben.

- Die Betriebsmittel, die zur Aufgabenerfllung und zur Einhaltung der Sicherheitsanforderungenerforderlich sind, mssen in ausreichender Menge vorhanden sein. Es muss geeignetePrfverfahren vor Einsatz der Betriebsmittel geben. Fr die Bestandsfhrung mssen dieBetriebsmittel in Bestandsverzeichnissen aufgelistet werden. Um den Missbrauch von Daten zuverhindern, sollte die zuverlssige Lschung oder Vernichtung von Betriebsmitteln geregelt sein.

- Es sind Regelungen fr Ersatzteilbeschaffung, Reparaturen und Wartungsarbeiten festzulegen,um auf Strungen bei einer nicht funktionierenden Infrastruktur adquat reagieren zu knnen. Beibestehenden Wartungsvertrgen sind feste Wartungsintervalle und Wartungsdetails einzelner IT-Systeme (oder Gruppen) verbindlich zu regeln.

- Betriebs- und Sachmittel, die besonderen Schutzbedingungen unterliegen, mssen so entsorgtwerden, dass keine Rckschlsse auf ihre Verwendung oder Inhalte gezogen werden knnen.Den Mitarbeitern sollte bekannt sein, wie mit ausgesonderten Datentrgern vor einer Vernichtungumzugehen ist. Es sollte hierfr ein Handlungsleitfaden zur Verfgung stehen.

- Es muss geregelt sein, welche Reaktionen auf Verletzungen der Sicherheitsvorgaben erfolgensollen. Nur so ist eine zielgerichtete und zeitnahe Reaktion mglich.

Die Sicherheitsempfehlungen zum Thema Organisation mssen zielgruppengerecht aufbereitet undinstitutionsweit verffentlicht werden. Weitere Informationen zum Thema Organisation finden sich imBaustein B 1.1 Organisation und in den weiteren Bereichen der IT-Grundschutz-Kataloge.



GR 1.2 Personal

Informationssicherheit ist nicht nur eine Frage der Technik, sondern hngt in erheblichem Maevon den organisatorischen und personellen Rahmenbedingungen ab. Im Personalbereich sinddaher von der Einstellung bis zum Weggang von Mitarbeitern aus der Institution eine Reihe vonSicherheitsmanahmen erforderlich.

- Zur geregelten Einarbeitung neuer Mitarbeiter mssen diese auf bestehende Regelungen undHandlungsanweisungen zur Informationssicherheit hingewiesen werden.

- Alle Mitarbeiter sollten umgehend ber Regelungen zur Informationssicherheit, derenVernderungen und ihre spezifischen Auswirkungen auf einen Geschftsprozess oder auf dasjeweilige Arbeitsumfeld unterrichtet werden.

- Alle Mitarbeiter sollten explizit darauf verpflichtet werden, einschlgige Gesetze, Vorschriften undinterne Regelungen einzuhalten. Auerdem sollten alle Mitarbeiter darauf hingewiesen werden,dass alle whrend der Arbeit erhaltenen Informationen ausschlielich zum internen Gebrauchbestimmt sind, solange sie nicht anders gekennzeichnet sind.

- Vor der Einstellung neuer Mitarbeiter sollten deren akademische und berufliche Qualifikationenund (soweit mglich) deren Vertrauenswrdigkeit verifiziert werden. Die Vertrauenswrdigkeit vonPersonen mit besonderen Funktionen und Berechtigungen ist besonders wichtig. Daher mssenbeispielsweise Administratoren sorgfltig ausgewhlt werden.

- Die Mitarbeiter sollten dazu motiviert werden, Regelungen zur Informationssicherheiteigenverantwortlich umzusetzen. Dazu sollten sie durch geeignete Schulungen motiviert undgefrdert werden.

- Administrations- und Wartungspersonal muss detailliert ber die von ihnen betreuten Systeme undderen Sicherheitseigenschaften ausgebildet werden, da diese aufgrund der weitgehenden Rechteim Umgang mit der IT eine hohe Verantwortung tragen.

- Es muss Vertretungsregelungen in allen Bereichen geben. Um eine kontinuierlicheVerfgbarkeit wichtiger Prozesse zu erreichen, muss insbesondere dafr gesorgt werden, dassSchlsselpositionen immer besetzt sind, sobald dies von den Ablufen her gefordert wird.

- Kommunikationsprobleme innerhalb der Institution, persnliche Probleme von Mitarbeitern,ein schlechtes Betriebsklima und andere Faktoren knnen zu Unzufriedenheit und damitzu Sicherheitsrisiken fhren. Um hier rechtzeitig vorbeugen zu knnen, sollten geeigneteAnlaufstellen (z. B. Mitarbeitervertretungen) eingerichtet werden.

- Bei Mitarbeitern, die die Institution verlassen oder andere Funktionen bernehmen, mssenbestehende Regelungen mit erhhter Sorgfalt berprft werden. Nachfolger mssen eingearbeitetwerden, Unterlagen sind zurckzugeben und erteilte Berechtigungen sind wieder zu entziehen.Vor der Verabschiedung sollte noch einmal explizit auf Verschwiegenheitsverpflichtungenhingewiesen werden.

Die Sicherheitsempfehlungen zum Thema Personal mssen zielgruppengerecht aufbereitet undinstitutionsweit verffentlicht werden. Weitere Informationen zum Thema personelle Sicherheit findensich im Baustein B 1.2 Personal und in weiteren Bereichen der IT-Grundschutz-Kataloge.



GR 1.3 Notfallmanagement

Der Notfallmanagement einer Behrde oder eines Unternehmens umfasst sowohl dieNotfallvorsorge, als auch Aspekte zur Bewltigung eines Notfalls. Dazu ist der Aufbau geeigneterOrganisationsstrukturen und Regelungen fr den Umgang mit Notfllen aller Art notwendig.

- Die Leitungsebene muss hinter den Zielen des Notfallmanagements stehen und sich ihrerVerantwortung dafr bewusst sein. Die Leitungsebene muss den Notfallmanagement-Prozessinitiieren, steuern und kontrollieren, damit dieser in der Institution auch in allen Bereichenumgesetzt wird.

- Es mssen die organisatorischen Voraussetzungen fr das Notfallmanagement geschaffenwerden, d. h. Rollen und Verantwortlichkeiten mssen definiert und von der Leitungsebene einausreichendes Budget zur Verfgung gestellt werden. Es muss ein Notfallbeauftragter benanntwerden, der den Notfallmanagement-Prozess steuert und koordiniert.

- Auf Basis einer Schutzbedarfsanalyse oder einer Business Impact Analyse und eineranschlieenden Risikoanalyse mssen die Auswirkungen von Geschftsunterbrechungenuntersucht sowie die Verfgbarkeitsanforderungen an die Geschftsprozesse und derenbentigten Ressourcen ermittelt werden.

- Die kritischen Prozesse mssen definiert und analysiert werden, danach folgt die Auswahleiner angemessenen Strategie, um einerseits Ausfallrisiken zu reduzieren und andererseitsnach dem Auftreten von Notfllen Ausfallzeiten verkrzen zu knnen. Diese werden in einemNotfallvorsorgekonzept dokumentiert.

- Fr eine rasche Notfallbewltigung ist ein Notfallhandbuch zu erstellen, in dem beschriebenwird, welche Manahmen bei einem Notfall durchgefhrt und umgesetzt werden mssen. DasNotfallhandbuch sollte mindestens Alarmierungsplne, Meldewege, Notfall-, Wiederanlauf-,Wiederherstellungs- und Geschftsfortfhrungsplne, sowie alle wichtigen Informationen undAufgabenzuordungen der Mitglieder des Notfallteams enthalten.

- Die entwickelten Manahmen und Verfahren zur Notfallbewltigung mssen regelmig durchbungen und Tests auf ihre Wirksamkeit untersucht werden. Notfall-bungen erleichtern es,sich rechtzeitig im Vorfeld auf eine Notfallsituation einstellen und Fehler in der Notfallkonzeptionerkennen zu knnen.

- Um ein effizientes Notfallmanagement aufrecht zu erhalten, mssen nicht nur die Dokumenteregelmig aktualisiert werden, sondern auch die Notfallvorsorgemanahmen berprft undangepasst werden.

- Alle Mitarbeiter der Institution mssen systematisch und zielgruppengerecht sensibilisiert und imUmgang mit Notfallsituationen geschult werden. So wird in der Institution eine Notfallmanagement-Kultur etabliert.

Die Richtlinien und Vorgaben zum Thema Notfallmanagement mssen zielgruppengerecht aufbereitetund institutionsweit verffentlicht werden. Weitere Informationen zum Thema Notfallmanagement findensich im Baustein B 1.3 Notfallmanagement und in den weiteren Bereichen der IT-Grundschutz-Kataloge.



GR 1.4 Datensicherungskonzept

Computersysteme und Datentrger (z. B. Festplatten) knnen ausfallen oder manipuliert werden. Durchden Verlust oder die Vernderungen von gespeicherten geschftsprozessrelevanten Daten knnengravierende Schden verursacht werden. Durch regelmige Datensicherungen knnen Schdendurch Ausflle von Datentrgern, Schadsoftware oder Manipulationen an Datenbestnden zwar nichtverhindert, deren Auswirkungen aber minimiert werden.

- Um zu gewhrleisten, dass alle Datenbestnde regelmig gesichert werden, mssen fralle IT-Systeme und Anwendungen geeignete Datensicherungsverfahren festgelegt werden.Datensicherungen sollten weitgehend automatisiert erfolgen.

- Es muss festgelegt werden, wer fr die Datensicherung der einzelnen IT-Systeme zustndig ist.- Neben dem Datum mssen Umfang, Art der Durchfhrung der Sicherung sowie gewhlte

Parameter und die eingesetzte Hard- und Software der Datensicherungen dokumentiert werden.Ebenso sollten die wichtigsten Informationen fr eine sptere Datenrekonstruktion festgehaltenwerden.

- Die eingesetzten Speichermedien sollten ausreichend Speicherkapazitt haben und msseneindeutig beschriftet sein.

- Auch die Daten mobiler IT-Systeme wie Laptops, PDAs, Handys mssen regelmig gesichertwerden.

- Backup-Datentrger mssen einerseits im Bedarfsfall schnell verfgbar sein, andererseits solltensie aber rumlich getrennt von den gesicherten IT-Systemen aufbewahrt werden, damit sie beiNotlagen wie z. B. Brand oder Hochwasser verfgbar sind.

- Es sollten nur befugte Personen auf die Datensicherungsmedien zugreifen drfen. VertraulicheDaten sollten vor der Sicherung mglichst verschlsselt werden.

- Es muss regelmig getestet werden, ob die Datensicherung auch wie gewnscht funktioniert, vorallem, ob gesicherte Daten problemlos zurckgespielt werden knnen.

Die Sicherheitsempfehlungen zum Thema Datensicherung mssen zielgruppengerecht aufbereitet undinstitutionsweit verffentlicht werden. Weitere Informationen zum Thema Datensicherung finden sich imBaustein B 1.4 Datensicherungskonzept und in den weiteren Bereichen der IT-Grundschutz-Kataloge.



GR 1.5 Datenschutz

Aufgabe des Datenschutzes ist es, den Einzelnen davor zu schtzen, dass er durch die Verarbeitungund den Umgang seiner personenbezogenen Daten in dem Recht beeintrchtigt wird, selbst ber diePreisgabe und Verwendung seiner Daten zu bestimmen ("informationelles Selbstbestimmungsrecht").

- Die Leitungsebene muss die Gesamtverantwortung fr den Datenschutz in der Institutionbernehmen.

- Die Leitungsebene muss einen Datenschutzbeauftragten benennen, der den Datenschutz in derInstitution frdert und den ordnungsmigen Umgang mit personenbezogenen Daten steuert undkontrolliert.

- Der Datenschutzbeauftragte muss mit angemessenen Ressourcen ausgestattet werden. Er mussbei Bedarf direkt an die Leitungsebene berichten knnen.

- Es sollte klare Regeln fr den Umgang mit personenbezogenen Daten geben, die allenMitarbeitern und sonstigen Mitgliedern der Institution bekannt gegeben werden. Alle Beschftigtensind bei der Aufnahme ihrer Ttigkeit auf das Datengeheimnis zu verpflichten bzw. darber zuunterrichten.

- Alle Datenschutzmanahmen mssen systematisch in einem Datenschutzkonzept dokumentiertund regelmig aktualisiert werden.

- Der Datenschutzbeauftragte muss bei allen nderungen in Geschftsprozessen und neuenProjekten eingebunden werden, so dass er die rechtlichen Rahmenbedingungen fr dieDatenverarbeitung prfen und geeignete Vorkehrungen ausarbeiten kann.

- Alle Mitarbeiter der Institution und sonstige relevante Personen (wie extern Beschftigteoder Projektmitarbeiter) mssen systematisch und zielgruppengerecht zu Datenschutzfragensensibilisiert und zum Umgang mit personenbezogenen Daten geschult werden.

Die Richtlinien und Vorgaben zum Thema Datenschutz mssen zielgruppengerecht aufbereitet undinstitutionsweit verffentlicht werden. Weitere Informationen zum Thema Datenschutz finden sich imBaustein B 1.5 Datenschutz und in weiteren Bereichen der IT-Grundschutz-Kataloge.



GR 1.6 Schutz vor Schadprogrammen

Wenn IT-Systeme mit Schadsoftware (Viren, Wrmer, Trojanische Pferde usw.) befallen werden, kanndies die Verfgbarkeit, Integritt und Vertraulichkeit der Systeme und der darauf gespeicherten Datengefhrden. Fr einen effizienten Computer-Virenschutz ist daher zu sorgen.

- Es mssen zentrale Ansprechpartner mit der notwendigen Fachkunde fr das ThemaSchadsoftware benannt werden.

- Innerhalb der vernetzten Strukturen einer Institution mssen Viren-Schutzprogramme so auf denIT-Systemen platziert werden, dass alle mglichen Infektionswege abgedeckt sind. Dabei musssichergestellt werden, dass auch die mobilen Endgerte ausreichend geschtzt sin

- Die Viren-Schutzprogramme mssen regelmig durch zeitnahes Einspielen von Updates undPatches auf den aktuellen Stand gebracht werden.

- Schadprogramm-Signaturen mssen in mglichst kurzen Abstnden, mindestens tglich,aktualisiert werden.

- Auf allen IT-Systemen mssen fr die Betriebssysteme sowie fr alle installierten Treiber undProgramme zeitnah die jeweils hierfr verffentlichten sicherheitsrelevanten Updates und Patcheseingespielt werden. Dies gilt besonders fr Programme, mit denen auf Fremdnetze zugegriffenwird, beispielsweise Browser.

- Die Mitarbeiter mssen darber informiert sein, wie sie eine Infektion mit Schadsoftwareverhindern knnen, woran sie sie erkennen und wie sie sich in einem solchen Fall zu verhaltenhaben.

- Erkannte Infektionen mit Schadprogrammen mssen zeitnah an die zustndigen Fachkrftegemeldet werden. Die Meldung sollte mglichst automatisch erfolgen.

- Infizierte IT-Systeme mssen unverzglich von allen Datennetzen getrennt werden und drfen biszur vollstndigen Bereinigung nicht mehr produktiv genutzt werden.

- Entdeckte Schadprogramme mssen zeitnah durch fachkundiges Personal entfernt werden.

Die Sicherheitsempfehlungen zum Thema Schutz vor Schadprogrammen mssen zielgruppengerechtaufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zum Thema Schutz vorSchadprogrammen finden sich im Baustein B 1.6 Schutz vor Schadprogrammen und in den weiterenBereichen der IT-Grundschutz-Kataloge.



GR 1.7 Kryptokonzept

Damit schtzenswerte Informationen nicht manipuliert werden oder in falsche Hnde geraten, sollten siedurch zuverlssige kryptographische Verfahren und Techniken geschtzt werden. Dies betrifft sowohldie auf den verschiedensten IT-Systemen lokal gespeicherten Daten als auch die zu bertragenenDaten. Da beim Einsatz kryptographischer Verfahren sehr viele komplexe Einflussfaktoren zu betrachtensind, sollte hierfr ein Kryptokonzept erstellt werden.

- Alle Informationen sollten in Punkto Vertraulichkeit und Integritt klassifiziert sein, damit jederzeitklar ist, welche Informationen wie verschlsselt oder signiert werden mssen

- Allen Mitarbeitern mssen geeignete kryptographische Produkte zur Verfgung stehen, umInformationen verschlsseln, signieren oder anders schtzen zu knnen.

- Dafr mssen kryptographische Produkte ausgewhlt werden, die alle fr den jeweiligenEinsatzzweck erforderlichen Sicherheitsfunktionalitten bieten. Solche Produkte knnen dabeiaus Hardware, Software, Firmware oder aus einer diesbezglichen Kombination bestehen. Siemssen nach dem Stand der Technik sicher und zuverlssig arbeiten, einfach zu bedienen undwenig fehleranfllig sein, auerdem sollten sie bei mglichst vielen Geschftsprozessen, IT-Systemen und Kommunikationspartnern einsetzbar sein.

- Es sollte ein Kryptokonzept entwickelt werden, in dem alle Einflussgren undEntscheidungskriterien fr die Wahl eines konkreten kryptographischen Verfahrens und derentsprechenden Produkte bercksichtigt werden und das gleichzeitig unter Kostengesichtspunktenwirtschaftlich vertretbar ist.

- Kryptographische Produkte mssen sicher betrieben werden. Dazu gehrt, dass sie gegenunmittelbare Angriffe und Fremdeinwirkung geschtzt werden mssen. Voreingestellte Schlsselmssen bei der Installation gendert werden.

- Die Mitarbeiter sollten im Umgang mit den von ihnen zu bedienenden Kryptoprodukten geschultwerden. Sie sollten darber hinaus fr den Nutzen der kryptographischen Verfahren sensibilisiertwerden und einen berblick ber kryptographische Grundbegriffe erhalten.

- Kryptoprodukte knnen nur dann sicher betrieben werden, wenn geeignete Schlssel vertraulich,integer und authentisch erzeugt, verteilt und installiert worden sind (Schlsselmanagement).Die Schlsselerzeugung sollte in sicherer Umgebung und unter Einsatz geeigneterSchlsselgeneratoren erfolgen. Schlsselverteilung und Schlsselaustausch mssen soabgesichert werden, dass unbefugte Kenntnisnahme bzw. Verflschung der Schlssel verhindertoder wenigstens erkannt werden knnen. Kryptographische Schlssel mssen regelmiggewechselt werden.

- Es muss geklrt werden, wie Datensicherungen der verschlsselten Daten angefertigt werden.Ebenso muss auch berlegt werden, ob und wie die benutzten kryptographischen Schlsselgespeichert werden sollen.

Die Sicherheitsempfehlungen zum Thema Kryptokonzept mssen zielgruppengerecht aufbereitet undinstitutionsweit verffentlicht werden. Weitere Informationen zum Thema Kryptokonzept finden sich imBaustein B 1.7 Kryptokonzept und in den weiteren Bereichen der IT-Grundschutz-Kataloge.



GR 1.8 Behandlung vonSicherheitsvorfllen

Sicherheitsvorflle knnen groe Schden nach sich ziehen, wenn deren professionelle Behandlungnicht konzipiert und eingebt wurde. Um Schden zu verhten bzw. zu begrenzen, sollte die Be-handlung von Sicherheitsvorfllen zgig und effizient ablaufen. Dazu ist der Aufbau geeigneterOrganisationsstrukturen und Regelungen fr den Umgang mit IT-Sicherheitsvorfllen aller Artnotwendig.

- Um jedem Mitarbeiter das richtige Verhalten beim Auftreten eines Sicherheitsvorfalls vorzugeben,sind zielgruppengerechte Richtlinien zur Behandlung von Sicherheitsvorfllen zu erstellen,abzustimmen und bekannt zu geben. Oberste Regel ist dabei, dass alle Beteiligten Ruhebewahren und keine bereilten Manahmen ergreifen.

- Es mssen organisatorische Voraussetzungen fr den Umgang mit IT-Sicherheitsvorfllengeschaffen werden. Dafr mssen Rollen und Verantwortlichkeiten (d. h. Kompetenzen, Aufgabenund Verhaltensregeln) festgelegt und benannt werden.

- Es sind Meldewege und Eskalationsstrategien fr die verschiedenen Arten vonSicherheitsvorfllen zu definieren. Hierbei sollte der IT-Support mit einbezogen werden, da bereitsvorhandene Vorgehensweisen zur Fehlermeldung und -behebung integriert werden sollten.

- Um die Ursachen von Sicherheitsvorfllen und die entstandenen Schden effizient undin einer sinnvollen Reihenfolge beheben zu knnen, ist es wichtig, die Prioritten fr dieProblembeseitigung vorab festzulegen. Diese Priorittensetzung muss regelmig aktualisiertwerden.

- Sobald die Ursache eines Sicherheitsvorfalls identifiziert worden ist, mssen Manahmen zudessen Behebung ergriffen werden. Dazu muss zunchst das Problem eingegrenzt und beseitigtund anschlieend der "normale" Zustand wiederhergestellt werden. Hufig ist es notwendig, diebetroffenen IT-Systeme oder Standorte zu isolieren, um die Auswirkung des Sicherheitsvorfallseinzudmmen.

- Die Behebung von Sicherheitsvorfllen muss ausfhrlich dokumentiert werden, um aufgetreteneProbleme nachvollziehbar zu machen und sie sowohl bereinigen als auch um vorbeugendeManahmen ausarbeiten zu knnen, damit ein einmal erkanntes Problem nicht wieder auftritt. ZurDokumentation gehren sowohl alle durchgefhrten Aktionen inklusive der Zeitpunkte, als auchdie Protokolldateien der betroffenen IT-Systeme.

- Es sind geeignete Beweissicherungsmanahmen zu etablieren, um fr eine mglicheStrafverfolgung Beweise zu sammeln. Die zustndigen Mitarbeiter sind im Umgang mitDetektions- und Beweismittelwerkzeugen zu schulen.

- Von einem Sicherheitsvorfall mssen alle betroffenen internen und externen Stellen informiertwerden. Hierzu muss ein klares Konzept entwickelt werden, wer durch wen in welcher Reihenfolgeund in welcher Tiefe informiert wird. Ausknfte ber Sicherheitsvorflle drfen ausschlielichdurch benannte Verantwortliche, wie zum Beispiel das Sicherheitsmanagement oder diePressestelle, gegeben werden.

Die Sicherheitsempfehlungen zum Thema Behandlung von Sicherheitsvorfllen mssenzielgruppengerecht aufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zumThema Behandlung von Sicherheitsvorfllen finden sich im Baustein B 1.8 Behandlung vonSicherheitsvorfllen und in den weiteren Bereichen der IT-Grundschutz-Kataloge.



GR 1.9 Hard- und Software-Management

Fr den sicheren Einsatz von IT-Systemen und IT-Anwendungen in einer Institution mssen sowohldie einzelnen IT-Komponenten angemessen geschtzt, als auch alle Ablufe und Vorgnge, die dieseIT-Systeme berhren, so gestaltet werden, dass das angestrebte IT-Sicherheitsniveau erreicht undbeibehalten wird. Sicherheit sollte integrierter Bestandteil des gesamten Lebenszyklus eines IT-Systemsbzw. eines Produktes sein. Hierfr sind klare Regelungen erforderlich, um einen ordnungsgemen undsicheren IT-Betrieb sicherstellen zu knnen.

- Durch eine geeignete Benutzerkonten- und Rechteverwaltung muss sichergestellt werden, dassnur diejenigen Personen Zugang auf IT-Systeme und Zugriff auf Applikationen und Informationenhaben, die aufgrund ihrer Aufgaben dazu berechtigt sind.

- Die Verantwortung fr die Administration von IT-Systemen und Anwendungen muss klar definiertwerden.

- Es sollten Standardarbeitspltze und Standardsysteme definiert werden, die nur mit festgelegterHardware und Software betrieben werden drfen. Dadurch wird die Verwaltung von IT-Systemeneffizienter und sicherer.

- Es mssen Richtlinien fr den IT-Betrieb und die IT-Nutzung definiert werden und den Benutzernbekannt gemacht werden. Dazu gehren auch Richtlinien fr die Informationssicherheit.

- Die Mitarbeiter sowie alle, die Zugang zu internen Informationen haben, mssen zum sicherenUmgang mit Informationstechnik und Informationen sensibilisiert und geschult werden. Fr Fragender Benutzer zur Informationssicherheit und zu IT-Themen sollte eine Betreuung sichergestelltsein.

- Systemkonfigurationen mssen ausreichend dokumentiert werden. Auerdem mssenInstallationshinweise, Benutzerhandbcher und -Anleitungen vorhanden sein, um Probleme zuvermeiden und um den Betrieb nach Ausfllen wieder herzustellen.

- Um sicherzustellen, dass nur Befugte auf Systeme und Informationen zugreifen knnen, istes wichtig, dass sich jeder vor Nutzung von IT-Systemen und IT-Anwendungen authentisierenmuss. Dazu sind Regelungen, z. B. fr den Umgang mit Passwrtern und deren Gestaltung,zu definieren. Die Benutzer mssen ber die Regelungen und deren Anwendung sowie derenHintergrnde informiert werden.

- IT-Systeme sind weniger angreifbar, wenn sie nur minimal nach auen geffnet sind. Dahermuss genau berlegt werden, welche Anwendungen und Dienste auf einem System (Internet,Fernzugriff, ...) sinnvoll sind. Nur diese sollten installiert oder aktiviert werden.

- Um IT-Systeme sicher betreiben zu knnen, ist eine regelmige Informationsbeschaffungzu Schwachstellen und Schadsoftware notwendig. Aktuelle sicherheitsrelevante Updates undPatches mssen zeitnah auf allen Systemen installiert werden.

- Der Hard- und Software-Bestand muss regelmig kontrolliert werden, nicht freigegebeneHard- oder Software muss entfernt werden, bei Verlust oder Diebstahl von IT-Systemen oderKomponenten mssen sofort geeignete Manahmen ergriffen werden.

Die Sicherheitsempfehlungen zum Thema Hard- und Software-Management mssenzielgruppengerecht aufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zumThema Hard- und Software-Management finden sich im Baustein B 1.9 Hard- und Software-Management und in den weiteren Bereichen der IT-Grundschutz-Kataloge.



GR 1.10 Standardsoftware

Als Standardsoftware wird Software bezeichnet, die als vorgefertigtes Produkt z. B. ber den Fachhandelerworben werden kann. Sie zeichnet sich dadurch aus, dass sie vom Anwender selbst installiert wirdund dass nur geringer Aufwand fr die anwenderspezifische Anpassung notwendig ist.

- Es sollte klare Regeln und Prozesse fr den sicheren Umgang mit Standardsoftware gebe- Alle Mitarbeiter sollten wissen, dass nur explizit freigegebene Standardsoftware eingesetzt werden

darf.- Die Nutzung nicht zugelassener Hard- und Software sollte mglichst technisch unterbunden

werden.- Um geeignete Standardsoftware auszuwhlen, sollte von den Fach- und den IT-Verantwortlichen

gemeinsam ein Anforderungskatalog erstellt werden.- Bevor Standardsoftware zum Einsatz kommt, muss sie ausreichend getestet werden. Auerdem

muss die optimale Konfiguration festgelegt und dokumentiert werden.- Standardsoftware muss entsprechend der bei den Tests festgelegten Installations- und

Konfigurationsanweisungen auf den dafr vorgesehenen IT-Systemen installiert werden. Essollte sichergestellt werden, dass Standardsoftware nicht in anderer Form oder auf anderen IT-Systemen installiert wird.

- Die Mitarbeiter sollten angemessenen ber die Anwendung der von ihnen genutztenStandardsoftware geschult sein. Dazu gehrt auch die Aufklrung ber eventuelleSicherheitsrisiken und Sicherheitsfunktionalitten der IT-Anwendungen.

Die Sicherheitsempfehlungen zum Thema Standardsoftware mssen zielgruppengerecht aufbereitetund institutionsweit verffentlicht werden. Weitere Informationen zum Thema Standardsoftware findensich im Baustein B 1.10 Standardsoftware und in den weiteren Bereichen der IT-Grundschutz-Kataloge.



GR 1.11 Outsourcing

Beim Outsourcing werden Arbeits- oder Geschftsprozesse einer Organisation ganz oder teilweisezu externen Dienstleistern ausgelagert. Outsourcing kann sowohl Nutzung und Betrieb von Hardwareund Software, aber auch Dienstleistungen betreffen. Dabei ist es unerheblich, ob die Leistung in denRumlichkeiten des Auftraggebers oder in einer externen Betriebssttte des Outsourcing-Dienstleisterserbracht wird. Typische Beispiele sind der Betrieb eines Rechenzentrums, einer Applikation, einerWebseite oder des Wachdienstes.

- Vor der Entscheidung Geschftsprozesse auszulagern, muss berlegt werden, ob und inwelcher Form dies mglich ist. Hierbei mssen neben anderen Rahmenbedingungen auch diesicherheitsrelevanten Aspekte einbezogen werden.

- Sobald die Entscheidung zum Outsourcing gefallen ist, mssen die wesentlichen bergeordnetenSicherheitsanforderungen fr das Outsourcing-Vorhaben festgelegt werden. Diese sind unteranderem die Basis fr die Auswahl eines Outsourcing-Dienstleisters.

- Bei der Auswahl eines geeigneten Outsourcing-Dienstleisters mssen Qualifikationen derMitarbeiter und Sicherheitsnachweise nachgefragt werden. Hierbei knnen Zertifikate hilfreichsein.

- Bei der Vertragsgestaltung mit dem Outsourcing-Dienstleisters mssen mglichst detailliert dieIT-Sicherheitsanforderungen und die Kriterien zur Messung von Servicequalitt und Sicherheitbeschrieben werden. Im Vertrag mssen auch Auskunfts-, Mitwirkungs- und Revisionspflichtengeregelt sein.

- Zwischen Auftraggeber und Outsourcing-Dienstleister muss ein detailliertes Sicherheitskonzeptinklusive Notfallvorsorgekonzept abgestimmt werden.

- Bei der bertragung der Aufgaben mssen klare Fhrungsstrukturen geschaffen und auf beidenSeiten eindeutige Ansprechpartner benannt werden. Auerdem mssen ausreichende Testsgeplant und durchgefhrt werden, damit die Produktionseinfhrung reibungslos erfolgen kann.

- Auch whrend des laufenden Betriebs eines Outsourcing-Vorhabens muss der Auftraggeberregelmige Kontrollen zur Aufrechterhaltung der IT-Sicherheit beim Dienstleister durchfhren(lassen).

- Nichts dauert ewig. Daher mssen Eigentumsrechte an Hard- und Software sowie die Rckgabeder Datenbestnde vom Dienstleister geklrt sein. Auerdem mssen alle erforderlichenInformationen fr die Weiterfhrung des Betriebs von IT-Systemen und IT-Anwendungenausreichend dokumentiert sein.

Die Sicherheitsempfehlungen zum Thema Outsourcing mssen zielgruppengerecht aufbereitet undinstitutionsweit verffentlicht werden. Weitere Informationen zum Thema Outsourcing finden sich imBaustein B 1.11 Outsourcing und in den weiteren Bereichen der IT-Grundschutz-Kataloge.



GR 1.12 Archivierung

Bei nahezu allen Geschftsprozessen entstehen Daten, die geeignet archiviert werden mssen, umsie spter wiederfinden und verwenden zu knnen. Die dauerhafte und unvernderbare Speicherungvon elektronischen Dokumenten und anderen Daten wird als Archivierung bezeichnet. Diese ist anRegeln gebunden wie Unvernderbarkeit, langfristige Wiederauffindbarkeit und Wiedergabefhigkeit.Die Aufbewahrungsfrist muss zum Archivierungszeitpunkt festgelegt werden, es kann unter Umstndeneine zeitlich unbegrenzte Verfgbarkeit gefordert sein.

- Elektronische Archivierungssysteme sollten in einem dreigliedrigen Prozess (Planung, Einfhrung/Betrieb, Migration) eingefhrt werden. Neben den Phasen "Planung" und "Einfhrung/Betrieb"muss eine Migrationsphase durchgefhrt werden, da die eingesetzten Archivsysteme und -medienmit der Zeit technologisch und physikalisch veralten.

- Vor dem Einsatz einer Archivierungslsung sind die Ziele festzulegen, die mit der Archivierungerreicht werden sollen. Die technischen, rechtlichen und organisatorischen Rahmenbedingungenmssen ermittelt werden. Die Ergebnisse mssen in einem Archivierungskonzept erfasst werden.

- Es sind Richtlinien zur Administration und Benutzung des Archivsystems festzulegen, diesicherstellen, dass das Archivierungskonzept in vorgesehener Weise umgesetzt wird und diefestgelegten Rahmenbedingungen eingehalten werden.

- Benutzer und Administratoren sind in die Bedienung des verwendeten Archivsystems ingeeigneter Weise einzuweisen.

- Fr Archivierungssysteme sowie die Lagerung der entstehenden Archivierungsmedien sindgeeignete Standorte, Gertschaften, Software und Datenformate zu whlen. Der Aufstellungsortdes Systems sowie der Lagerungsort der Archivmedien sind vor unbefugtem Zutritt und anderenGefhrdungen zu schtzen.

- Der Archivierungsprozess ist kontinuierlich zu berwachen und auf Korrektheit zu prfen.- System- und Archivdaten sowie Index-Datenbanken sind im Hinblick auf Integritt und

Verfgbarkeit durch geeignete Manahmen besonders zu schtzen.

Die Richtlinien und Vorgaben zum Thema Archivierung mssen zielgruppengerecht aufbereitet undinstitutionsweit verffentlicht werden. Weitere Informationen zum Thema Archivierung finden sich imBaustein B 1.12 Archivierung und in den weiteren Bereichen der IT-Grundschutz-Kataloge.



GR 1.13 Sensibilisierung und Schulung zurInformationssicherheit

Um Sicherheitsmanahmen wirkungsvoll umsetzen zu knnen, muss in jeder Institution eine IT-Sicherheitskultur aufgebaut und ein Sicherheitsbewusstsein gebildet werden. Informationssicherheitbetrifft ohne Ausnahme alle Mitarbeiter. Daher mssen alle Mitarbeiter in Hinblick auf die Bedeutungvon Sicherheitsmanahmen und ihre Anwendung geschult und sensibilisiert werden. Dafr mssenSchulungskonzepte fr verschiedene Zielgruppen (z. B. Administratoren, Manager, Anwender,Wachpersonal) erstellt werden.

- Ein effektives Schulungs- und Sensibilisierungsprogramm zur Informationssicherheit mussaufgebaut und aufrechterhalten werden. Nur langfristige und kontinuierliche Manahmen bewirkeneine Verhaltensnderung der Mitarbeiter hin zu einer sicheren Institution.

- Die Durchfhrung von Schulungs- und Sensibilisierungsmanahmen muss nachhaltig untersttztwerden. Daher ist es wichtig, dass das Management auf die Bedeutung der Informationssicherheitaufmerksam gemacht wird.

- Den Mitarbeitern muss die notwendige Kompetenz zur Informationssicherheit vermittelt werden,die sie bei der Ausfhrung ihrer Fachaufgaben bentigen. Den Mitarbeitern soll eine Basisgegeben werden, um die Folgen und Auswirkungen ihrer Ttigkeit sowohl im beruflichen und alsauch privaten Umfeld besser einschtzen knnen.

- Alle Mitarbeiter, die neu eingestellt oder denen neue Aufgaben zugewiesen wurden, mssengrndlich eingearbeitet und ausgebildet werden. Auch erfahrene IT-Benutzer sollten inregelmigen Abstnden ihr Wissen auffrischen und ergnzen.

- Mitarbeiter mssen ber den Sinn von Sicherheitsmanahmen aufgeklrt werden. Dies istbesonders wichtig, wenn sie Komfort- oder Funktionseinbuen zur Folge haben.

- Alle Mitarbeiter mssen die firmeninternen Ablufe kennen und wissen, an wen sie sich wendenknnen, falls Sicherheitsfragen auftreten oder Sicherheitsprobleme gelst werden mssen.

Die Sicherheitsempfehlungen zum Thema Schulung und Sensibilisierung mssen zielgruppengerechtaufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zum Thema Schulung undSensibilisierung finden sich im Baustein B 1.13 Sensibilisierung und Schulung zur Informationssicherheitund in den weiteren Bereichen der IT-Grundschutz-Kataloge.



GR 1.14 Patch- und nderungsmanagement

Sicherheitslcken und Strungen im IT-Betrieb sind hufig auf fehlerhafte oder nicht erfolgtenderungen zurckzufhren. Ein fehlendes oder vernachlssigtes Patch- oder nderungsmanagementfhrt schnell zu Lcken in der Sicherheit der einzelnen Komponenten und damit zu mglichenAngriffspunkten. Ein nderungsmanagement ist dafr zustndig, nderungen an Anwendungen,Infrastruktur, Dokumentationen, Prozessen und Verfahren steuer- und kontrollierbar zu gestalten.

- Jede Institution sollte ein funktionierendes Patch- und nderungsmanagement haben. Allenderungen von Hard- und Softwarestnden und Konfigurationen sollten ber den Prozess desPatch- und nderungsmanagements gesteuert und kontrolliert werden.

- Der Patch und nderungsmanagementprozess muss in die Geschftsprozesse integriert werden.- Es sollte sichergestellt werden, dass das angestrebte Sicherheitsniveau whrend und nach dem

Einspielen von nderungen und Patches erhalten bleibt.- Die Freigabe und Durchfhrung von nderungen sollten zwischen Fachbereichen und IT-Betrieb

abgestimmt und die jeweiligen Ressourcen und Interessen bercksichtigt werden.- Die Integritt und Authentizitt von Softwarepaketen muss whrend des gesamten Patch- und

nderungsmanagementprozesses sichergestellt sein.- Die Verantwortlichkeiten fr die verschiedenen Aktivitten beim Patch- und

nderungsmanagement sollten klar definiert sein.- Es sollte einen fest definierten Ablauf geben, wie nderungsanforderungen eingereicht,

koordiniert, umgesetzt, evaluiert und abgeschlossen werden. Dieser sollte auch den Umgang mitfehlgeschlagenen nderungen beinhalten.

- Zeitweise oder permanent nicht erreichbare Gerte, wie zum Beispiel Laptops, mssen im Patch-und nderungsmanagement durch geeignete Mechanismen bercksichtigt werden.

- Der Umgang mit automatischen Update-Mechanismen (Autoupdate) der verwendeten Softwaremuss geklrt werden und passend konfiguriert werden.

- Alle nderungen an IT-Systemen sollten dokumentiert werden.

Die Sicherheitsempfehlungen zum Thema Patch- und nderungsmanagement mssenzielgruppengerecht aufbereitet und institutionsweit verffentlicht werden. Weitere Informationenzum Thema Patch- und nderungsmanagement finden sich im Baustein B 1.14 Patch- undnderungsmanagement und in den weiteren Bereichen der IT-Grundschutz-Kataloge.



GR 1.15 Lschen und Vernichten von Daten

Damit Informationen nicht in falsche Hnde geraten knnen, muss in einem Unternehmen oder einerBehrde die Vorgehensweise geregelt sein, wie Daten und Datentrger vollstndig und zuverlssig zulschen oder zu vernichten sind. Dabei mssen sowohl die schutzbedrftigen Informationen auf Papieroder anderen analogen Datentrgern wie Mikrofilm als auch solche, die auf digitalen Datentrgern(elektronisch, magnetisch, optisch) gespeichert sind, betrachtet werden.

- Es muss klare und einfache Regeln zum Lschen und zur Entsorgung von Informationen undDatentrgern geben.

- Den Mitarbeitern mssen geeignete Werkzeuge und Gerte zur Entsorgung von Informationenund Datentrgern zur Verfgung stehen.

- Alle Mitarbeiter sollten ber die vorhandenen Methoden zum Lschen von Informationen oder zurVernichtung von Datentrgern informiert sein.

- Informationen sollten strukturiert gehalten und nach Schutzbedarf kategorisiert werden. Dieserleichtert es, alle zu lschenden oder zu vernichtenden Informationen zu identifizieren.

- Alle Arten von Information und Datentrgern mssen sicher entsorgt werden. Hierzu gehren nichtnur Server-Festplatten, auch Mobiltelefone, USB-Sticks, Ausdrucke oder Fax-Material drfen nichtvergessen werden.

- Vor der Weitergabe von Datentrgern mssen alle Restinformationen sorgfltig gelscht werden.

Die Richtlinien und Vorgaben zum Thema Lschen und Vernichten mssen zielgruppengerechtaufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zum Thema Lschen undVernichten finden sich im Baustein B 1.15 Lschen und Vernichten von Daten und in den weiterenBereichen der IT-Grundschutz-Kataloge.



GR 1.16 Anforderungsmanagement

In jeder Institution gibt es eine Vielzahl gesetzlicher, vertraglicher und interner Richtlinien und Vorgaben,die beachtet werden mssen. Aufgabe der Leitungsebene einer Institution ist es, die Einhaltung derAnforderungen durch angemessene berwachungsmanahmen sicherzustellen, also "Compliance" zugewhrleisten.

- Es mssen geeignete Prozesse und Organisationsstrukturen aufgebaut werden, um denberblick ber die verschiedenen Anforderungen an die einzelnen Bereiche der Institution zugewhrleisten. Dafr mssen Verantwortliche benannt und deren Aufgaben in Bezug auf dasAnforderungsmanagement festgelegt werden.

- Es sollte eine strukturierte bersicht ber die Anforderungen geben, die fr die Institution undderen Geschftsprozesse relevant sind. Die bersicht muss auf dem aktuellen Stand gehaltenwerden.

- Es mssen geeignete Manahmen identifiziert und umgesetzt werden, um Verste gegenrelevante Anforderungen zu vermeiden.

- Mitarbeiter, aber auch Besucher und externe Dienstleister mssen auf ihre Sorgfaltspflichten imUmgang mit Informationen und IT-Systemen hingewiesen werden, bevor sie Zugang oder Zugriffdarauf erhalten.

- Es muss regelmig berprft werden, ob die Sicherheitsvorgaben, die die Institution zurErfllungen der Anforderungen erstellt hat, eingehalten werden. Ebenso muss regelmigberprft werden, ob die internen Regelungen und die rechtlichen Rahmenbedingungen nochaktuell sind.

- Wenn Verste gegen relevante Anforderungen erkannt werden, mssen sachgerechteKorrekturmanahmen ergriffen werden, um die Abweichungen zu beheben.

Die Richtlinien und Vorgaben zum Thema Anforderungsmanagement mssen zielgruppengerechtaufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zum ThemaAnforderungsmanagement finden sich im Baustein B 1.16 Anforderungsmanagement und in denweiteren Bereichen der IT-Grundschutz-Kataloge.



GR 2.1 Gebude

Ein Gebude ermglicht einer Institution durch seine Infrastruktureinrichtungen erst den Betriebder Geschftsprozesse und der zugehrigen IT. Es bildet den ueren Schutz der Informationenund Ressourcen und muss deshalb ausreichend geschtzt werden. Dabei muss einerseits dasBauwerk (Wnde, Decken, Bden, Dach, Fenster und Tren) betrachtet werden und andererseits allegebudeweiten Versorgungseinrichtungen wie Strom, Wasser, Gas, Heizung, Rohrpost etc.

- Schtzenswerte Rume oder Gebudeteile sollten nicht in exponierten oder besondersgefhrdeten Bereichen untergebracht sein.

- Bei der Raumplanung sind die zu erwartenden elektrischen Anschlusswerte und die abzufhrendeWrmemenge zu bestimmen. Bei nderungen der Raumnutzung oder der IT-Ausstattung sind dieElektroinstallation und die Khlung zu prfen und anzupassen, wenn ntig.

- Es muss ein umfassendes Blitz- und berspannungsschutzkonzept erstellt und realisiert werden- Die aus der Bauordnung erwachsenden Vorschriften zum Brandschutz sind fr die Anforderungen

des Brandschutzes der IT nicht ausreichend. Daher ist ein IT-bezogenes Brandschutzkonzeptzu erstellen und umzusetzen. Es muss ein Brandschutzbeauftragter benannt werden.Brandschutzbegehungen sollten ein- bis zweimal im Jahr stattfinden.

- Der Brandschutzbeauftragte muss ber alle Ttigkeiten an Rohr- und Kabeltrassen, dieWanddurchbrche, sowie Flure, Flucht- und Rettungswege berhren, informiert sein, um dieordnungsgeme Ausfhrung von Brandschutzmanahmen zu kontrollieren.

- Fr schutzbedrftige Gebudeteile, Rume, Verteiler der Versorgungseinrichtungen (Strom,Wasser, Gas, Telefon, etc.) ist eine Zutrittsregelung und -kontrolle festzulegen. Hierbei solltendie betroffenen Bereiche eindeutig bestimmt und die Zahl der zutrittsberechtigten Personen aufein Mindestma reduziert werden. Andere Personen sollten erst nach vorheriger Prfung derNotwendigkeit Zutritt erhalten. Alle erteilten Zutrittsberechtigungen sollten dokumentiert werden.

- Fr alle Schlsser des Gebudes ist ein Schlieplan zu erstellen, dabei ist die Verwaltung derSchlssel zentral zu regeln. Es mssen Reserveschlssel vorhanden sein und sicher, aber frNotflle griffbereit aufbewahrt werden.

- In unbenutzten Rumen sind Fenster und nach auen gehende Tren (Balkone, Terrassen) zuschlieen.

- Es sind genaue Lageplne aller Versorgungsleitungen im Gebude und auf dem dazugehrendenGrundstck zu fhren und alle die Leitungen betreffenden Sachverhalte aufzunehmen.

- Fr Notflle sind Alarmierungsplne zu erstellen. Diese sollten unter anderem die Manahmenenthalten, die bei einem Notfall zu ergreifen sind, welche Gebudeteile zu rumen sind und werzu informieren ist. Die Alarmierungsplne sind in regelmigen Abstnden zu berprfen und zuaktualisieren.

Die Sicherheitsempfehlungen zum Thema Gebude mssen zielgruppengerecht aufbereitet undinstitutionsweit verffentlicht werden. Weitere Informationen zum Thema Gebude finden sich imBaustein B 2.1 Gebude und in den weiteren Bereichen der IT-Grundschutz-Kataloge.



GR 2.2 Elektrotechnische Verkabelung

Die ordnungsgeme und normgerechte Ausfhrung der elektrotechnischen Verkabelung istGrundlage fr einen sicheren IT-Betrieb. Dabei umfasst die elektrotechnische Verkabelung von IT-Systemen und anderen Gerten alle Kabel und Verteilungen im Gebude vom Einspeisepunkt desVerteilungsnetzbetreibers bis zu den Elektro-Anschlssen der Verbraucher.

- Die elektrotechnische Verkabelung muss fr den Bedarf angemessen sein, eine berlast ist zuvermeiden.

- Fr die elektrotechnische Verkabelung sind geeignete Kabeltypen unter physikalisch-mechanischer Sicht auszuwhlen, die dem jeweiligen Einsatzzweck gerecht werden.

- Bei der Auswahl der Trassensysteme ist darauf zu achten, dass gengend Platz fr alle berdie Trasse gefhrten Kabel vorhanden ist und dass Normen beim Verlegen der Kabel, wie z. B.maximale Biegeradien der Kabel, eingehalten werden.

- Brandschutzbestimmungen mssen auf jeden Fall beachtet und elektrische Zndquellen,wie z. B. nicht berprfte Steckdosenleisten oder hnliches, vermieden werden. DerBrandschutzbeauftragte ist aus diesen Grnden frhzeitig mit einzubeziehen.

- Es muss ein geeigneter berspannungsschutz vorhanden sein, um mgliche Schden anIT-Gerten in Netzen durch direkten Blitzeinschlag, Einkopplung und Schalthandlungenzu reduzieren. berspannungsschutzeinrichtungen sollten periodisch und nach bekanntenEreignissen geprft und ersetzt werden, wenn dies erforderlich ist.

- Leitungen und Verteiler sind gegen unbefugte Zugriffe zu sichern. Die Zahl der Stellen, an denendas Kabel oder Verteiler zugnglich sind, sollte auf ein Mindestma reduziert werden.

- Die elektrotechnische Verkabelung ist so zu gestalten, dass Fehlerstromfreiheit gewhrleistet ist,da solche Fehlerstrme zu schdlichen Ausgleichsstrmen auf Schirmungen fhren knnen. DieFehlerstromfreiheit muss im laufenden Betrieb aufrechterhalten werden.

- Insofern Vernderungen an der elektrotechnischen Verkabelung vorgenommen werden oderGebude und Rume neu verkabelt werden, ist die elektrotechnische Verkabelung genau zudokumentieren, beispielsweise auf einem Gebude- oder Raumplan. Bei der Dokumentation anden Kabeln ist darauf zu achten, dass diese fr Befugte nachvollziehbar, aber ansonsten neutralist.

- Nicht bentigte Kabel sind zu entfernen. Damit werden Brandlasten und die Gefahr vonelektrischen Strungen, z. B. durch das Verschleppen von berspannungen, reduziert.

- Die Verwendung von Mehrfachsteckdosen sollte wegen der Brandgefahr konsequent vermiedenwerden. Fehlende Steckdosen sollten nachgerstet werden.

Die Sicherheitsempfehlungen zum Thema Elektrotechnische Verkabelung mssen zielgruppengerechtaufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zum ThemaElektrotechnische Verkabelung finden sich im Baustein B 2.2 Elektrotechnische Verkabelung und in denweiteren Bereichen der IT-Grundschutz-Kataloge.



GR 2.3 Broraum

Der Broraum ist ein Raum, in dem sich ein oder mehrere Personen aufhalten, um dort der Erledigungihrer Aufgaben nachzugehen. Diese Aufgaben knnen (auch IT-untersttzt) aus den verschiedenstenTtigkeiten bestehen: Erstellung von Schriftstcken, Bearbeitung von Karteien und Listen, Durchfhrungvon Besprechungen und Telefonaten, Lesen von Akten und sonstigen Unterlagen.

- Alle Brorume sollten gegen unbefugten Zutritt ausreichend geschtzt sein. Dafr mussfestgelegt werden, wer zu welchen Rumen unter welchen Bedingungen Zutritt erh

- Fenster und Tren sind zu verschlieen, wenn ein Raum nicht besetzt ist.- Brorume mssen so ausgestattet sein, dass schutzbedrftige Datentrger und Dokumente

weggeschlossen werden knnen. Dazu mssen beispielsweise verschliebare Schreibtische,Rollcontainer oder Schrnke vorhanden sein.

- In Bros mit Publikumsverkehr sollten Diebstahlsicherungen zum Schutz von IT-Systemen (z. B.Laptops) vorgesehen werden, da andernfalls die Gefahr relativ gro ist, dass solche Gerte ineinem unbewachten Augenblick "verschwinden".

- Arbeitspltze sollten unter ergonomischen Gesichtspunkten eingerichtet werden. DasArbeitsumfeld sollte gegen Strungen durch Lrm oder Staub so gut wie mglich abgeschirmtsein.

- Alle Mitarbeiter mssen darauf hingewiesen werden, dass auch in Brorumen die vorhandenenIT-Gerte, Zubehr, Software oder Daten ausreichend gegen Diebstahl, Zerstrung undVernderungen geschtzt werden mssen.

Die Sicherheitsempfehlungen zum Thema Brorume mssen zielgruppengerecht aufbereitet undinstitutionsweit verffentlicht werden. Weitere Informationen zum Thema Brorume finden sich imBaustein B 2.3 Broraum und in den weiteren Bereichen der IT-Grundschutz-Kataloge.



GR 2.4 Serverraum

Server sollten in speziellen Serverrumen untergebracht werden, in dem auch weitere serverspezifischeUnterlagen, Datentrger oder Hardware (wie z. B. Router, Switches oder Klimatechnik) vorhanden seinknnen. Ein Serverraum ist ein geschlossener Sicherheitsbereich. Er ist kein stndiger Arbeitsplatz undsollte lediglich fr sporadische und kurzfristige Aufgaben betreten werden.

- Ein Serverraum muss Server und die anderen aufgestellten IT-Gerte angemessen physischschtzen. Er muss vor unbefugtem Zutritt geschtzt sein, eine angemessene Stromversorgungund Klimatisierung bieten. Auerdem muss er ausreichenden Brandschutz und Schutz vorWasser- und anderen Umweltschden bieten.

- Der Zutritt zum Serverraum muss auf die Personen beschrnkt werden, die direkten Zugriffauf Server und sonstige im Serverraum installierte IT-Gerte bentigen. Neben hochwertigenZutrittskontrollmechanismen sollten Sicherheitstren und -fenster eingebaut werden. Serverrumesollten grundstzlich verschlossen werden, wenn sie nicht besetzt sind.

- Serverrume sollten so geplant bzw. ausgewhlt werden, dass potentielle Gefhrdungen durchUmgebungseinflsse minimiert werden.

- Es ist fr ausreichenden Brandschutz zu sorgen. Es muss ein absolutes Rauchverbot verhngtwerden. In jedem Serverraum sollten Handfeuerlscher, die fr elektronische Gerte geeignetsind, und Not-Aus-Schalter griffbereit vorhanden sein.

- Es sollten nach Mglichkeit keine Versorgungsleitungen, z. B. fr Wasser oder Gas, durch denServerraum verlaufen.

- Auf eine ausreichende Klimatisierung des Serverraumes ist zu achten.- Die im Serverraum verwendeten Stromkreise mssen so ausgelegt sein, dass sie den

tatschlichen Bedrfnissen der vorhandenen Technik gengen.- Damit es durch Spannungsspitzen im Stromnetz nicht zur Schdigung der elektrischen Gerte im

Serverraum kommt, mssen Manahmen zum berspannungsschutz und gegen elektrostatischeAufladung getroffen werden.

- Es sollte eine (oder mehrere) unterbrechungsfreie Stromversorgung im Serverraum vorhandensein, um einen kurzzeitigen Stromausfall zu berbrcken. Die Stromversorgung sollte zumindestsolange aufrechterhalten bleiben, dass ein geordnetes Herunterfahren der angeschlossenenSysteme mglich ist.

Die Sicherheitsempfehlungen zum Thema Serverraum mssen zielgruppengerecht aufbereitet undinstitutionsweit verffentlicht werden. Weitere Informationen zum Thema Serverraum finden sich imBaustein B 2.4 Serverraum und in den weiteren Bereichen der IT-Grundschutz-Kataloge.



GR 2.5 Datentrgerarchiv

Ein Datentrgerarchiv dient der Lagerung von Datentrgern jeder Art. Bei zentralen Datentrgerarchivenund Datensicherungsarchiven ist die Nutzung von Datensicherungsschrnken empfehlenswert, um denBrandschutz, den Schutz gegen unbefugten Zugriff und die Durchsetzung von Zugangsberechtigungenzu untersttzen.

- Ein Datentrgerarchiv muss einen angemessen physischen Schutz fr die dort gelagertenDatentrger bieten. Es muss vor unbefugtem Zutritt geschtzt sein, eine angemesseneStromversorgung und Klimatisierung bieten. Auerdem muss es ausreichenden Brandschutz undSchutz vor Wasser- und anderen Umweltschden bieten.

- Der Zutritt zum Datentrgerarchiv muss auf die Personen beschrnkt werden, die imRahmen ihrer Aufgaben direkten Zugriff auf die Datentrger bentigen. Neben hochwertigenZutrittskontrollmechanismen sollten Sicherheitstren und -fenster eingebaut werden. EinDatentrgerarchiv sollte grundstzlich abgeschlossen sein, solange sich dort niemand aufhlt.

- Datentrgerarchive sollten so geplant bzw. ausgewhlt werden, dass potentielle Gefhrdungendurch Umgebungseinflsse minimiert werden.

- Es ist fr ausreichenden Brandschutz zu sorgen, die Rume sollten ber eineGefahrenmeldeanlage verfgen. Es muss ein absolutes Rauchverbot verhngt werden.Handfeuerlscher sollten griffbereit vorhanden sein.

- Es sollten nach Mglichkeit keine Versorgungsleitungen, z. B. fr Wasser oder Gas, durch einDatentrgerarchiv verlaufen.

- Auf eine ausreichende Klimatisierung des Datentrgerarchivs ist zu achten.

Die Sicherheitsempfehlungen zum Thema Datentrgerarchiv mssen zielgruppengerecht aufbereitetund institutionsweit verffentlicht werden. Weitere Informationen zum Thema Datentrgerarchiv findensich im Baustein B 2.5 Datentrgerarchiv und in den weiteren Bereichen der IT-Grundschutz-Kataloge.



GR 2.6 Raum fr technische Infrastruktur

In Rumen fr technische Infrastruktur werden Gerte und Einrichtungen untergebracht, die selten odernie direkt von Menschen bedient werden mssen. Im Allgemeinen finden sich hier Verteiler fr dieinternen Versorgungsnetze, Sicherungen der Elektroversorgung oder auch Netzkoppel-Elemente. Esknnen hier auch Netzserver untergebracht werden, wenn kein separater Serverraum vorhanden ist.

- Ein Raum fr technische Infrastruktur muss eine hinreichende physische Sicherheit bieten.Er muss vor unbefugtem Zutritt geschtzt sein, eine angemessene Stromversorgung undKlimatisierung bieten. Auerdem muss er ausreichenden Brandschutz und Schutz vor Wasser-und anderen Umweltschden bieten.

- Der Zutritt zu Rumen fr technische Infrastruktur muss auf die Personen beschrnkt werden, diemit den entsprechenden technischen Wartungsaufgaben betraut sind.

- Rume fr technische Infrastruktur sollten grundstzlich immer verschlossen sein, wenn die dortaufgestellten Gerte nicht so in Schrnken verschlossen sind, dass keine unbefugte Nutzungmglich ist.

- Es ist fr ausreichenden Brandschutz zu sorgen. Es muss ein absolutes Rauchverbot verhngtwerden. Es sollten Handfeuerlscher, die fr elektronische Gerte geeignet sind, und Not-Aus-Schalter griffbereit vorhanden sein.

- Es sollten nach Mglichkeit keine Versorgungsleitungen, z. B. fr Wasser oder Gas, durch Rumefr technische Infrastruktur verlaufen.

- Die Stromkreise mssen so ausgelegt sein, dass sie den tatschlichen Bedrfnissen dervorhandenen Technik gengen. Damit es durch Spannungsspitzen im Stromnetz nicht zurSchdigung der elektrischen Gerte kommt, mssen Manahmen zum berspannungsschutzgetroffen werden.

- Bei erhhten Sicherheitsanforderungen sollten Infrastrukturrume darber hinaus durchbesonders gesicherte Tren und Fenster auch gegen gewaltsames Eindringen geschtzt werden,da sie oft bevorzugte Angriffsziele darstellen.

Die Sicherheitsempfehlungen zum Thema Raum fr technische Infrastruktur mssenzielgruppengerecht aufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zumThema Raum fr technische Infrastruktur finden sich im Baustein B 2.6 Raum fr technische Infrastrukturund in den weiteren Bereichen der IT-Grundschutz-Kataloge.



GR 2.7 Schutzschrnke

Schutzschrnke dienen zur Aufbewahrung von Datentrgern jeder Art oder zur Unterbringungvon informationstechnischen Gerten ("Serverschrank"). Schutzschrnke sollen den Inhalt gegenunbefugten Zugriff und/oder gegen die Einwirkung von Feuer, Wasser oder schdigenden Stoffen (z. B.Staub) schtzen. Schutzschrnke knnen auch in Serverrumen oder Datentrgerarchiven eingesetztwerden, um die Schutzwirkung der Rume zu erhhen.

- Schutzschrnke sind so ausgelegt, dass sie vor bestimmten Bedrohungen schtzen knnen.Damit der fr den jeweiligen Einsatzzweck geeignete Schutzschrank ausgewhlt wird, mssenaus den geplanten Einsatzszenarien die Anforderungen an den Schutzschrank abgeleitet werden(Einsatzplanung).

- Der Schutzschrank sollte ausreichend dimensioniert sein. Bei Serverschrnken sollte daraufgeachtet werden, dass Administrationsarbeiten am Server ungehindert durchgefhrt werdenknnen.

- Der Zugriff auf den Schutzschrank muss auf die Personen beschrnkt werden, die aufgrund ihrerAufgaben direkten Zugriff auf die darin befindlichen IT-Systeme oder Datentrger bentigen.Daher muss bei der Beschaffung auf die Gte des Schlosses geachtet werden. Schutzschrnkemssen bei Nichtbenutzung verschlossen werden.

- Bei einer Nutzung als Serverschrank knnen auch eine Klimatisierung und/oder eine USV-Versorgung erforderlich sein. Die entsprechenden Gerte sollten dann im Schrank mituntergebracht werden. Andernfalls muss zumindest eine Lftung vorhanden sein. Es ist zuempfehlen, den Schrank mit einem lokal arbeitenden Brandfrherkennungssystem auszustatten.

- Bei der Aufstellung von Schutzschrnken ist die zulssige Deckenbelastung am Aufstellungsortzu bercksichtigen. Wenn Schutzschrnke in wenig gesicherten Umgebungen aufgestellt werden,sollten sie in der Wand oder im Boden verankert werden.

Die Sicherheitsempfehlungen zum Thema Schutzschrnke mssen zielgruppengerecht aufbereitet undinstitutionsweit verffentlicht werden. Weitere Informationen zum Thema Schutzschrnke finden sich imBaustein B 2.7 Schutzschrnke und in den weiteren Bereichen der IT-Grundschutz-Katalog



GR 2.8 Huslicher Arbeitsplatz

Ein huslicher Arbeitsplatz kann zum Beispiel von Telearbeitern, freien Mitarbeitern oder Selbstndigengenutzt werden. Bei einem huslichen Arbeitsplatz kann nicht die infrastrukturelle Sicherheit, wie siein einer Broumgebung innerhalb der Rumlichkeiten einer Institution anzutreffen ist, vorausgesetztwerden. Sobald dienstliche Aufgaben daher nicht in den Rumen des Unternehmens bzw. derBehrde, sondern in der huslichen Umgebung wahrgenommen werden, sind Sicherheitsmanahmenzu ergreifen, die eine mit einem Broraum vergleichbare Sicherheitssituation erreichen lassen.

- Ein huslicher Arbeitsplatz sollte von der brigen Wohnung durch eine Tr abgetrennt sein. Es istsinnvoll, fr einen huslichen Arbeitsplatz ein getrenntes Arbeitszimmer einzurichten.

- Der husliche Arbeitsplatz muss ber eine geeignete Einrichtung verfgen. Dazu gehrenneben ausreichend Platz geeignete Brombel, Beheizungs- und Belftungsmglichkeiten, eineausreichende Beleuchtung sowie Strom- und Telefonanschlsse.

- Dienstliche Unterlagen und Datentrger mssen am huslichen Arbeitsplatz so aufbewahrtwerden, dass kein Unbefugter darauf zugreifen kann. Daher mssen ausreichende verschliebareBehltnisse (Schreibtisch, Rollcontainer, Schrank, etc.) vorhanden sein.

- Es ist zu regeln, welche Informationen am huslichen Arbeitsplatz bearbeitet und zwischen derInstitution und dem huslichen Arbeitsplatz hin und her transportiert werden drfen und welcheSchutzvorkehrungen dabei zu treffen sind.

- Fenster und Tren sind zu verschlieen, wenn der husliche Arbeitsplatz nicht besetzt ist.- Vertrauliche Informationen (z. B. Notizen, alte Datensicherungen) mssen sicher entsorgt werden.

Sie drfen nicht einfach in den Hausmll geworfen werden.

Die Sicherheitsempfehlungen zum Thema Huslicher Arbeitsplatz mssen zielgruppengerechtaufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zum Thema HuslicherArbeitsplatz finden sich im Baustein B 2.8 Huslicher Arbeitsplatz und in weiteren Bereichen der IT-Grundschutz-Kataloge.



GR 2.9 Rechenzentrum

Als Rechenzentrum werden die fr den Betrieb von greren, zentral fr mehrere Stellen eingesetztenInformations- und Kommunikationssystemen erforderlichen Einrichtungen bezeichnet. Beispiele hierfrsind Rumlichkeiten fr groe Rechner- und Drucksysteme sowie zentrale digitale Archive. EinRechenzentrum ist entweder stndig personell besetzt oder durch eine Rufbereitschaft erreichbar.Um dem gestiegenen Leistungsbedarf auf Anwendungs-, System- und Netzebene gerecht zuwerden, haben viele Unternehmen mittlerer Gre ihre IT-Landschaft auf Rechenzentren umgestelltbeziehungsweise ihre Produktiv-Hardware in ein Rechenzentrum verlagert.

- Bei der Planung und beim Betrieb eines Rechenszentrums ist auf eine hinreichende physischeSicherheit zu achten. Das Rechenzentrum sollte als geschlossener Sicherheitsbereich konzipiertsein.

- Der Zutritt zu schutzbedrftigen Gebudeteilen und Rumen ist zu regeln und zu kontrollieren.Die Manahmen reichen dabei von einer einfachen Schlsselvergabe bis zu aufwendigenIdentifizierungs- und Zutrittskontrollsystemen.

- Zutritt zum Rechenzentrum sollten nur diejenigen Personen erhalten, die zur Durchfhrungihrer Aufgaben direkten Zugriff auf im Rechenzentrum installierte Gerte, Kabel undInfrastruktureinrichtungen bentigen. Personal zur Reinigung oder Wartung solltevertrauenswrdig sein und nur unter berwachung Zutritt erhalten.

- Fr die in Rechenzentren betriebenen IT-Komponenten wird ein hohes Ma an Verfgbarkeitgefordert. Die infrastrukturellen und technischen Anlagen sollten daher zur berbrckungeinzelner Ausflle redundant ausgelegt sein.

- Um einen ausreichenden Brandschutz zu gewhrleisten, sollten im Rechenzentrum unter anderemLschgerte und eine Brandmeldeanlage vorhanden sein. In angemessenen Abstnden sindAlarmierungs- und Brandschutzbungen durchzufhren.

- Unntige Brandlasten, wie Verpackungsmaterial oder Altakten, haben in Rechenzentren nichts zusuchen und sollten in dafr vorgesehenen Lagerrumen oder Archiven aufbewahrt werden.

- In Gebuden, die auch noch anderweitig genutzt werden, sollte das Rechenzentrums in einemeigenen Brandabschnitt gewhlt werden. Rechenzentren sollten nach auen keinen Hinweis aufihre Nutzung tragen.

- Fenster und Tren in einem Rechenzentrum mssen geschlossen und zu Zeiten, in denen esnicht besetzt ist, abgeschlossen sein. Auerdem sind einbruchhemmende, feuerhemmende undrauchdichte Sicherheitstren und -fenster zu verwenden.

- Ein generelles Rauchverbot sollte selbstverstndlich sein. Dieses Rauchverbot dientgleichermaen dem vorbeugenden Brandschutz wie der Betriebssicherheit von IT mitmechanischen Funktionseinheiten.

Die Sicherheitsempfehlungen zum Thema Rechenzentrum mssen zielgruppengerecht aufbereitet undinstitutionsweit verffentlicht werden. Weitere Informationen zum Thema Rechenzentrum finden sich imBaustein B 2.9 Rechenzentrum und in verwandten Bereichen der IT-Grundschutz-Kataloge.



GR 2.10 Mobiler Arbeitsplatz

Dienstliche Aufgaben werden hufig nicht mehr nur in den Rumen der Institution selberwahrgenommen, sondern an wechselnden Arbeitspltzen und in unterschiedlichen Umgebungen. Diedabei verarbeitenden Informationen mssen angemessen geschtzt werden, in Wort, Schrift und IT.Die Leistungsfhigkeit von mobilen IT-Systemen wie beispielsweise Laptops, Handys und PDAs wchststndig und lsst es zu, groe Mengen geschftsrelevanter Informationen auerhalb der Rume derjeweiligen Institution zu bearbeiten. Dabei ist zu beachten, dass die infrastrukturelle Sicherheit nicht dereiner Broumgebung entspricht.

- Fr die Verarbeitung von Informationen auerhalb der Institutionsgrenzen sind klare Regelungenzu treffen. Fr alle Arbeiten unterwegs ist zu regeln, welche Informationen auerhalb desUnternehmen bzw. der Behrde transportiert und bearbeitet werden drfen und welcheSchutzvorkehrungen dabei zu treffen sind.

- Die Art und der Umfang der Mitnahme von Datentrgern und IT-Komponenten ist klar zu regeln.So muss festgelegt werden, welche mobilen Datentrger verwendet und welche Informationendarauf transportiert werden drfen. Vor allem die Nutzung von mobilen Endgerten muss klargeregelt sein.

- Die Nutzer von mobilen Endgerten sind fr den Wert mobiler IT-Systeme und den Wertder darauf gespeicherten Informationen zu sensibilisieren. Sie sollten ber die spezifischenGefhrdungen und Manahmen der von ihnen benutzten Gerte aufgeklrt werden.

- Bei der mobilen Arbeit ist sicherzustellen, dass Dritte beispielsweise durch Mithren im Zugoder Mitlesen auf einem Laptop-Bildschirm keine wichtigen Informationen erfahren. SensibleInformationen sollten daher ausserhalb der geschtzen Broumgebung nicht bearbeitet werden.

- An mobilen Arbeitspltzen sollten weder dienstliche Unterlagen noch mobile IT-Systemeunbeaufsichtigt bleiben. Sie sollten zumindest gegen einfache Wegnahme gesichert werden,also beispielsweise mit Diebstahlsicherungen versehen, in Schrnke geschlossen oder andere,einfache Manahmen ergriffen werden.

- Es ist sicherzustellen, dass Datentrger auch beim mobilen Einsatz sicher entsorgt werden. Vorder Entsorgung ausgedienter oder defekter Datentrger und Dokumente ist genau zu berlegen,ob diese sensible Informationen enthalten. In diesem Fall mssen die Datentrger und Dokumentewieder mit zurck transportiert werden und auf institutseigenem Wege entsorgt bzw. vernichtetwerden.

- Wenn eine Verarbeitung von Informationen auf fremden IT-Systemen, beispielsweise in einemInternet-Caf oder bei einem Kunden, notwendig ist, ist sicherzustellen, dass keine vertraulichenInformationen verarbeitet werden. Vor allem ist darauf zu achten, dass gewhrleistet ist, dass dieInformationen sicher vernichtet werden und beispielsweise der Browser Cache nach dem Besuchdes Firmenintranets gelscht wird.

Die Sicherheitsempfehlungen zum Thema Mobiler Arbeitsplatz mssen zielgruppengerecht aufbereitetund institutionsweit verffentlicht werden. Weitere Informationen zum Thema Mobiler Arbeitsplatz findensich im Baustein B 2.10 Mobiler Arbeitsplatz und in den weiteren Bereichen der IT-Grundschutz-Kataloge.



GR 2.11 Besprechungs-, Veranstaltungs-und Schulungsrume

Besprechungs-, Veranstaltungs- und Schulungsrume werden von wechselnden Personen bzw.Personenkreisen (sowohl von eigenem Personal als auch durch Externe) genutzt. Dabei kanndie Nutzungsdauer stark variieren. In diesen Rumen werden Informationen mit unterschiedlichemSchutzbedarf bearbeitet und ausgetauscht.

- Es mssen Sicherheitsregeln fr die Nutzung der Besprechungs-, Veranstaltungs- undSchulungsrume erstellt werden sowie technisch und organisatorisch umgesetzt werden. Diesumfasst Verhaltenshinweise genereller Art fr die Benutzer, aber auch Vorgaben zur Benutzungsowohl fest installierter als auch mitgebrachter IT-Gerte.

- Die in Besprechungs-, Veranstaltungs- und Schulungsrume besprochenen und ausgetauschtenInformationen mssen entsprechend ihres Schutzbedarfs gegen unbefugte Kenntnisnahmegeschtzt werden. Beim Austausch und der Verarbeitung von elektronischen Informationen musssichergestellt sein, dass diese nicht die internen IT-Systeme gefhrden knnen

- Externe Teilnehmer von Besprechungen oder Schulungen sollten auerhalb der Besprechungs-und Schulungsrume nicht unbeaufsichtigt sicherheitsrelevante Bereiche der Institution betretenknnen.

- Es muss geklrt werden, unter welchen Rahmenbedingungen Externe mitgebrachte IT-Systemewie Handys oder Laptops einsetzen drfen.

- Die in Besprechungs-, Veranstaltungs- und Schulungsrumen vorhandene IT muss entsprechendden Erfordernissen konfiguriert und administriert werden. Dabei mssen auch Zustndigkeiten frAdministration und Problembehandlung festgelegt werden.

- IT-Systeme, die dauerhaft in Besprechungs-, Veranstaltungs- und Schulungsrumen betriebenwerden, mssen sicher konfiguriert sein, so dass sie vor Manipulationen und vor Schadsoftwaregeschtzt sind. Hierfr sollten Standardkonfigurationen vordefiniert sein, damit sie schnell neuinstalliert werden knnen und ein Mindestniveau an Sicherheit gewhrleistet ist.

- IT-Systeme in Besprechungs- und Schulungsrumen sollten restriktiv konfiguriert und gehrtetsein. Es sollten Sicherheitsprogramme installiert sein, wie z. B. Virenschutz-Programm, PersonalFirewall und Integrittsprfprogramm.

- Es drfen weder durch eigene, noch durch fremde IT externe Verbindungen unter Umgehungder internen Sicherheitsmanahmen, z. B. der Firewall, geschaffen werden. Daher sind alleBenutzer auf die Gefahren hinzuweisen, die mit der Schaffung "wilder" Zugnge verbunden sind.Es muss auch klare Regelungen fr Zugriffe auf LAN- und TK-Schnittstellen aus Besprechungs-und Schulungsrumen geben.

Die Sicherheitsempfehlungen zum Thema Besprechungs-, Veranstaltungs- und Schulungsrumemssen zielgruppengerecht aufbereitet und institutionsweit verffentlicht werden. Weitere Informationenzum Thema Besprechungs-, Veranstaltungs- und Schulungsrume finden sich im Baustein B 2.11Besprechungs-, Veranstaltungs- und Schulungsrume und weiteren Bereichen der IT-Grundschutz-Kataloge.



GR 2.12 IT-Verkabelung

Die IT-Verkabelung ist die physikalische Grundlage der internen Kommunikationsnetze einer Institutionund reicht von den bergabepunkten aus einem Fremdnetz bis zu den Anschlusspunkten derNetzteilnehmer. Zu den aktiven Netzkomponenten, wie z. B. Router oder Switches, sowie fr dieelektrotechnische Verkabelung sind eigene goldenen Regeln definiert und bei den entsprechendenBausteinen zu finden.

- Bevor grere Vernderungen an der IT-Verkabelung oder eine Neuverkabelung vonRumen oder Gebuden vorgenommen werden soll, muss eine Anforderungsanalysedurchgefhrt werden. Diese bildet die Grundlage fr die Auswahl geeigneter Kabeltypen diedem jeweiligen Einsatzzweck, wie z. B. Primr-, Sekundr- oder Tertir-Verkabelung, gerechtwerden. Die Kabel sind dabei nicht nur aus physikalisch-mechanischer, sondern auch auskommunikationstechnischer Sicht auszuwhlen.

- Es muss darauf geachtet werden, dass ausreichend Platz fr Kabel in den Trassen vorhanden ist.Auch mssen Normen beim Verlegen der IT-Kabel, wie z. B. Biegeradien oder maximale Lngen,eingehalten werden. Die Installation der IT-Kabel sollte mit besonderer Sorgfalt und nur durchausreichend geschultes Personal oder durch einen externen Fachbetrieb erfolgen.

- Fr die Wartung, Fehlersuche, Instandsetzung und fr eine erfolgreiche berprfung derVerkabelung ist eine nachvollziehbare und aktuelle Dokumentation und eine eindeutigeKennzeichnung aller zugehrigen Komponenten erforderlich. Die IT-Verkabelung ist daher genauzu dokumentieren und die einzelnen Kabel und Trassen beispielsweise auf Gebudeplneneinzutragen. Bei einer Installation durch einen Drittanbieter ist bei der Abnahme der IT-Verkabelung auch zu berprfen, ob die Dokumentation vollstndig und nachvollziehbar ist.

- Leitungen und Verteiler sind gegen unbefugte Zugriffe zu sichern. Die Zahl der Stellen, an denenKabel oder Verteiler zugnglich sind, sollte auf ein Mindestma reduziert werden.

- Bei der Dokumentation an den Kabeln ist darauf zu achten, dass diese fr Befugtenachvollziehbar, aber ansonsten neutral ist, damit keine Rckschlsse auf Art der bertragenenDaten und die Wichtigkeit des IT-Kabels gezogen werden knnen.

- Bestehende Verbindungen sind regelmig zu berprfen, ob diese noch mit den dokumentiertenNetzteilnehmern verbunden sind und noch die Aufgabe erfllen, fr die sie installiert wurden. Auchsind die Kabel auf evtl. Beschdigungen etc. zu berprfen.

- Nicht bentigte Kabel sind zu entfernen. Damit werden Brandlasten und die Gefahr vonelektrischen Strungen, z. B. durch das Verschleppen von berspannungen, reduziert.

Die Sicherheitsempfehlungen zum Thema IT-Verkabelung mssen zielgruppengerecht aufbereitet undinstitutionsweit verffentlicht werden. Weitere Informationen zum Thema IT-Verkabelung finden sich imBaustein B 2.12 IT-Verkabelung und in weiteren Bereichen der IT-Grundschutz-Kataloge.



GR 3.101 Allgemeiner Server

Server sind IT-Systeme, die Dienste (Services) fr andere IT-Systeme (Clients) im Netz anbieten.Fr Server stehen unterschiedliche Betriebssysteme zur Verfgung, unter anderem Unix bzw. Linux,Microsoft Windows und Novell Netware. Betrachtet werden Sicherheitsaspekte, die unabhngig vomeingesetzten Betriebssystem fr Server relevant sind.

- Server mssen an Orten betrieben werden, zu denen nur berechtigte Personen Zutritt haben.Server sollten daher grundstzlich in Rechenzentren, Rechnerrumen oder abschliebarenServerschrnken aufgestellt beziehungsweise eingebaut werden. Dabei ist zu regeln, wer Zutrittzu den Rumen beziehungsweise Zugriff auf die Server selbst erhlt. Server sollten nicht alsArbeitsplatzrechner genutzt werden.

- Alle Server mssen an unterbrechungsfreie Stromversorgungen (USV) angeschlossenwerden, damit Stromausflle solange berbrckt werden knnen, bis entweder die (Ersatz-)Energieversorgung wieder sichergestellt ist oder die Server geordnet heruntergefahren sind.

- Zugriffsrechte auf Dateien, die auf Servern gespeichert sind, mssen restriktiv vergeben werden.Jeder Benutzer darf nur auf die Dateien Zugriffsrechte erhalten, die er fr seine Aufgabenerfllungbentigt.

- Das gesamte Netz einer Organisation sollte durch ein entsprechendes Sicherheitsgatewaygeschtzt sein. Server, die Dienste nach auen hin anbieten, sollten in einer DemilitarisiertenZone (DMZ) aufgestellt werden.

- Server sollten mglichst nicht im selben IP-Subnetz wie die Clients platziert werden. Wenn Serverzumindest durch einen Router von den Clients getrennt sind, bestehen wesentlich bessereMglichkeiten zur Steuerung des Zugriffs und zur Erkennung von Anomalien im Netzverkehr, dieauf mgliche Probleme hindeuten.

- Server knnen beispielsweise lokal ber eine Konsole, ber das Netz oder ber ein zentralesnetzbasiertes Tool administriert werden. Abhngig von der genutzten Zugriffsart mssengeeignete Sicherheitsvorkehrungen getroffen werden.

- Es ist zu entscheiden, welche Informationen durch die Server mindestens protokolliertwerden sollen, wie lange die Protokolldaten aufbewahrt werden sollen und wer unter welchenVoraussetzungen die Protokolldaten einsehen darf.

- Nicht bentigte Netzdienste von Servern mssen deaktiviert oder deinstalliert werden.

Die Sicherheitsempfehlungen zum Thema Allgemeiner Server mssen zielgruppengerecht aufbereitetund institutionsweit verffentlicht werden. Weitere Informationen zum Thema Allgemeiner Server findensich im Baustein B 3.101 Allgemeiner Server und in weiteren Bereichen der IT-Grundschutz-Kataloge.



GR 3.102 Server unter Unix

Unix-Server sind Rechner mit dem Betriebssystem Unix, die in einem Netz Dienste anbieten, die vonanderen IT-Systemen in Anspruch genommen werden knnen. Betrachtet werden Sicherheitsaspekteder Unix-Familie, neben klassischen Unix-Systemen auch unix-hnliche Systeme wie Linux.

- Fr den Mountpoint "/var" sollte eine eigene Partition, beziehungsweise Slice, verwendet werden.Bei verschiedenen Derivaten knnen Partitionen zustzlich in Slices unterteilt werden.

- Der unkontrollierte Zugang zum Single-User-Modus muss verhindert werden. Beim Booten in denSingle-User-Modus sollte daher das Super-User-Passwort abgefragt werden.

- Die Passwrter drfen nicht in der allgemein lesbaren Datei /etc/passwd, sondern in einer frdie Benutzer nicht lesbaren shadow-Passwortdatei gespeichert sein. Die Datei /etc/passwd istregelmig auf Benutzer-Kennungen ohne Passwort zu untersuchen. Wird eine solche gefunden,ist der Benutzer zu sperren. Benutzer und Gruppen, die nicht bentigt werden, sind zu entfernen.

- Das s-Bit bei allen Dateien sollte nur gesetzt sein, wenn es unbedingt erforderlich ist. BeiShellskripten sollte das s-Bit nicht gesetzt sein. Das s-Bit darf nur vom Administrator gesetztwerden, die Notwendigkeit hierfr ist zu begrnden und zu dokumentieren.

- Es sollte berprft werden, welche Dienste auf dem Unix-Server laufen. Nicht bentigte Dienstesollten deaktiviert oder entfernt werden. Die Dienste rshd, rlogind, rexecd sollten unbedingtdeaktiviert werden, da sie unsicher sind. Wenn das System nicht als Mailserver fungiert, sollte deroft in der Standard-Installation aktivierte Maildaemon als Netzdienst deaktiviert werden. Aus derKonfigurationsdatei /etc/inetd.conf sollten alle nicht bentigten Eintrge entfernt werden.

- Der Dienst "Telnet" muss deaktiviert werden. Wird ein Administrationszugang bentigt, kann statt"Telnet" auch "ssh" eingesetzt werden. Es sollte die ssh-Version 2 (SSH-2) verwendet werden.

- In den meisten Unix-Systemen gibt es nur eine Administrationsrolle ("root"). Die direkteAnmeldung als "root" sollte unterbunden werden. Statt dessen sollten sich die Administratoren nurals normale Benutzer anmelden drfen und nur fr die Erfllung einzelner Aufgaben "root"-Rechteerlangen knnen.

- Die Protokollmglichkeiten des einzelnen Unix-Systems sind einzusetzen und die Protokoll-Dateien mssen regelmig ausgewertet werden. Die Konfigurationsdatei /etc/syslog.conf ist frdie Aktivierung der Protokollfunktionen anzupassen.

- Sicherheitskritische Softwarefehler mssen durch Updates beseitigt oder durch andereManahmen verhindert werden. Aktualisierungen und Updates des Kernels sollten insbesonderebei bekannten Schwachstellen durchgefhrt werden, das Update ist wegen einer hohenFehleranflligkeit und einen erforderlichen Neustart zu planen.

Die Sicherheitsempfehlungen zum Thema Server unter Unix mssen zielgruppengerecht aufbereitetund institutionsweit verffentlicht werden. Weitere Informationen zum Thema Server unter Unix findensich im Baustein B 3.102 Server unter Unix und in weiteren Bereichen der IT-Grundschutz-Kataloge.



GR 3.105 Server unter Novell NetwareVersion 4.x

Novell Netware wird auf PC-Servern betrieben und stellt im wesentlichen die InfrastrukturdiensteAuthentisierung, Verzeichnisdienst, Dateidienst, Druckdienst und Protokolldienst in einem Netz zurVerfgung. Betrachtet werden Sicherheitsaspekte des Betriebssystem Novell Netware 4.x.

- Fr den Entwurf des NDS (Novell Directory Services)-Verzeichnisbaumes sollte eine grndlicheund sorgfltige Planung durchgefhrt werden.

- Vor der Installation sollte das Handbuch Installation fr Novell Netware 4.x durchgearbeitet und dieSicherheitsempfehlungen daraus umgesetzt werden.

- Ein wesentlicher Punkt bei der sicheren Einrichtung von Netware 4.x Netzen ist das Anlegen vonBenutzer-Accounts. Zu diesem Zweck sollten Schablonen (Templates) fr Standard-Benutzer desjeweiligen Kontextes angelegt werden.

- Um die versehentliche Freigabe von Verzeichnissen durch einen Benutzer zu verhindern,sollte die Systemadministration Benutzergruppen und Benutzern in den ihnen zugewiesenenVerzeichnissen und Dateien die Rechte "Supervisor" (S) und "Access Control" (A) nicht erteilendrfen.

- Der Account des Benutzers "Admin" sollte bei der tglichen Administrationsarbeit nicht verwendet,sondern nur in Notfllen benutzt werden. Fr Administratoren sollten daher spezielle Benutzer-Accounts der Netware Sicherheitsstufe "Supervisor" eingerichtet werde

- Die Konsole muss regelmig auf Meldungen beobachtet werden.- Die Stabilitt eines Netware 4.x Netzes hngt wesentlich von der Zeitsynchronisation ab und

steht im direkten Zusammenhang mit den Novell Directory Services (NDS). Die Uhren smtlicherNetware-Server der NDS drfen nicht mehr als zwei Sekunden voneinander abweichen.

Die Sicherheitsempfehlungen zum Thema Server unter Novell Netware Version 4.x mssenzielgruppengerecht aufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zumThema Server unter Novell Netware Version 4.x finden sich im Baustein B 3.105 Server unter NovellNetware Version 4.x und in weiteren Bereichen der IT-Grundschutz-Kataloge.



GR 3.106 Server unter Windows 2000

Ein Server mit dem Betriebssystem Windows 2000 wird hufig eingesetzt, um in kleinen, mittleren odergroen Rechnernetzen Serverdienste bereitzustellen. Schwachstellen auf der Betriebssystemebeneeines Servers knnen die Sicherheit aller Anwendungen und angeschlossenen IT-Systemebeeintrchtigen, ein Server unter Windows 2000 sollte daher besonders geschtzt werden.

- Schon in der Planungsphase eines Windows 2000 Servers ist ein Konzept fr die berwachungdieses Systems zu erarbeiten. Hierbei ist festzulegen, in welchen Intervallen welcheInformationen protokolliert werden sollten, um gewhrleisten zu knnen, dass die festgelegtenSicherheitsrichtlinien eingehalten werden.

- Windows 2000 stellt eine Reihe von Werkzeugen und Mechanismen zur Verfgung, die frdie Administration verwendet werden sollten. Hierbei sind vor allem Windows File Protectionzur Sicherstellung der Integritt von Systemdateien und der Sicherheitseditor secedit frdie Konfiguration von Sicherheitseinstellungen von Bedeutung. In einer Domne sollten dieSicherheitseinstellungen zentral ber die Gruppenrichtlinien geregelt werden, die ebenfalls bereinen Windows 2000 Server definiert werden. Administrative Vorlagen mssen stets ber densogenannten sicheren Kanal zwischen unterschiedlichen Windows 2000 Servern auszutauschen.

- Das vorinstallierte Gast-Konto darf nicht genutzt und daher mglichst auch nicht aktiviert werden.Die Umbenennung des Gast-Kontos ist mglich, bietet jedoch keinen wirklichen Schutz, da dasGast-Konto beispielsweise ber die Security-ID (SID) des Kontos identifiziert werden kann.

- Das vorinstallierte Gast-Konto darf nicht genutzt und daher mglichst auch nicht aktiviert werden.Die Umbenennung des Gast-Kontos ist mglich, bietet jedoch keinen wirklichen Schutz, da dasGast-Konto beispielsweise ber die Security-ID (SID) des Kontos identifiziert werden kann.

- Fehlerhafte oder fehlende Eintrge in der Registry knnen dazu fhren, dass ein System nichtmehr lauffhig ist. Daher muss die Registry besonders geschtzt werden. Zugriffsrechte solltenbedarfsgerecht angepasst und der Zugriff ber das Netz auf die Registry restriktiv geregeltwerden.

- Wenn auf dem Server vertrauliche Daten gespeichert werden, muss eineFestplattenverschlsselung eingesetzt werden. Unter Windows 2000 Server steht hierzubeispielsweise das Dateisystem EFS (Encrypting File System - verschlsselndes Dateisystem)zur Verfgung, das die Verschlsselung einzelner Dateien untersttzt, die dafr gekennzeichnetwerden mssen.

- Ist eine abgesicherte Kommunikation zwischen Windows 2000 Rechnern gewnscht odernotwendig, sollte die Verschlsselung mittels IPSec erfolgen. Dabei ist drauf zu achten,dass alle Kommunikationspartner identifiziert und authentisiert werden und dass der IPSecVerbindungsaufbau korrekt durchgefhrt wird.

- Die auf einem Server unter Windows 2000 genutzten Dienste, beispielsweise Dynamic DomainName Service (DDNS), Routing and Remote Access Service (RRAS) oder Dynamic HostConfiguration Protocol (DHCP), mssen sicher konfiguriert werden. Auch die Zusammenarbeiteinzelner Dienste muss sicher konfiguriert werden.

Die Sicherheitsempfehlungen zum Thema Server unter Windows 2000 mssen zielgruppengerechtaufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zum Thema Server unterWindows 2000 finden sich im Baustein B 3.106 Server unter Windows 2000 und in weiteren Bereichender IT-Grundschutz-Kataloge.



GR 3.107 S/390- und zSeries-Mainframe

Die IBM S/390- und zSeries-Systeme gehren zu den Server-Systemen, die allgemein als Mainframes("Grorechner") bezeichnet werden. Mainframes haben sich von klassischen Einzelsystemen mitStapelverarbeitung hin zu modernen Client-/Server-Systemen entwickelt. Sie bilden heute das obereEnde der Palette der angebotenen Server-Systeme. In diesem Baustein werden nur Mainframes desTyps IBM zSeries bzw. IBM S/390 betrachtet. zSeries-Systeme, mit dem Betriebssystem z/OS, stelleneine logische Weiterentwicklung der OS/390-Architektur dar.

- Die IT-Leitung und das Sicherheitsmanagement mssen ein Konzept fr den Einsatz vonMainframes festlegen. Das Konzept sollte insbesondere regeln, fr welche Funktionsbereiche dieMainframes verwendet werden sollen, beispielsweise als Batch-, Datenbank- oder Applikations-Server.

- Anhand der Anforderungen, die sich aus dem Einsatzkonzept ergeben, muss entschieden werden,welche Hard- und Software-Komponenten zum Einsatz kommen und ob ein Einzelsystem oder einParallel-Sysplex-Cluster betrieben wird.

- Es muss ein Rollenkonzept fr die Systemverwaltung von z/OS-Systemen festgelegt werden, daseine klare Aufgabenteilung ohne Rollenkonflikte vorsieht. Im Sinne einer Vertretungsregelungmssen jeder Rolle mindestens zwei Personen zugeordnet werden.

- Es mssen Standards fr die z/OS-Systemdefinitionen und Sicherheitsrichtlinien festgelegtwerden, um eine einheitliche, nachvollziehbare und sichere Systemverwaltung zu erreichen. Esmuss regelmig kontrolliert werden, ob die Sicherheitsvorgaben und -richtlinien eingehaltenwerden.

- Das verwendete Sicherheitssystem (RACF, TopSecret, ACF2 etc.) muss konsequent und restriktivauf alle sicherheitsrelevanten System-Ressourcen angewandt werden.

- Die Zugriffsmglichkeiten auf sicherheitskritische Systemdefinitionen und z/OS-Dienstprogrammemssen auf das Notwendigste eingeschrnkt werden.

- Bei der sicheren Systemverwaltung mssen nicht nur der Betriebssystem-Kern, sondern auch dieSubsysteme, wie JES, TSO, USS und der Communications Server, bercksichtigt werden.

- Alle z/OS-Systeme mssen whrend des Betriebs berwacht werden, damit Betriebsstrungenfrhzeitig erkannt oder sogar vermieden werden knnen, indem rechtzeitig Korrekturmanahmenbei erkennbaren Problemen vorgenommen werden.

- Alle mit der Systemverwaltung betrauten Personen mssen ausfhrlich fr ihre jeweiligenAufgaben geschult und fr die damit ve

Documents

BSIT Golden Rules