├── Dokumentation
├── pdca.png
├── oscal_simple.png
├── namespaces
│ ├── sicherheitsniveau.csv
│ ├── verbesserung.txt
│ ├── abhängigkeit.txt
│ ├── modalverb.csv
│ ├── verwandte.txt
│ ├── stufen.csv
│ ├── readme.md
│ ├── tags.csv
│ ├── ergebnis.csv
│ ├── handlungsworte.csv
│ ├── praktiken.csv
│ ├── zielobjekte.csv
│ └── dokumentationsempfehlungen.csv
├── OSCAL.md
└── datamodel
│ └── oscal_satzschablone_schema.json
├── Quellkataloge
├── README.md
└── Grundschutz++-Methodik
│ └── grundschutz-gesamt-oscal-profile.json
├── Kompendien
└── Grundschutz++-Kompendium
│ └── README.md
├── CONTRIBUTING.md
├── README.md
├── CODE_OF_CONDUCT.md
└── LICENSE
/Dokumentation/pdca.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/BSI-Bund/Stand-der-Technik-Bibliothek/HEAD/Dokumentation/pdca.png
--------------------------------------------------------------------------------
/Dokumentation/oscal_simple.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/BSI-Bund/Stand-der-Technik-Bibliothek/HEAD/Dokumentation/oscal_simple.png
--------------------------------------------------------------------------------
/Dokumentation/namespaces/sicherheitsniveau.csv:
--------------------------------------------------------------------------------
1 | Begriff,Definition
2 | normal-SdT,Standard-Sicherheitsstufe
3 | erhöht,Erhöhte Sicherheitsstufe
4 |
--------------------------------------------------------------------------------
/Dokumentation/namespaces/verbesserung.txt:
--------------------------------------------------------------------------------
1 | Verbesserung liegt vor, wenn die Anforderung eine generelle Anforderung erweitert und so die Schutzwirkung erhöht.
--------------------------------------------------------------------------------
/Dokumentation/namespaces/abhängigkeit.txt:
--------------------------------------------------------------------------------
1 | Abhängigkeit einer Anforderung von einer anderen ist gegeben, wenn die abhängige Anforderung ihr Schutzziel nicht erreichen kann, ohne dass die vorausgesetzte Anforderung zuerst erfüllt ist. Hierbei sind ausschließlich zwingende Reihenfolgen berücksichtigt - einfache Zusammenhänge zwischen Anforderungen werden stattdessen durch verwandte Anforderungen dargestellt.
2 |
--------------------------------------------------------------------------------
/Quellkataloge/README.md:
--------------------------------------------------------------------------------
1 | # Definition Kataloge
2 |
3 | Mit [OSCAL-Katalogen](https://pages.nist.gov/OSCAL/learn/concepts/layer/control/catalog/) wird der traditionelle, oft manuelle Prozess der Sicherheitsdokumentation durch einen datenzentrierten Ansatz ersetzt, was zu einer effizienteren und konsistenteren Verwaltung von Sicherheits- und Compliance-Anforderungen führt. Quellkataloge sind maschinenlesbare, standardisierte Sammlungen von Sicherheitsvorschriften. Sie dienen als strukturierte Datenbasis, um Vorschriften des BSI (zum Beispiel aus dem Grundschutz++ oder Technischen Richtlinien) eindeutig und automatisierbar zu dokumentieren. Das BSI stellt die Kataloge über GitHub in den maschinenlesbaren OSCAL-Datenformaten JSON und XML bereit. Mit öffentlich verfügbaren Konvertern können sie leicht in andere Formate wie Office-Dateien oder PDF konvertiert werden.
4 |
5 |
6 |
--------------------------------------------------------------------------------
/Dokumentation/namespaces/modalverb.csv:
--------------------------------------------------------------------------------
1 | Begriff,Definition,UUID
2 | KANN,"Dieser Ausdruck bedeutet, dass es sich um eine Anforderung handelt, die keine generelle Verpflichtung darstellt, sondern es wird lediglich aufgezeigt, dass diese Handlung oder Maßnahme je nach Situation (d.h. nach Risikoanalyse) sinnvoll sein kann (vgl. DIN 820-2:2022-12).",1c941e58-72a5-4633-8cca-8efad571932b
3 | MUSS,"Dieser Ausdruck bedeutet, dass es sich um eine Anforderung handelt, die unbedingt erfüllt werden muss (uneingeschränkte Anforderung). Die hier genutzte Definition basiert auf [RFC2119] sowie DIN 820-2:2022, Anhang H [820-2].",73399306-1761-4311-886f-85611a8aa31d
4 | SOLLTE,"Dieser Ausdruck bedeutet, dass eine Anforderung normalerweise erfüllt werden muss, es aber Gründe geben kann, dies doch nicht zu tun. Dies muss aber sorgfältig abgewogen und stichhaltig begründet werden. Die hier genutzte Definition basiert auf [RFC2119] sowie DIN 820-2:2022, Anhang H [820-2].",a04a4855-3a63-4f06-b2f4-fc4d94aee2cf
5 |
--------------------------------------------------------------------------------
/Dokumentation/namespaces/verwandte.txt:
--------------------------------------------------------------------------------
1 | Verwandte sind andere Anforderungen, die thematisch oder funktional mit der aktuellen Anforderung verbunden sind. Diese Verweise dienen dazu, die Zusammenhänge und Abhängigkeiten zwischen verschiedenen Anforderungen aufzuzeigen und zu verdeutlichen, wie sie gemeinsam zur Erreichung umfassender Sicherheitsmaßnahmen beitragen.
2 |
3 | Die Berücksichtigung von Verwandten ist entscheidend für eine ganzheitliche Sicherheitsstrategie. Bei der Umsetzung einer Anforderung ist es naheliegend, direkt auch die Verwandten zu berücksichtigen, um sicherzustellen, dass alle relevanten Aspekte abgedeckt sind. Durch das gemeinsame Umsetzen verwandter Anforderungen können Synergien geschaffen und redundante Maßnahmen vermieden werden. Das Verständnis der Beziehungen zwischen Anforderungen unterstützt außerdem eine präzisere Risikoanalyse und hilft, potenzielle Schwachstellen zu identifizieren. Beim Erstellen von Sicherheitsdokumentationen oder Compliance-Berichten erleichtert die Kenntnis verwandter Anforderungen die Strukturierung und Nachvollziehbarkeit der Maßnahmen.
--------------------------------------------------------------------------------
/Dokumentation/namespaces/stufen.csv:
--------------------------------------------------------------------------------
1 | Stufe,Definition
2 | 0,"Der Aufwand der Anforderung wird nicht bewertet, da ihre Implementierung in jedem Fall zwingend erforderlich ist. Beispiel: Benennung eines Informationssicherheitsbeauftragten."
3 | 1,"In der Regel ist die Umsetzung noch am selben Tag und mit wenig Aufwand erreichbar. Zur Aufrechterhaltung sind keine regelmäßigen Aufwände erforderlich (Sogenannte Quick Wins / low hanging fruit). Beispiel: Aktivierung einer typischerweise vorhandenen Systemfunktion."
4 | 2,"In der Regel ist die Umsetzung innerhalb einer Woche mit eigenen Mitteln möglich. Zur Aufrechterhaltung sind nur geringe Aufwände erforderlich. Beispiel: Erstellung einer Kontaktübersicht, die mit mehreren Fachbereichen abgestimmt werden muss."
5 | 3,"In der Regel ist für die Umsetzung ein Zeitraum über mehrere Wochen bis einige Monate erforderlich. Je nach Ressourcen der Institution kann hierzu auch eine Beteiligung externer Dienstleister erforderlich sein. Die Aufrechterhaltung kann von einem kleinen Team an Betriebspersonal gewährleistet werden. Beispiel: Unterbringung von Geräten im Serverraum."
6 | 4,"In der Regel sind diese Anforderungen mit einer längerfristigen Umsetzung oder Beibehaltung verbunden. Es wird Expertenwissen und oftmals auch eine Unterstützung von Dritten benötigt. Für die Aufrechterhaltung ist häufig ein größeres Team von Betriebspersonal erforderlich. Beispiel: Initiierung und Umsetzung von Baumaßnahmen."
7 | 5,"In der Regel sind für die Umsetzung aufwändige, komplexe Maßnahmen oder eine individuelle Abwägung und Behandlung damit verbundener sekundärer Risiken erforderlich. Hierzu ist häufig tiefgehendes Expertenwissen oder der Einsatz entsprechender externer Dienstleister, sowie eine sorgfältige Planung und Aufrechterhaltung notwendig. Beispiel: Aufbau georedundanter Rechenzentren."
8 |
--------------------------------------------------------------------------------
/Kompendien/Grundschutz++-Kompendium/README.md:
--------------------------------------------------------------------------------
1 | # Pilotierung Grundschutz++
2 |
3 | Der **Grundschutz++** ist eine umfassende Überarbeitung des bisherigen IT-Grundschutzes des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Ziel dieser Weiterentwicklung ist es, die Inhalte zu modernisieren und den Aufwand für die Umsetzung eines Informationssicherheitsmanagementsystems (ISMS) zu reduzieren—insbesondere durch die Automatisierung wesentlicher Prozesse.
4 |
5 | -----
6 |
7 | ## Anleitung zum Öffnen der OSCAL-Dateien
8 |
9 | Diese Anleitung zeigt Ihnen, wie Sie die bereitgestellten OSCAL-Dateien (im JSON- und XML-Format) herunterladen und mit einem kompatiblen Werkzeug betrachten können.
10 |
11 | ### Schritt 1: OSCAL-Dateien herunterladen
12 |
13 | Sie können die OSCAL-Dateien direkt von diesem GitHub-Repository herunterladen. Die Dateien liegen in den Formaten **JSON** (`.json`) und **XML** (`.xml`) vor.
14 |
15 | 1. **Wählen Sie ein Dateiformat aus:** Die Dateien werden in den Formaten json und xml bereitgestellt. Klicken Sie auf die gewünschte Datei links im Verzeichnisbaum.
16 | 2. **Laden Sie die Rohfassung herunter:** Klicken Sie auf der sich öffnenden Seite auf den Button **"Raw"**. Klicken Sie anschließend mit der rechten Maustaste in das Browserfenster und wählen Sie "Speichern unter...", um die Datei lokal auf Ihrem Computer zu sichern.
17 |
18 | -----
19 |
20 | ### Schritt 2: OSCAL-kompatible Anwendung verwenden
21 |
22 | Kompendien können mit beliebigen JSON- oder XML-kompatiblen Anwendungen geöffnet werden. Um die heruntergeladenen Dateien in einem benutzerfreundlichen Format zu betrachten, empfehlen wir die Nutzung eines spezialisierten [OSCAL-Werkzeugs](https://oscal.io/tools/#:~:text=OSCAL%20Viewer,Geoffrey%20Borough) je nachdem wofür Sie die Datei verwenden möchten.
23 |
24 | ## Weiterführende Informationen
25 |
26 | Für weitere Informationen besuchen Sie die [Webseiten für den IT-Grundschutz](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html) des BSI.
27 |
--------------------------------------------------------------------------------
/Quellkataloge/Grundschutz++-Methodik/grundschutz-gesamt-oscal-profile.json:
--------------------------------------------------------------------------------
1 | {
2 | "profile": {
3 | "uuid": "3098d736-ad4a-4647-b270-abc8ea8060a7",
4 | "metadata": {
5 | "title": "Kompendium Grundschutz++ (Beta)",
6 | "last-modified": "2025-09-24T14:47:00Z",
7 | "version": "0.9.5",
8 | "oscal-version": "1.1.3",
9 | "roles": [
10 | {
11 | "id": "creator",
12 | "title": "Bundesamt für Sicherheit in der Informationstechnik"
13 | },
14 | {
15 | "id": "contact",
16 | "title": "Contact"
17 | }
18 | ],
19 | "parties": [
20 | {
21 | "uuid": "9f87afe7-a29b-4183-b659-e71deb57cb8e",
22 | "type": "organization",
23 | "name": "Bundesamt für Sicherheit in der Informationstechnik",
24 | "email-addresses": [
25 | "service-center@bsi.bund.de"
26 | ],
27 | "addresses": [
28 | {
29 | "addr-lines": [
30 | "Bundesamt für Sicherheit in der Informationstechnik",
31 | "Postfach 200363"
32 | ],
33 | "city": "Bonn",
34 | "state": "NRW",
35 | "postal-code": "53133"
36 | }
37 | ]
38 | }
39 | ],
40 | "responsible-parties": [
41 | {
42 | "role-id": "creator",
43 | "party-uuids": [
44 | "9f87afe7-a29b-4183-b659-e71deb57cb8e"
45 | ]
46 | },
47 | {
48 | "role-id": "contact",
49 | "party-uuids": [
50 | "9f87afe7-a29b-4183-b659-e71deb57cb8e"
51 | ]
52 | }
53 | ]
54 | },
55 | "imports": [
56 | {
57 | "href": "https://raw.githubusercontent.com/BSI-Bund/Stand-der-Technik-Bibliothek/refs/heads/main/Quellkataloge/Grundschutz%2B%2B-Methodik/BSI-Grundschutz%2B%2B-Methodik-catalog.json",
58 | "include-all": {}
59 | },
60 | {
61 | "href": "https://raw.githubusercontent.com/BSI-Bund/Stand-der-Technik-Bibliothek/refs/heads/main/Quellkataloge/Kernel/BSI-Stand-der-Technik-Kernel-catalog.json",
62 | "include-all": {}
63 | }
64 | ],
65 | "merge": {
66 | "combine": {
67 | "method": "use-first"
68 | },
69 | "as-is": true
70 | },
71 | "modify": {
72 | "set-parameters": [
73 | {
74 | "param-id": "gc.1.1-prm1",
75 | "label": "BSI Grundschutz++"
76 | },
77 | {
78 | "param-id": "not.1.1.4-prm2",
79 | "label": "BSI-Standard 200-4"
80 | }
81 | ]
82 | }
83 | }
84 | }
--------------------------------------------------------------------------------
/CONTRIBUTING.md:
--------------------------------------------------------------------------------
1 | # Beitragen zur Stand der Technik Bibliothek
2 |
3 | Vielen Dank für Ihr Interesse, zum Stand der Technik in der Informations- und Cybersicherheit beizutragen. Damit helfen Sie, unsere Sicherheit zu stärken und die Widerstandsfähigkeit unserer Prozesse und Systeme zu verbessern.
4 |
5 | >[!NOTE]
6 | >Mitwirkende an der Pilotierung sollten erfahrene IT-Grundschützerinnen und -Grundschützer (z.B. [Zertifizierte IT-Grundschutz-Praktiker](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/Zertifizierte-Informationssicherheit/Personenzertifizierung-IT-Grundschutzberater/Schulungen-zum-IT-Grundschutz-Praktiker-und-IT-Grundschutzberater/schulungen-zum-it-grundschutz-praktiker-und-it-grundschutzberater_node.html)) sein und die Einführungsveranstaltung des BSI zum IT-Grundschutz++ besucht haben.
7 |
8 | ---
9 |
10 | ## Verhaltenskodex
11 |
12 | Wir erwarten von allen Beitragenden, dass sie unseren [Verhaltenskodex](CODE_OF_CONDUCT.md) für einen respektvollen Umgang miteinander einhalten.
13 |
14 | ---
15 |
16 | ## Wie Sie beitragen können
17 |
18 | Wir begrüßen Beiträge in verschiedenen Formen, einschließlich Vorschlägen, Korrekturen, und Dokumenten. Bitte befolgen Sie dazu die folgenden Richtlinien:
19 |
20 | ### Melden von Problemen
21 |
22 | - **Anfragen an das BSI:** Für Fehler, Vorschläge oder allgemeine Fragen wenden Sie sich bitte an service-center@bsi.bund.de.
23 | - **Sicherheitsbedenken:** Sollten Sie eine potenzielle Sicherheitslücke in den Inhalten des Repositories entdecken, kontaktieren Sie uns bitte umgehend unter den [Sicherheitserreichbarkeiten des BSI](https://www.bsi.bund.de/static/security/security.txt).
24 |
25 | ### Einreichen von Änderungsvorschlägen
26 |
27 | Änderungsvorschläge nimmt das BSI über die Arbeitsgruppen der Community entgegen. Wenn Sie Interesse an einer Mitwirkung haben, wenden Sie sich bitte an die Editoren der jeweiligen Arbeitsgruppe.
28 |
29 | Die offiziellen Forks der AGs 1-4 finden Sie hier:
30 | AG-1: [Forum SdT-Bibliothek (Sicherheitskuration)](https://github.com/Forum-SdT-BibliothekSicherheitskuration/Stand-der-Technik-Bibliothek-Fork)
31 | AG-2: [Werkzeugbox](https://github.com/Stand-der-Technik-Pro/Stand-der-Technik-Bibliothek)
32 | AG-3: [Nutzergenerierte Inhalte](https://github.com/AG-3-Nutzergenerierte-Inhalte/Stand-der-Technik-Bibliothek)
33 | AG-4: [Praxisbeispiele](https://github.com/AG-4-Praxisbeispiele/AG-Praxisbeispiele)
34 |
35 |
36 | ## Lizenzierung
37 |
38 | Mit Ihrem Beitrag zu diesem Repository erklären Sie sich damit einverstanden, dass Ihre Beiträge unter denselben Bedingungen lizenziert werden wie das Repository.
39 |
40 | ---
41 |
42 | Vielen Dank für Ihre Unterstützung und Ihre Beiträge. Gemeinsam können wir unsere Cybersecurity-Praktiken verbessern und unsere Institutionen schützen!
43 |
--------------------------------------------------------------------------------
/README.md:
--------------------------------------------------------------------------------
1 | # Stand der Technik Bibliothek
2 |
3 | Diese Bibliothek stellt strukturierte Sammlungen von BSI-Sicherheitsvorschriften nach dem aktuellen Stand der Technik in der Informations- und Cybersicherheit bereit. Diese Dokumente werden hier als maschinenlesbare OSCAL-Dokumente bereitgestellt. Das OSCAL-Framework dient als einheitliches Format für maschinenlesbare Dokumente im Compliance-Prozess und ermöglicht einen datenzentrierten Ansatz für die Sicherheitsdokumentation. Weitere Informationen zur Datenstruktur der Inhalte finden Sie in der [Dokumentation zu OSCAL](./Dokumentation/OSCAL.md).
4 |
5 | ## 📁 Für Anwender
6 |
7 | Sie sind in einer Institution mit der Informationssicherheit betraut oder auditieren diese und möchten die Inhalte des BSI dafür nutzen?
8 |
9 | **→ Besuchen Sie das [Kompendien](./Kompendien/) Verzeichnis**
10 |
11 | Hier finden Sie die fertigen Kompendien mit digital strukturierten Vorschriften, die direkt in einer Institution angewendet werden können.
12 |
13 | ## ✏️ Für Editoren
14 |
15 | Sie arbeiten gemeinsam mit dem BSI an der Entwicklung von Vorschriften und möchten die aktuellen Grundlagendokumente hierfür prüfen oder bearbeiten?
16 |
17 | **→ Besuchen Sie das [Quellkataloge](./Quellkataloge/) Verzeichnis**
18 |
19 | Hier finden Sie die maschinenlesbaren Quelldaten für die Erstellung und Bearbeitung von Sicherheitsvorschriften im JSON-Format.
20 |
21 |
22 | ## 🚀 Erste Schritte
23 |
24 | 1. **Als Anwender**: Navigieren Sie zu [Kompendien](./Kompendien/) und wählen Sie das für Ihre Institution passende Kompendium.
25 | 2. **Als Editor**: Wenn Sie Interesse an einer Zusammenarbeit mit dem BSI haben, wenden Sie sich bitte an stand-der-technik@bsi.bund.de.
26 |
27 | ## 🤝 Mitwirken
28 |
29 | Wir begrüßen Beiträge zur Verbesserung der Sicherheitsstandards. Bitte lesen Sie unsere [Beitragsrichtlinien](CONTRIBUTING.md).
30 |
31 | ## 📞 Kontakt und Support
32 |
33 | **Disclaimer zu GitHub Issues & Discussions:**
34 | Die Issues und Discussions in diesem Repository werden nicht durch das BSI moderiert, bearbeitet oder beantwortet.
35 | Sie können dennoch von der Community eröffnet und für den gegenseitigen Austausch genutzt werden.
36 |
37 | Das BSI behält sich das Recht vor, Beiträge mit unangemessenem oder unzulässigem Inhalt ohne Vorankündigung vollständig zu löschen.
38 |
39 | Für allgemeine Fragen & Feedback nutzen Sie bitte das BSI Service Center.
40 |
41 | - **Allgemeine Anfragen an das BSI**: [BSI Service Center](https://www.bsi.bund.de/DE/Service-Navi/Kontakt/kontakt_node.html)
42 | - **Sicherheitsbedenken**: [BSI Sicherheitserreichbarkeiten](https://www.bsi.bund.de/static/security/security.txt)
43 |
44 | ## 📄 Lizenz
45 |
46 | Dieses Repository steht unter der **Creative Commons Attribution-ShareAlike 4.0 International Lizenz (CC BY-SA 4.0)**.
47 | Details sind in der [LICENSE](./LICENSE)-Datei enthalten.
48 |
49 | Alle Beiträge zu diesem Repository werden unter denselben Lizenzbedingungen wie das Repository selbst veröffentlicht.
50 |
51 | ---
52 |
53 | *Gemeinsam stärken wir die Cybersicherheit und verbessern die Widerstandsfähigkeit unserer Prozesse und Systeme.*
54 |
--------------------------------------------------------------------------------
/Dokumentation/namespaces/readme.md:
--------------------------------------------------------------------------------
1 | # BSI Stand der Technik — Namespace-Definitionen
2 |
3 | Dieses Verzeichnis enthält die **Namespace-Definitionsdateien** des *BSI Stand der Technik*-Frameworks.
4 | Jede CSV-Datei definiert ein spezifisches kontrolliertes Vokabular (Namespace), das zur Beschreibung, Kategorisierung und Verknüpfung von Elementen innerhalb des Frameworks dient.
5 |
6 | ## 📁 Inhalt
7 |
8 | Jede CSV-Datei entspricht einem eigenen Namespace:
9 |
10 | | Datei | Beschreibung |
11 | | -------------------------------- | --------------------------------------------------------------------- |
12 | | `dokumentationsempfehlungen.csv` | Definitionen zu empfohlenen Dokumentationen |
13 | | `ergebnis.csv` | Definitionen zu sonstigen in Anforderungen verwendeten Begriffen* |
14 | | `handlungsworte.csv` | Definitionen zu Handlungs- bzw. Tätigkeitsverben |
15 | | `modalverb.csv` | Definitionen zu Modalverben (Grad der Verpflichtung oder Möglichkeit) |
16 | | `praktiken.csv` | Definitionen zu Praktiken oder Vorgehensweisen |
17 | | `sicherheitsniveau.csv` | Definitionen zu Sicherheitsniveaus |
18 | | `stufen.csv` | Definitionen zu Aufwandsstufen |
19 | | `tags.csv` | Definitionen zu Schlagwörtern oder thematischen Labels |
20 | | `themen.csv` | Definitionen zu Themen (= Untergliederung von Praktiken) |
21 | | `zielobjekte.csv` | Definitionen zu Zielobjekten (z. B. IT-Systeme, Anwendungen) |
22 |
23 | (*) Im Ergebnis verwendete Begriffe werden in der ergebnis.csv aufgenommen, wenn der Begriff weder im Duden noch in der deutschen Wikipedia definiert ist oder eine von der allgemeinen Definition abweichende Definition verwendet wird. Dabei gilt ein Begriff auch dann als durch Duden oder Wikipedia definiert, wenn es sich um einen zusammengesetzten Begriff handelt, dessen Bestandteile alle bereits definiert sind.
24 |
25 | ---
26 |
27 | ## 📄 Dateiformat
28 |
29 | Alle Dateien liegen im **CSV-Format (Comma-Separated Values)** vor und folgen den folgenden Formatvorgaben:
30 |
31 | * **Kodierung:** UTF-8
32 | * **Trennzeichen:** `,` (Komma)
33 | * **Kopfzeile:** In jeder Datei vorhanden
34 | * **Spaltenstruktur:** Je nach Namespace unterschiedlich, typischerweise jedoch mit
35 |
36 | * `uuid` — eindeutiger Bezeichner
37 | * `label` — lesbarer Name
38 | * `description` — kurze Beschreibung
39 | * (optional) `parent`, `related` oder andere semantische Felder je nach Namespace
40 |
41 | Soweit vorhanden, werden Querverweise zwischen Namespaces über diese UUIDs hergestellt.
42 |
43 | ---
44 |
45 | ## 🧭 Zweck
46 |
47 | Diese Dateien bilden die **grundlegenden Vokabulare** zur Modellierung, Analyse und Validierung von Sicherheitskonzepten im *BSI Stand der Technik*-Ökosystem.
48 | Sie stellen semantische Konsistenz, Interoperabilität und Nachvollziehbarkeit über alle Vorschriften und Dokumentationen hinweg sicher.
49 |
--------------------------------------------------------------------------------
/CODE_OF_CONDUCT.md:
--------------------------------------------------------------------------------
1 | # **Netiquette für die Mitarbeit beim BSI Stand der Technik**
2 |
3 | **Willkommen in der Stand der Technik Bibliothek!**
4 | Unser Ziel ist es, gemeinsam an modernen Sicherheitslösungen zu arbeiten und Wissen frei zugänglich zu machen. Damit unsere Zusammenarbeit produktiv und respektvoll bleibt, gelten folgende Verhaltensregeln:
5 |
6 | ## **1. Respektvoller und professioneller Umgang**
7 | - Alle Mitglieder werden mit **Respekt und Höflichkeit** behandelt.
8 | - Sachliche und konstruktive Diskussionen sind erwünscht, persönliche Angriffe oder herablassende Kommentare hingegen nicht.
9 | - Diskriminierung, Hassrede oder toxisches Verhalten haben keinen Platz in unserer Community.
10 |
11 | ## **2. Kommunikation & Zusammenarbeit**
12 | - Diskussionen sollten **lösungsorientiert** geführt werden, mit dem Fokus auf konkrete Ergebnisse.
13 | - Feedback sollte konstruktiv sein und nachvollziehbare Verbesserungsvorschläge enthalten.
14 | - Unklarheiten oder Meinungsverschiedenheiten werden durch offenen und respektvollen Dialog geklärt.
15 |
16 | ## **3. Issues, Pull Requests & Code Contributions**
17 | - Vor dem Erstellen eines **Issues** bitte prüfen, ob das Problem bereits existiert und unter Einbezug der Editoren innerhalb der AGs lösbar ist.
18 | - **Pull Requests** sollten gut dokumentiert sein, klar strukturierte Änderungen enthalten und sich an den Projektstandards orientieren.
19 | - Das BSI behält sich vor, Pull Requests die nicht aus den offiziellen Forks der auf der BSI-Website gelisteten Arbeitsgruppen stammen, ohne Bearbeitung zu schließen.
20 | - Änderungen müssen mit sinnvollen **Commit Messages** versehen werden.
21 |
22 | ## **4. Code-Qualität & Dokumentation**
23 | - Gut strukturierter, lesbarer und dokumentierter Code ist die Grundlage für eine erfolgreiche Zusammenarbeit.
24 | - Vor dem Stellen von Fragen sollte die bestehende Dokumentation, insbesondere die [README](./README.md)
25 | und [CONTRIBUTING](./CONTRIBUTING.md), gelesen werden.
26 |
27 | ## **5. Sicherheit & Datenschutz**
28 | - Persönliche oder vertrauliche Informationen haben in öffentlichen Diskussionen und Commits nichts zu suchen.
29 | - Für die Zusammenarbeit in Arbeitsgruppen oder Issues ist es hilfreich, wenn Sie ihrem Account einen sprechenden Namen geben und im GitHub-Profil ihre Institution eintragen.
30 | - Sollten Sie eine potenzielle Sicherheitslücke in bestimmten Anwendungen oder Skripten entdecken, posten Sie diese bitte nicht öffentlich. Kontaktieren Sie uns stattdessen umgehend unter den [Sicherheitserreichbarkeiten des BSI](https://www.bsi.bund.de/static/security/security.txt).
31 |
32 | ## **6. Fair Use & Open Source Ethik**
33 | - Beiträge sollen dem Open-Source-Gedanken folgen und für die gesamte Community von Nutzen sein.
34 | - Lizenzen und Urheberrechte sind stets zu respektieren, insbesondere bei der Nutzung externer Bibliotheken oder Code-Snippets.
35 |
36 | ## **7. Umgang mit Fehlern & Missverständnissen**
37 | - Fehler passieren – wichtig ist ein **lösungsorientierter und geduldiger** Umgang damit.
38 | - Missverständnisse sollten durch höflichen Dialog geklärt werden.
39 | - Bei anhaltenden Problemen oder Verstößen gegen die Netiquette können Maintainer oder Moderatoren kontaktiert werden.
40 |
41 | ## **8. Kein Spam oder irrelevante Inhalte**
42 | - **Spam, Werbung oder themenfremde Beiträge** gehören nicht in dieses Repository.
43 | - Diskussionen sollten sich stets auf den Stand der Technik in der Informations- und Cybersicherheit oder verwandte Themen konzentrieren.
44 |
45 | ---
46 |
47 | **Vielen Dank, dass Sie Teil dieser Community sind!** Durch die Einhaltung dieser Regeln sorgen wir gemeinsam für eine professionelle und produktive Zusammenarbeit.
48 |
--------------------------------------------------------------------------------
/Dokumentation/namespaces/tags.csv:
--------------------------------------------------------------------------------
1 | Tag,Bedeutung
2 | Zero Trust,"Ein Sicherheitskonzept, das davon ausgeht, dass keine Entität (Benutzer oder Gerät) standardmäßig vertrauenswürdig ist, unabhängig davon, ob sie sich innerhalb oder außerhalb des Netzwerks befindet. Jeder Zugriff muss verifiziert werden."
3 | Advanced Persistent Threat (APT),"Eine komplexe, langfristige Cyberangriffsform, bei der ein Angreifer unauthorisierten Zugriff auf ein Netzwerk erhält und über einen längeren Zeitraum unentdeckt bleibt, um sensible Daten zu stehlen oder Infrastruktur zu beschädigen."
4 | Lateral Movement,"Die Technik, mit der sich Angreifer nach dem ersten Zugriff innerhalb eines Netzwerks horizontal bewegen, um weitere Systeme zu kompromittieren und höhere Zugriffsrechte zu erlangen."
5 | Inventories,"Systematische Verzeichnisse aller IT-Assets (Hardware, Software, Daten) einer Organisation, die für effektives Risikomanagement und Sicherheitskontrolle unerlässlich sind."
6 | Separation of Concerns,"Designprinzip in der Softwareentwicklung und IT-Architektur, bei dem verschiedene Funktionen oder Verantwortlichkeiten voneinander getrennt werden, um Komplexität zu reduzieren und Sicherheit zu erhöhen."
7 | Internet Exposure,"Das Ausmaß, in dem Systeme, Dienste oder Informationen über das Internet zugänglich sind und potenziell Angriffsfläche für Bedrohungen bieten."
8 | Command & Control,"Die Infrastruktur und Kommunikationskanäle, die von Angreifern verwendet werden, um mit kompromittierten Systemen zu kommunizieren und diese fernzusteuern."
9 | Network Access Control,"Sicherheitslösung, die reguliert, welche Geräte Zugriff auf ein Netzwerk erhalten, basierend auf Authentifizierung, Autorisierung und Gerätekonformität."
10 | Rogue Access Point,"Ein nicht autorisierter WLAN-Zugangspunkt, der an ein Unternehmensnetzwerk angeschlossen ist und ein Sicherheitsrisiko darstellt, da er den Umgehung von Sicherheitsmaßnahmen ermöglichen kann."
11 | Automatische Sicherheitsrichtlinie,"Mechanismen, die Sicherheitsregeln und -richtlinien automatisch durchsetzen, ohne menschliches Eingreifen, um konsistente Sicherheitsstandards zu gewährleisten."
12 | Defense-in-depth,"Sicherheitsstrategie, die mehrere Verteidigungsschichten verwendet, um Systeme und Daten zu schützen, sodass beim Versagen einer Schicht weitere Sicherheitsbarrieren bestehen bleiben."
13 | VPN,"Virtual Private Network, eine Technologie, die eine sichere, verschlüsselte Verbindung über ein öffentliches Netzwerk (meist das Internet) herstellt, um vertrauliche Datenübertragungen zu schützen."
14 | Hochverfügbarkeit,"Systemeigenschaft, die sicherstellt, dass ein Dienst kontinuierlich verfügbar ist, mit minimalen oder keinen Ausfallzeiten, oft durch Redundanz und Failover-Mechanismen erreicht."
15 | Failover,"Automatischer Prozess, bei dem ein System bei Ausfall auf ein Backup- oder redundantes System umschaltet, um die Kontinuität des Betriebs zu gewährleisten."
16 | PSTN,"Public Switched Telephone Network, das traditionelle Telefonnetz, das aus Kupferkabeln besteht und Sprachkommunikation durch Schaltkreise vermittelt."
17 | DDoS,"Distributed Denial of Service, ein Angriff, bei dem mehrere kompromittierte Systeme einen gezielten Server, Dienst oder eine Infrastruktur mit Anfragen überfluten, um ihn zu überlasten und nicht mehr verfügbar zu machen."
18 | Löschen und Vernichten,"Prozesse zur dauerhaften Entfernung von Daten von Speichermedien, um sicherzustellen, dass sie nicht wiederhergestellt werden können, oft mit physischer Zerstörung kombiniert."
19 | Insider Threat,"Sicherheitsrisiko, das von Personen innerhalb einer Organisation ausgeht, die aufgrund ihres legitimen Zugriffs sensible Informationen missbrauchen oder Systeme schädigen können."
20 | Shoulder Surfing,"Eine physische Angriffsmethode, bei der ein Angreifer durch Beobachten über die Schulter Informationen wie Passwörter oder PINs ausspäht."
21 | Physical Access Control,"Maßnahmen und Systeme zur Kontrolle des physischen Zugangs zu Gebäuden, Räumlichkeiten oder IT-Ressourcen, um unbefugten Zugriff zu verhindern."
22 | Bring Your Own Device,"Unternehmensrichtlinie, die es Mitarbeitern erlaubt, persönliche Geräte (Smartphones, Laptops) für Arbeitszwecke zu nutzen, was besondere Sicherheitsherausforderungen mit sich bringt."
23 | Kompetenz,"Die Fähigkeit, Wissen und Fertigkeiten effektiv einzusetzen, um bestimmte Aufgaben zu erfüllen, oft mit einer nachweisbaren Befähigung verbunden."
24 | Shadow IT,"IT-Systeme, -Geräte, -Software oder -Dienste, die ohne explizite Genehmigung der IT-Abteilung in einem Unternehmen verwendet werden und potenzielle Sicherheitsrisiken darstellen."
25 | Security by Design,"Ansatz in der Softwareentwicklung und Systemarchitektur, bei dem Sicherheitsaspekte von Beginn des Entwicklungsprozesses an integriert werden, anstatt sie nachträglich hinzuzufügen."
26 | Replay Attacks,"Angriffsmethode, bei der gültige Datenübertragungen abgefangen und wiederholt werden, um sich unbefugten Zugriff zu verschaffen oder Transaktionen zu duplizieren."
27 | Session Hijacking,"Attacke, bei der ein Angreifer eine aktive Computersitzung übernimmt, indem er die eindeutige Sitzungs-ID abfängt, um sich als der authentifizierte Benutzer auszugeben."
28 | Error Handling,"Prozesse zur Identifizierung, Protokollierung und Behebung von Fehlern in Softwareanwendungen, ohne sensible Informationen preiszugeben oder Systemstabilität zu gefährden."
29 | Cryptography,"Wissenschaft der Verschlüsselung von Informationen, um sie vor unbefugtem Zugriff zu schützen und sichere Kommunikation zu ermöglichen."
30 | Lieferketten,"Netzwerk von Organisationen, Menschen und Prozessen, die an der Produktion und Bereitstellung von Produkten oder Dienstleistungen beteiligt sind, einschließlich der damit verbundenen Sicherheitsrisiken."
31 | Secure Compiling Practices,"Methoden und Richtlinien zur Erstellung von Software unter Berücksichtigung von Sicherheitsaspekten während des Kompilierungsprozesses, um Schwachstellen im Binärcode zu vermeiden."
32 | Change Management,"Strukturierter Ansatz zur Durchführung von Änderungen an IT-Systemen, der die Auswirkungen auf den Betrieb und die Sicherheit minimiert und dokumentiert."
33 | Security by Default,"Prinzip, bei dem die sichersten Einstellungen als Standardkonfiguration verwendet werden, sodass Benutzer keine zusätzlichen Maßnahmen ergreifen müssen, um Sicherheit zu gewährleisten."
34 | Data Leak,"Unbeabsichtigte oder unbefugte Offenlegung sensibler Informationen, die zu Datenverlust, Reputationsschäden oder rechtlichen Konsequenzen führen kann."
35 | BCM,"Business Continuity Management, ein Rahmenwerk von Prozessen zur Identifizierung potenzieller Bedrohungen und deren Auswirkungen auf den Geschäftsbetrieb, um Resilienz und Wiederherstellungsfähigkeit zu gewährleisten."
36 | MFA,"Multi-Faktor-Authentifizierung, ein Sicherheitsverfahren, das mindestens zwei unterschiedliche Authentifizierungsfaktoren (Wissen, Besitz, Inhärenz) erfordert, um Identitäten zuverlässiger zu verifizieren."
37 | Living off the land,"Angriffstechnik, bei der legitime, bereits im System vorhandene Tools und Prozesse für böswillige Zwecke genutzt werden, um Erkennung zu erschweren."
38 | Credential Stuffing,"Cyberangriff, bei dem automatisiert gestohlene Benutzernamen und Passwörter auf verschiedenen Websites ausprobiert werden, um von Passwortwiederverwendung zu profitieren."
39 | Pentest,"Penetrationstest, eine autorisierte Simulation eines Cyberangriffs auf ein Computersystem, um Sicherheitslücken zu identifizieren und zu beheben, bevor sie ausgenutzt werden können."
40 | Automatic Session Locking,"Sicherheitsfunktion, die eine Benutzersitzung nach einer festgelegten Inaktivitätszeit automatisch sperrt, um unbefugten Zugriff zu verhindern."
41 | Recon,"Abkürzung für Reconnaissance, die Phase eines Cyberangriffs, in der Informationen über potenzielle Ziele gesammelt werden, um Schwachstellen zu identifizieren."
42 | Denial of Service,"Angriff, der darauf abzielt, ein System, einen Dienst oder eine Ressource für legitime Benutzer unzugänglich zu machen, indem Ressourcen erschöpft oder Kommunikationswege blockiert werden."
43 | Auslandsreisen,"Aufenthalte außerhalb des Heimat- bzw. Wohnsitzlandes der beschäftigten Person, bei denen Informationen und Assets aus dem Informationsverbund verwendet werden. Dazu zählen sowohl vorübergehende Arbeitsaufenthalte an Standorten der eigenen Institution oder bei Geschäftspartnern als auch die Erbringung mobiler Arbeit von beliebigen Orten im Ausland. Wesentlich ist dabei, dass die Tätigkeit grenzüberschreitend ausgeübt wird und dadurch rechtliche, steuerliche sowie arbeits- und sozialversicherungsrechtliche Rahmenbedingungen anderer Staaten berührt werden könnten."
44 | Brute Force Angriffe,
45 |
--------------------------------------------------------------------------------
/Dokumentation/namespaces/ergebnis.csv:
--------------------------------------------------------------------------------
1 | Begriff,Definition,Kategorie,Synonyme,Variationen,ChildOfUUID,UUID
2 | Anforderung,"Eine Anforderung im Sinne des Kompendiums (engl. Control oder Requirement) ist ein zu erreichender Zielzustand oder ein allgemeines Grundprinzip der Informations- und Cybersicherheit, dessen Erreichung zur Erhöhung der Informationssicherheit notwendig ist oder zumindest dazu beiträgt. Eine Anforderung beschreibt, was getan werden muss, um ein bestimmtes Niveau bezüglich der Informationssicherheit zu erreichen. Wie die Anforderungen im konkreten Fall erfüllt werden können, ist
3 | in entsprechenden Sicherheitsmaßnahmen beschrieben (siehe dort). Anforderungen bei erhöhtem Schutzbedarf übersteigen den Stand der Technik für typische Verarbeitungssituationen und sind nur als exemplarische Vorschläge zu sehen, was bei entsprechendem Schutzbedarf zur Absicherung sinnvoll umzusetzen ist.",,,,,
4 | Korrekturmaßnahme,Maßnahme zum Beseitigen der Ursache einer Nichtkonformität und zum Verhindern des erneuten Auftretens,,,,,
5 | Maßnahme / Schutzmaßnahme,"Als Maßnahme (engl. ""safeguard"", ""security measure"" oder ""measure"") im Sinne des Kompendiums werden alle Mittel bezeichnet, die dazu dienen, Sicherheitsrisiken zu steuern oder diesen entgegenzuwirken. Maßnahmen umfassen Prozesse, Richtlinien, Geräte, Methoden oder anderweitige Handlungen, die Risiken verändern.",,,,,
6 | Zugangskonto,Anmeldekonto (User Account) zur Anmeldung an einem IT-System oder einer Anwendung.,,Account, User Account, Nutzungskonto, Nutzerkonto
7 | Authentizität,"Eigenschaft, dass eine Entität das ist, was sie angibt zu sein.",,,,,
8 | Kompetenz,"Fähigkeit, Wissen und Fertigkeiten anzuwenden, um beabsichtigte Ergebnisse zu erzielen.",,,,,
9 | Vertraulichkeit,"Eigenschaft, dass die Information unbefugten Personen, Entitäten oder Prozessen nicht verfügbar gemacht oder offengelegt wird.",,,,,
10 | Verfügbarkeit,"Eigenschaft der Information zugänglich und nutzbar zu sein, wenn eine befugte Entität Bedarf hat.",,,,,
11 | Integrität,"Eigenschaft, dass Informationen nur genau dann geändert oder gelöscht werden, wenn die Institution dies beabsichtigt hat.",,,,,
12 | Redundanz,"Redundanz ist das Vorhandensein mehrfacher, funktional gleichwertiger Komponenten oder Systeme mit dem Ziel, die Verfügbarkeit und Zuverlässigkeit von Informationen und IT-Diensten sicherzustellen, indem einzelne Fehlerpunkte (Single Points of Failure) eliminiert werden. Ein Single Point of Failure ist eine Komponente oder ein Teil eines Systems, dessen Ausfall das gesamte System funktionsunfähig machen würde. Redundanz eliminiert SPOFs durch alternative Pfade oder Komponenten.",,,,,
13 | Sicherheitsvorfall,"Ereignis, welches die Schutzziele des Managementsystems unmittelbar gefährdet oder verletzt.",,,,,
14 | Alarmierung,"Handlungsschema, in dem verantwortliche Entscheidende und Akteure unverzüglich benachrichtigt und in Einsatzbereitschaft versetzt werden.",,,,,
15 | Elementare Gefährdungen,"Elementare Gefährdungen sind grundlegende, häufig auftretende Bedrohungslagen, die als standardisierte Basis für Risikoanalysen dienen. Diese Gefährdungen sind bewusst produkt- und technologie?neutral formuliert und sollen universell anwendbar sein; nur dort, wo bestimmte Technologien den Markt so stark prägen, kann eine Abstrahierung beeinflusst sein. Sie dienen als Ausgangspunkt, um typische Risiken wie Feuer, Wasserschäden, Einbruch, Schadsoftware oder Hardware?Defekte zu erkennen, zu klassifizieren und geeignete Schutzmaßnahmen abzuleiten.",,,,,
16 | Autorisierung,"Bei einer Autorisierung wird geprüft, ob eine Person, IT-Komponente oder Anwendung zur Durchführung einer bestimmten Aktion berechtigt ist.",,,,,
17 | Biometrie,"Unter Biometrie ist die automatisierte Erkennung von Personen anhand ihrer körperlichen Merkmale zu verstehen. Diese kann genutzt werden, um Benutzer auf Grundlage besonderer Merkmale eindeutig zu authentisieren. Ein oder mehrere der folgenden biometrischen Merkmale können beispielsweise für eine Authentisierung verwendet werden: • Iris • Fingerabdruck • Gesichtsproportionen • Stimme und Sprachverhalten • Handschrift • Tippverhalten am Rechner.",,,,,
18 | "Gefährdung (englisch ""applied threat"")","Eine Gefährdung ist eine Bedrohung, die konkret über eine Schwachstelle auf ein Objekt einwirkt. Eine Bedrohung wird somit erst durch eine vorhandene Schwachstelle zur Gefährdung für ein Objekt. Sind beispielsweise Schadprogramme eine Bedrohung oder eine Gefährdung für Anwender, die im Internet surfen? Nach der oben gegebenen Definition lässt sich feststellen, dass alle Anwender prinzipiell durch Schadprogramme im Internet bedroht sind. Der Anwender, der eine virenverseuchte Datei herunterlädt, wird von dem Schadprogramm gefährdet, wenn sein IT-System anfällig für diesen Typ des Schadprogramms ist. Für Anwender mit einem wirksamen Virenschutz, einer Konfiguration, die das Funktionieren des Schadprogramms verhindert, oder einem Betriebssystem, das den Code des Schadprogramms nicht ausführen kann, bedeutet das geladene Schadprogramm hingegen keine Gefährdung.",,,,,
19 | Geschäftsprozess,"Ein Geschäftsprozess ist eine Menge logisch verknüpfter Einzeltätigkeiten (Aufgaben, Arbeitsabläufe), die ausgeführt werden, um ein bestimmtes geschäftliches oder betriebliches Ziel zu erreichen.",,,,,
20 | Informationsverbund,"Unter einem Informationsverbund ist die Gesamtheit von infrastrukturellen, organisatorischen, personellen und technischen Objekten zu verstehen, die der Aufgabenerfüllung in einem bestimmten Anwendungsbereich der Informationsverarbeitung dienen. Ein Informationsverbund kann dabei als Ausprägung die gesamte Institution oder auch einzelne Bereiche, die durch organisatorische Strukturen (z. B. Abteilungen) oder gemeinsame Geschäftsprozesse bzw. Anwendungen (z. B. Personalinformationssystem) gegliedert sind, umfassen.",,,,,
21 | Institutionen,"Mit dem Begriff Institutionen werden in diesem Dokument Unternehmen, Behörden und sonstige öffentliche oder private Organisationen bezeichnet. Ist hierbei von einer bestimmten Institution die Rede (""z.B. die Institution"" oder ""von der Institution""), so ist damit diejenige (typischerweise juristische) Person gemeint, die das ISMS betreibt und für die Sicherheit der zu schützenden Informationen die Verantwortung trägt.",,,,,
22 | "Schwachstelle (englisch ""vulnerability"")","Eine Schwachstelle ist ein sicherheitsrelevanter Fehler eines IT-Systems oder einer Institution. Ursachen können in der Konzeption, den verwendeten Algorithmen, der Implementation, der Konfiguration, dem Betrieb sowie der Organisation liegen. Eine Schwachstelle kann dazu führen, dass eine Bedrohung wirksam wird und eine Institution oder ein System geschädigt wird. Durch eine Schwachstelle wird ein Objekt (eine Institution oder ein System) anfällig für Bedrohungen.",,,,,
23 | Zielobjekt,"Zielobjekte sind alle Werte des Informationsverbunds, denen im Rahmen der Modellierung auf der Grundlage der Zielobjektkategorien ein oder mehrere Anforderungen zugeordnet werden. Zielobjekte können dabei physische Objekte sein, z. B. Notebook als Instanz eines IT-Systems. Häufig sind Zielobjekte jedoch logische Objekte, wie beispielsweise Organisationseinheiten, Anwendungen oder der gesamte Informationsverbund. Auch Personen (z.B. Nutzende) können Zielobjekte sein, obwohl sie im sonstigen Sprachgebrauch als Subjekte bezeichnet werden.",,,,,
24 | Zielobjektkategorie,"Zielobjektkategorien sind Arten von Assets, die bei der Modellierung für die Abbildung von Anforderungen auf einzelne Zielobjekte verwendet werden. Eine Liste der im Grundschutz++ definierten Zielobjektkategorien ist in der Liste “Zielobjekte” zu finden.",,,,,
25 | Zugang,"Mit Zugang wird die Nutzung von IT-Systemen, System-Komponenten und Netzen bezeichnet. Zugangsberechtigungen erlauben somit einer Person, bestimmte Ressourcen wie IT-Systeme oder System-Komponenten und Netze zu nutzen.",,,,,
26 | Zugriff,"Mit Zugriff wird die Nutzung von Informationen oder Daten bezeichnet. Über Zugriffsberechtigungen wird geregelt, welche Personen im Rahmen ihrer Funktionen oder welche IT-Anwendungen bevollmächtigt sind, Informationen, Daten oder auch IT-Anwendungen, zu nutzen oder Transaktionen auszuführen.",,,,,
27 | Zutritt,"Mit Zutritt wird das Betreten von abgegrenzten Bereichen wie z. B. Räumen oder geschützten Arealen in einem Gelände bezeichnet. Zutrittsberechtigungen erlauben somit Personen, bestimmte Umgebungen zu betreten, also beispielsweise ein Gelände, ein Gebäude oder definierte Räume eines Gebäudes.",,,,,
28 | Sicherheitsrelevantes Ereignis,"Ein sicherheitsrelevantes Ereignis ist ein in einem IT-System oder einer Anwendung erfasstes Vorkommnis, das im Zusammenhang mit den Schutzzielen der Informationssicherheit steht und nach Maßgabe des institutionsspezifischen Risikoprofils geeignet ist, eine Gefährdung oder Verletzung von Vertraulichkeit, Integrität, Verfügbarkeit oder Nachvollziehbarkeit zu bewirken oder anzuzeigen. Hierzu zählen insbesondere Zugriffs- und Authentifizierungsversuche, die Nutzung privilegierter Konten oder Rollen, Veränderungen von System-, Sicherheits- oder Anwendungsparametern, Störungen oder Ausfälle, Zugriff auf besonders schutzbedürftige Daten, sowie Ereignisse, die auf einen möglichen Missbrauch, Angriff oder sonstige Verletzung der Sicherheitsvorgaben hindeuten. Die Protokollierung dieser Ereignisse dient der Nachvollziehbarkeit, Beweisführung und Erkennung von Sicherheitsvorfällen. Eine besondere Herausforderung ist es, die relevanten Meldungen aus der großen Menge der verschiedenen Protokollereignisse herauszufiltern. Denn viele protokollierte Meldungen haben nur informativen Charakter und lenken von den wirklich wichtigen Meldungen ab. Werden zu viele Protokollmeldungen ausgewählt, lässt sich die Fülle an Informationen nur schwer und mit hohem
29 | Zeitaufwand auswerten. Des Weiteren könnten Protokollierungsdaten verworfen oder überschrieben werden, wenn der Arbeitsspeicher oder die Festplattenkapazität des IT-Systems bzw. der Protokollierungsinfrastruktur nicht ausreichen. Werden dadurch zu wenige oder nicht ausreichend relevante Protokollmeldungen aufgezeichnet, könnten sicherheitskritische Vorfälle unerkannt bleiben.",,,Sicherheitsrelevante Ereignisse|sicherheitsrelevanten Ereignissen,,
30 | Sicherheitskritisches Ereignis,"Sicherheitskritische Ereignisse sind technisch erfassbare Vorkommnisse, die mit hoher Wahrscheinlichkeit auf einen Sicherheitsvorfall oder behandlungsbedürftige Probleme hindeuten, z.B. Malware-Infektionen, ungewöhnliche Datenübertragungen, Auftauchen von Zugangsdaten im Darknet. Bei solchen Ereignissen ist eine unverzügliche Reaktion von qualifiziertem Sicherheitspersonal geboten, um (weiteren) Schaden abzuwenden. Dabei kann es sich um ein bereits erfasstes sicherheitsrelevantes Ereignis handeln. Es ist aber auch denkbar, dass ein sicherheitskritisches Ereignis erst durch Korrelation mehrerer Ereignisse als solches erkannt werden kann. Welche Ereignisse kritisch sind, ist dabei auch von der Kritikalität der betroffenen Daten, Systeme, Anwendungen oder Geschäftsprozesse abhängig.",,,Sicherheitskritische Ereignisse|sicherheitskritischen Ereignissen,,
31 | Praktik,"Praktiken bündeln Tätigkeiten nach (Teil-)Prozessen, deren Zuständigkeit bestimmten Rollen zuordenbar sind. Dies ermöglicht eine schnelle Zuordnung von Anforderungen zu Prozessen und zuständigen Personen oder Rollen, die für die Umsetzung führend verantwortlich sind. Praktiken bieten außerdem einen ersten Überblick über die Prozess- und Themenlandkarte des Grundschutz++.",,,,,
32 | Asset,"Assets sind alle Werte einer Institution, die schützenswert sind und über einen Besitzer verfügen. Dies umfasst sowohl materielle als auch immaterielle Werte wie Hardware, Software, Daten, geistiges Eigentum, Dokumentationen und Know-how der Mitarbeiter. Assets können sowohl Informationstragende (z. B. Datenträger, Endgeräte, Netzwerkkomponenten, Papierakten, Lizenzen, Domains, Accounts) als auch nicht-informationstragende Betriebsmittel (z.B. Gebäude) sein.",,,,,
33 |
--------------------------------------------------------------------------------
/Dokumentation/OSCAL.md:
--------------------------------------------------------------------------------
1 | # BSI OSCAL FAQ
2 |
3 | ## Was ist OSCAL?
4 |
5 | Die [**Open Security Controls Assessment Language (OSCAL)**](https://pages.nist.gov/OSCAL/) ist ein standardisiertes, maschinenlesbares Framework, das von NIST entwickelt wurde, um die Effizienz und Konsistenz von Dokumentationen zur Informationssicherheit zu verbessern. Es ermöglicht eine Automatisierung über den gesamten Compliance-Lebenszyklus hinweg.
6 |
7 | 
8 |
9 | ### Hintergrund
10 |
11 | Traditionell war das händische Erstellen von Compliance-Dokumentationen in Word oder Tabellen oft zeitaufwendig und fehleranfällig. OSCAL begegnet diesen Herausforderungen, indem es eine universelle Sprache bereitstellt, um Sicherheitsanforderungen und deren Umsetzung als automatisierbare Datenstrukturen auszudrücken.
12 |
13 | ### Funktionsweise
14 |
15 | * **Strukturierte Daten:** OSCAL nutzt Formate wie XML, JSON oder YAML, um Anforderungskataloge, Umsetzungspläne, Bewertungspläne und weitere Informationen darzustellen.
16 | * **Automatisierung:** Die maschinenlesbare Natur von OSCAL ermöglicht eine leichtere Automatisierung, Validierung und Analyse von Sicherheitskontrollen.
17 | * **Interoperabilität:** Durch die Standardisierung können Informationen konsistent über verschiedene Systeme und Teams verteilt werden.
18 |
19 | ### Vorteile
20 |
21 | * **Reduzierter manueller Aufwand:** Automatisierte Prozesse verringern die Notwendigkeit manueller Eingriffe.
22 | * **Minimierung menschlicher Fehler:** Konsistente Datenverteilung sorgt für weniger Fehlerquellen.
23 | * **Optimierter Umgang mit Sicherheitskontrollen:** Compliance-Daten können leichter geteilt, verglichen und automatisiert werden.
24 |
25 | Kurz gesagt, verwandelt OSCAL statische Unterlagen in maschinenlesbare Daten, sodass Computer die Validierung, Berichterstattung und Analyse von Sicherheitskontrollen unterstützen können.
26 |
27 | ## Warum werden Sicherheitsvorgaben des BSI im OSCAL-Format bereitgestellt?
28 |
29 | OSCAL ist ein bereits etabliertes, international anerkanntes Framework. Dadurch entfällt die Notwendigkeit, eine eigene, nationale Lösung zu entwickeln, und es wird die Kompatibilität mit anderen internationalen Sicherheitsstandards verbessert.
30 |
31 | ## Was sind die Hauptbestandteile von OSCAL?
32 |
33 | OSCAL ist in mehrere Dokumentenstrukturen gegliedert, die spezifische Modelle für verschiedene Aspekte der Sicherheitskontrollen enthalten. Die wesentlichen Komponenten von OSCAL sind:
34 |
35 | ### 1. Kataloge
36 |
37 | Ein OSCAL-Katalog ist eine Sammlung von Sicherheitsanforderungen, die in einem strukturierten, maschinenlesbaren Format definiert sind. Ein Standard wie **ISO 27001 Annex A** oder **BSI Grundschutz++** kann als OSCAL-Katalog dargestellt werden. Kataloge organisieren Anforderungen in Gruppen oder Familien, um die Übersichtlichkeit zu verbessern. Zudem können den Anforderungen weitere Metadaten hinzugefügt werden, z.B. Hinweistexte oder Schlagworte. Da alle weiteren OSCAL-Dokumente auf diesen Katalogen basieren, müssen alle verwendeten Anforderungen hier zuerst definiert werden.
38 |
39 | ### 2. Profiles
40 |
41 | Ein **OSCAL-Profile** dient dazu, Anforderungen aus einem oder mehreren Katalogen auszuwählen und anzupassen. Dies ermöglicht die Erstellung spezifischer Baselines, indem:
42 |
43 | * **Anforderungen importiert, entfernt oder angepasst** werden
44 | * **Nicht anwendbare Anforderungen** entfernt werden
45 | * **Spezifische Parameterwerte** festgelegt werden
46 | * **Metadaten wie Umsetzungshinweise oder Tags** modifiziert werden
47 |
48 | Beispielsweise könnten Mindeststandards oder branchenspezifische Sicherheitsstandards bestimmte Anforderungen aus dem Kompendium des Grundschutz++ auswählen und diese um spezifischere, eigene Anforderungen aus einem eigenen Katalog ergänzen. Ein OSCAL-Profile gewährleistet **Rückverfolgbarkeit**, da jede Anpassung auf den Originalkatalog zurückgeführt werden kann.
49 |
50 | ### 3. Implementierungsebene (System-Sicherheitsplan und Komponenten)
51 |
52 | Die **Implementierungsebene** beschreibt, wie Anforderungen tatsächlich umgesetzt oder vorbereitet werden. Zwei Modelle sind hier zentral:
53 |
54 | * **System-Sicherheitsplan (SSP / Implementierungsplan):**
55 | Ein SSP dokumentiert, wie die ausgewählten Anforderungen in einem konkreten Informationsverbund oder System erfüllt werden. Er enthält nicht nur technische Aspekte (z. B. Konfigurationen oder eingesetzte Software), sondern kann auch die Umsetzung organisatorischer **Richtlinien und Verfahren** darstellen. Damit ist der SSP sowohl für Technik als auch für Management relevant.
56 |
57 | **Beispiel:** Ein SSP könnte beschreiben, wie eine Organisation die Anforderung zur Zugriffskontrolle umsetzt – etwa durch den Einsatz von Multi-Faktor-Authentifizierung (technisch) und durch eine Richtlinie, die regelmäßige Passwortänderungen vorschreibt (organisatorisch).
58 |
59 | * **Komponentendefinition (Component Definition):**
60 | Während ein SSP die konkrete Umsetzung in einem System beschreibt, handelt es sich bei Komponentendefinitionen um **wiederverwendbare Vorlagen**. Sie beschreiben die Eigenschaften einer spezifischen Komponente – sei es Hardware, Software, ein externer Service, eine Richtlinie, ein Prozess, ein Verfahren oder auch ein Compliance-Artefakt. Diese Definitionen sind keine Implementierungen an sich, sondern **Vorlagen**, die in unterschiedlichen SSPs referenziert werden können.
61 |
62 | **Beispiel:** Eine Komponentendefinition könnte die Standardkonfiguration eines „Windows Server 2025“ beschreiben oder auch eine generische Datensicherungsrichtlinie einer Institution. Diese OSCAL Komponentendefinitionen können in die Sicherheitsdokumentationen von verschiedenen Projekten oder Systemen eingebunden werden, ohne dass sie jedes Mal neu dokumentiert werden müssen.
63 |
64 | 
65 |
66 | ### 4. Bewertungsebene
67 |
68 | Die **Bewertungsebene** in OSCAL umfasst drei zentrale Dokumenttypen, die speziell für Prüfungen und Nachweise der Umsetzung gedacht sind:
69 |
70 | * **Assessment Plan (Prüfplan):** Beschreibt, wie eine Prüfung durchgeführt werden soll. Er enthält z. B. Prüfschritte, Prüfkriterien und Verantwortlichkeiten. Ein Prüfplan kann automatisiert aus den im SSP dokumentierten Anforderungen generiert werden.
71 | **Beispiel:** Wenn im SSP festgelegt wurde, dass Passwörter alle 90 Tage geändert werden müssen, kann der Prüfplan automatisch eine Prüfroutine enthalten, die diese Vorgabe testet.
72 |
73 | * **Assessment Results (Prüfergebnisse):** Enthalten die dokumentierten Resultate der Prüfungen. Diese Ergebnisse können sowohl manuelle Feststellungen als auch automatisch erzeugte Prüfberichte umfassen.
74 | **Beispiel:** Das Prüfergebnis könnte automatisch festhalten, dass in 95 % der Benutzerkonten die Passwortregel korrekt umgesetzt ist, während 5 % abweichen.
75 |
76 | * **POA&M (Plan of Action & Milestones / Behandlungsplan):** Definiert Maßnahmen zur Behebung festgestellter Abweichungen oder Schwachstellen. Er dokumentiert Fristen, Verantwortliche und Prioritäten.
77 | **Beispiel:** Wenn eine Passwortregel verletzt wurde, enthält der POA&M den Eintrag, dass die betroffenen Konten innerhalb von 14 Tagen angepasst werden müssen.
78 |
79 | ### Vorteile der Automatisierung
80 |
81 | Die Bewertungsebene in OSCAL bringt besonders für das Management Vorteile durch **Automatisierung**:
82 |
83 | * **Schnelle Validierung:** Parameterwerte aus dem SSP (z. B. Passwortgültigkeit, Backup-Zyklen) können automatisch überprüft werden.
84 | * **Transparenz:** Ergebnisse werden nachvollziehbar dokumentiert und können ohne manuelle Nacharbeit in Berichte übernommen werden.
85 | * **Effizienzsteigerung:** Wiederkehrende Prüfungen lassen sich automatisieren und sparen Zeit.
86 | * **Konsistenz:** Einheitliche Prüfkriterien und standardisierte Dokumente reduzieren Interpretationsspielräume.
87 |
88 | Damit wird die Lücke zwischen Dokumentation und praktischer Umsetzung geschlossen – von der Planung, über die Prüfung bis zur Maßnahmenverfolgung.
89 |
90 | ### Fazit
91 |
92 | OSCAL ermöglicht eine **strukturierte, maschinenlesbare und transparente** Verwaltung von Sicherheitsanforderungen. Es bietet:
93 |
94 | * **Standardisierte Anforderungskataloge**
95 | * **Anpassbare Baseline-Profile**
96 | * **Nachvollziehbare Systemimplementierungen**
97 | * **Automatisierbare Bewertungen und Audits**
98 |
99 | Durch die Nutzung von OSCAL lassen sich Sicherheits-Compliance-Prozesse effizienter gestalten und besser in bestehende IT-Systeme integrieren.
100 |
101 | ## Wie ist eine OSCAL-Datei aufgebaut?
102 |
103 | Typische OSCAL-Dateien (egal ob Katalog, Profile oder SSP) liegen in **XML**, **JSON** oder **YAML** vor. Auch wenn keine Programmierkenntnisse erforderlich sind, ist ein grundlegendes Verständnis von strukturiertem Text hilfreich. Eine OSCAL-Datei besteht meist aus den folgenden Komponenten:
104 |
105 | #### 1. Metadaten
106 |
107 | Enthält allgemeine Informationen zur Datei, wie:
108 |
109 | * **Titel**
110 | * **Datum der letzten Änderung**
111 | * **Organisation**
112 |
113 | **Beispiel:**
114 |
115 | ```yaml
116 | metadata:
117 | title: "Grundschutz++ Kompendium 2026"
118 | last-modified: 2025-09-10
119 | organization: "Bundesamt für Sicherheit in der Informationstechnik"
120 | ```
121 |
122 | #### 2. Hauptteil
123 |
124 | Der Inhalt variiert je nach Dateityp:
125 |
126 | * **OSCAL Katalog**: Enthält eine Liste von Anforderungen, oft in Gruppen oder Familien organisiert.
127 | * **OSCAL Profile**: Gibt an, aus welchem Katalog importiert wird und welche Anforderungen inkludiert oder modifiziert werden.
128 | * **OSCAL SSP (System Security Plan)**: Beinhaltet:
129 |
130 | * Informationen über das System (Name, Beschreibung)
131 | * Systemkomponenten
132 | * Beschreibung der Umsetzung jeder relevanten Anforderung (Status, Verantwortliche, Belege)
133 |
134 | **Beispiel für einen Katalog-Eintrag:**
135 |
136 | ```yaml
137 | controls:
138 | - id: "BER.1.1"
139 | title: "Verfahren und Regelungen"
140 | description: "Regelt die Verwaltung von Benutzerkonten."
141 | ```
142 |
143 | #### 3. Back-Matter (optional)
144 |
145 | Dient zur Referenzierung zusätzlicher Ressourcen, wie:
146 |
147 | * Richtliniendokumente
148 | * Diagramme
149 | * Verlinkte externe Dateien
150 |
151 | **Beispiel:**
152 |
153 | ```yaml
154 | back-matter:
155 | resources:
156 | - title: "Zugriffsrichtlinien"
157 | href: "https://example.com/zugriffsrichtlinien.pdf"
158 | ```
159 |
160 | ## Welche Best Practices für Autoren gibt es?
161 |
162 | * **Logische Gliederung:** Teilen Sie Ihren Katalog in klar abgegrenzte, thematische oder domänenspezifische Abschnitte auf. Dies erleichtert das Verständnis, die Wartung und spätere Erweiterungen.
163 | * **Vorhandene Vorlagen nutzen:** Greifen Sie auf OSCAL-Templates, Beispielkataloge und LLM zurück, um den Einstieg zu erleichtern und häufige Fehler zu vermeiden.
164 | * **Validierung:** Verwenden Sie automatisierte [Validierungstools](https://pages.nist.gov/oscal-tools/demos/csx/validator/), die prüfen, ob Ihr Dokument den OSCAL-Schemata entspricht. So können Fehler frühzeitig erkannt und behoben werden.
165 | * **Versionsmanagement:** Nutzen Sie Versionskontrollsysteme (z. B. Git), um Änderungen zu verfolgen und bei Bedarf auf frühere Versionen zurückgreifen zu können.
166 | * **Teamarbeit:** Arbeiten Sie eng mit anderen Fachexperten zusammen – etwa aus den Bereichen Compliance, Implementierung und Audit – um ein möglichst praxisnahes und robustes OSCAL Profile zu erstellen.
167 | * **Prototyping:** Erstellen Sie zunächst eine erste Version (MVP) und lassen Sie diese von Stakeholdern validieren.
168 | * **Kontinuierliche Verbesserung:** Integrieren Sie Feedback, testen Sie regelmäßig und passen Sie den Katalog an neue Anforderungen und geänderte Sicherheitsstandards an.
169 | * **Automatisierung:** Integrieren Sie die OSCAL-Artefakte in automatisierte Prozesse, um bei jeder Änderung eine automatische Validierung und gegebenenfalls einen Deployment-Vorgang durchzuführen.
170 | * **Skripte und Tools:** Nutzen Sie Skripte, um wiederkehrende Aufgaben (z. B. Formatierung, Validierung) zu automatisieren und so Fehler zu minimieren.
171 |
172 | ## Wie läuft die Erstellung eines OSCAL-Implementierungsplans (SSP) ab?
173 |
174 | ### Schritt 1: Katalog besorgen
175 | Laden Sie den OSCAL-Katalog des erforderlichen Frameworks herunter (z. B. das [Kompendium Grundschutz++](https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Kompendien/Grundschutz%2B%2B-Kompendium)) oder [NIST 800-53](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final)).
176 |
177 | ### Schritt 2: Profile definieren
178 | Erstellen Sie ein Profile, das die aus dem Katalog zu verwendenden Anforderungen festlegt. Beispiel:
179 | - **Importiere alle Kompendium-Anforderungen**
180 | - **Schließe Kontrolle A.12.4 aus**
181 |
182 | ### Schritt 3: SSP erstellen
183 | 1. Legen Sie eine neue OSCAL-SSP-Datei an.
184 | 2. Füllen Sie die Metadaten aus.
185 | 3. Verweisen Sie auf das verwendete OSCAL Profile.
186 | 4. Listen Sie alle Systemkomponenten auf (z. B. Webserver, Datenbank).
187 |
188 | ### Schritt 4: Umsetzung dokumentieren
189 | Für jede Kontrolle fügen Sie eine kurze Beschreibung der Umsetzung hinzu, inklusive:
190 | - **Status:** vollständig, teilweise oder geplant
191 | - **Referenzen:** zu relevanten Belegen
192 |
193 | ### Schritt 5: Validierung und Darstellung
194 | 1. Nutzen Sie Schema-Validierung, um sicherzustellen, dass Ihre OSCAL-Datei korrekt aufgebaut ist. Entsprechende JSON-Schemata sind im [JSON Schema Store](https://www.schemastore.org/) erhältlich.
195 | 2. Verwenden Sie ein OSCAL-kompatibles Anzeigeprogramm oder wandeln Sie das Dokument in ein leserfreundliches Format (HTML, PDF, etc.) um, um den Inhalt zu prüfen.
196 |
197 | ## Welche Möglichkeiten bietet OSCAL für Unternehmen und Behörden?
198 | - Einfache Integration mit Compliance- und Audit-Tools: OSCAL-Daten können direkt in Sicherheitsmanagement-Tools eingebunden werden. Speziell in Deutschland arbeiten bereits zahlreiche [Hersteller von IT-Grundschutz-Tools](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/Alternative-IT-Grundschutztools/IT-Grundschutztools.html) an der Integration in ihre Software.
199 | - Vereinfachte Berichterstattung: Compliance-Dokumentation kann automatisiert erstellt und aktualisiert werden.
200 |
201 | ## Weitere Informationen
202 | - [US-NIST OSCAL-Dokumentation](https://pages.nist.gov/OSCAL/) und [Chat](https://app.gitter.im/#/room/#usnistgov-OSCAL_Lobby:gitter.im)
203 | - [Europäische OSCAL-Initiative](https://euroscal.eu/)
204 | - [Datenbank von OSCAL Inhalten](https://registry.oscal.io/documents)
205 |
206 | ## OSCAL Tools (international)
207 | - [Übersicht der wichtigsten OSCAL-Werkzeuge](https://oscal.io/tools/)
208 | - [Sammlung von Community-Werkzeugen](https://github.com/oscal-club/awesome-oscal)
209 | - [Online Viewer](https://viewer.oscal.io/) oder [Docker Image](https://github.com/EasyDynamics/oscal-editor-deployment)
210 | - [Konverter](https://github.com/usnistgov/OSCAL/blob/main/build/README.md#converters)
211 | - [Deep Diff](https://github.com/usnistgov/oscal-deep-diff)
212 |
--------------------------------------------------------------------------------
/Dokumentation/datamodel/oscal_satzschablone_schema.json:
--------------------------------------------------------------------------------
1 | {
2 | "$schema": "http://json-schema.org/draft-07/schema#",
3 | "$id": "https://raw.githubusercontent.com/BSI-Bund/Stand-der-Technik-Bibliothek/refs/heads/main/Quellkataloge/Kernel/BSI-Stand-der-Technik-Kernel-catalog.json",
4 | "title": "BSI OSCAL Catalog Schema",
5 | "description": "JSON Schema for BSI OSCAL security control catalogs based on OSCAL 1.1.3 with BSI-specific extensions",
6 | "type": "object",
7 | "required": [
8 | "catalog"
9 | ],
10 | "properties": {
11 | "catalog": {
12 | "$ref": "#/$defs/Catalog"
13 | }
14 | },
15 | "$defs": {
16 | "Catalog": {
17 | "type": "object",
18 | "description": "Root catalog containing security controls organized in a hierarchical structure",
19 | "required": [
20 | "uuid",
21 | "metadata"
22 | ],
23 | "properties": {
24 | "uuid": {
25 | "type": "string",
26 | "format": "uuid",
27 | "description": "Unique identifier for the catalog"
28 | },
29 | "metadata": {
30 | "$ref": "#/$defs/Metadata"
31 | },
32 | "groups": {
33 | "type": "array",
34 | "description": "Top-level groups representing practices (Praktiken)",
35 | "items": {
36 | "$ref": "#/$defs/PracticeGroup"
37 | }
38 | },
39 | "back-matter": {
40 | "$ref": "#/$defs/BackMatter"
41 | }
42 | },
43 | "additionalProperties": false
44 | },
45 | "Metadata": {
46 | "type": "object",
47 | "description": "Catalog metadata information",
48 | "required": [
49 | "title",
50 | "published",
51 | "last-modified",
52 | "version",
53 | "oscal-version"
54 | ],
55 | "properties": {
56 | "title": {
57 | "type": "string",
58 | "description": "Catalog title"
59 | },
60 | "published": {
61 | "type": "string",
62 | "format": "date-time",
63 | "description": "Publication date in ISO 8601 format"
64 | },
65 | "last-modified": {
66 | "type": "string",
67 | "format": "date-time",
68 | "description": "Last modification date in ISO 8601 format"
69 | },
70 | "version": {
71 | "type": "string",
72 | "description": "Catalog version"
73 | },
74 | "oscal-version": {
75 | "type": "string",
76 | "description": "OSCAL format version used"
77 | },
78 | "remarks": {
79 | "type": "string",
80 | "description": "Additional remarks about the catalog scope"
81 | },
82 | "roles": {
83 | "type": "array",
84 | "items": {
85 | "$ref": "#/$defs/Role"
86 | }
87 | },
88 | "parties": {
89 | "type": "array",
90 | "items": {
91 | "$ref": "#/$defs/Party"
92 | }
93 | },
94 | "responsible-parties": {
95 | "type": "array",
96 | "items": {
97 | "$ref": "#/$defs/ResponsibleParty"
98 | }
99 | }
100 | },
101 | "additionalProperties": false
102 | },
103 | "PracticeGroup": {
104 | "type": "object",
105 | "description": "Practice-level group (e.g., Governance, Architecture)",
106 | "required": [
107 | "id",
108 | "title"
109 | ],
110 | "properties": {
111 | "id": {
112 | "type": "string",
113 | "pattern": "^[A-Z]+$",
114 | "description": "Practice identifier (e.g., GOV, ARCH)"
115 | },
116 | "title": {
117 | "type": "string",
118 | "description": "Practice title"
119 | },
120 | "props": {
121 | "type": "array",
122 | "description": "Properties for the practice",
123 | "items": {
124 | "$ref": "#/$defs/Property"
125 | }
126 | },
127 | "groups": {
128 | "type": "array",
129 | "description": "Theme-level groups within this practice",
130 | "items": {
131 | "$ref": "#/$defs/ThemeGroup"
132 | }
133 | }
134 | },
135 | "additionalProperties": false
136 | },
137 | "ThemeGroup": {
138 | "type": "object",
139 | "description": "Theme-level group containing related controls",
140 | "required": [
141 | "id",
142 | "title"
143 | ],
144 | "properties": {
145 | "id": {
146 | "type": "string",
147 | "pattern": "^[A-Z]+\\.[0-9]+$",
148 | "description": "Theme identifier (e.g., GOV.1, ARCH.1)"
149 | },
150 | "title": {
151 | "type": "string",
152 | "description": "Theme title"
153 | },
154 | "props": {
155 | "type": "array",
156 | "description": "Properties for the theme",
157 | "items": {
158 | "$ref": "#/$defs/Property"
159 | }
160 | },
161 | "controls": {
162 | "type": "array",
163 | "description": "Security controls within this theme",
164 | "items": {
165 | "$ref": "#/$defs/Control"
166 | }
167 | }
168 | },
169 | "additionalProperties": false
170 | },
171 | "Control": {
172 | "type": "object",
173 | "description": "Security control (requirement) with optional enhancements",
174 | "required": [
175 | "id",
176 | "title"
177 | ],
178 | "properties": {
179 | "id": {
180 | "type": "string",
181 | "pattern": "^[A-Z]+\\.[0-9]+(\\.[0-9]+)*$",
182 | "description": "Control identifier (e.g., GOV.1.1, GOV.1.1.1)"
183 | },
184 | "title": {
185 | "type": "string",
186 | "description": "Control title"
187 | },
188 | "class": {
189 | "type": "string",
190 | "enum": [
191 | "normal-SdT",
192 | "erhöht"
193 | ],
194 | "description": "Sicherheitsniveau des Controls"
195 | },
196 | "params": {
197 | "type": "array",
198 | "description": "Parameters for customizable aspects of the control",
199 | "items": {
200 | "$ref": "#/$defs/Parameter"
201 | }
202 | },
203 | "props": {
204 | "type": "array",
205 | "description": "Control properties including BSI-specific metadata",
206 | "items": {
207 | "$ref": "#/$defs/Property"
208 | }
209 | },
210 | "parts": {
211 | "type": "array",
212 | "description": "Control parts (statement, objectives, guidance)",
213 | "items": {
214 | "$ref": "#/$defs/Part"
215 | }
216 | },
217 | "controls": {
218 | "type": "array",
219 | "description": "Sub-controls (enhancements)",
220 | "items": {
221 | "$ref": "#/$defs/Control"
222 | }
223 | },
224 | "links": {
225 | "type": "array",
226 | "items": {
227 | "$ref": "#/$defs/Link"
228 | }
229 | }
230 | },
231 | "additionalProperties": false
232 | },
233 | "Parameter": {
234 | "type": "object",
235 | "description": "Parameterizable aspect of a control",
236 | "required": [
237 | "id"
238 | ],
239 | "properties": {
240 | "id": {
241 | "type": "string",
242 | "description": "Parameter identifier"
243 | },
244 | "label": {
245 | "type": "string",
246 | "description": "Parameter label"
247 | },
248 | "select": {
249 | "$ref": "#/$defs/Selection"
250 | },
251 | "remarks": {
252 | "type": "string",
253 | "description": "Parameter remarks"
254 | },
255 | "props": {
256 | "type": "array",
257 | "items": {
258 | "$ref": "#/$defs/Property"
259 | }
260 | }
261 | },
262 | "additionalProperties": false
263 | },
264 | "Selection": {
265 | "type": "object",
266 | "description": "Selection options for a parameter",
267 | "required": [
268 | "choice"
269 | ],
270 | "properties": {
271 | "how-many": {
272 | "type": "string",
273 | "enum": [
274 | "one",
275 | "one-or-more"
276 | ],
277 | "description": "How many choices can be selected"
278 | },
279 | "choice": {
280 | "type": "array",
281 | "description": "Available choices",
282 | "items": {
283 | "type": "string"
284 | },
285 | "minItems": 1
286 | }
287 | },
288 | "additionalProperties": false
289 | },
290 | "Property": {
291 | "type": "object",
292 | "description": "Key-value property with optional namespace",
293 | "required": [
294 | "name",
295 | "value"
296 | ],
297 | "properties": {
298 | "name": {
299 | "type": "string",
300 | "enum": [
301 | "label",
302 | "alt-identifier",
303 | "effort_level",
304 | "tags",
305 | "target_objects",
306 | "documentation",
307 | "ergebnis",
308 | "präzisierung",
309 | "handlungsworte",
310 | "modalverb"
311 | ]
312 | },
313 | "ns": {
314 | "type": "string",
315 | "format": "uri",
316 | "description": "Namespace URI for the property"
317 | },
318 | "value": {
319 | "type": "string",
320 | "description": "Property value"
321 | },
322 | "remarks": {
323 | "type": "string",
324 | "description": "Additional remarks"
325 | }
326 | },
327 | "additionalProperties": false
328 | },
329 | "Part": {
330 | "type": "object",
331 | "description": "Part of a control (statement, objective, guidance)",
332 | "required": [
333 | "id",
334 | "name"
335 | ],
336 | "properties": {
337 | "id": {
338 | "type": "string",
339 | "description": "Part identifier"
340 | },
341 | "name": {
342 | "type": "string",
343 | "enum": [
344 | "statement",
345 | "assessment-objective",
346 | "objective",
347 | "guidance"
348 | ],
349 | "description": "Part type"
350 | },
351 | "props": {
352 | "type": "array",
353 | "description": "Part properties",
354 | "items": {
355 | "$ref": "#/$defs/Property"
356 | }
357 | },
358 | "prose": {
359 | "type": "string",
360 | "description": "Textual content of the part"
361 | },
362 | "parts": {
363 | "type": "array",
364 | "description": "Sub-parts for hierarchical objectives",
365 | "items": {
366 | "$ref": "#/$defs/Part"
367 | }
368 | }
369 | },
370 | "additionalProperties": false
371 | },
372 | "BackMatter": {
373 | "type": "object",
374 | "description": "Back matter containing resources and references",
375 | "properties": {
376 | "resources": {
377 | "type": "array",
378 | "description": "Referenced resources",
379 | "items": {
380 | "$ref": "#/$defs/Resource"
381 | }
382 | }
383 | },
384 | "additionalProperties": false
385 | },
386 | "Resource": {
387 | "type": "object",
388 | "description": "Referenced resource",
389 | "required": [
390 | "uuid",
391 | "title"
392 | ],
393 | "properties": {
394 | "uuid": {
395 | "type": "string",
396 | "format": "uuid",
397 | "description": "Resource identifier"
398 | },
399 | "title": {
400 | "type": "string",
401 | "description": "Resource title"
402 | },
403 | "description": {
404 | "type": "string",
405 | "description": "Resource description"
406 | },
407 | "rlinks": {
408 | "type": "array",
409 | "description": "Resource links",
410 | "items": {
411 | "$ref": "#/$defs/ResourceLink"
412 | }
413 | }
414 | },
415 | "additionalProperties": false
416 | },
417 | "ResourceLink": {
418 | "type": "object",
419 | "description": "Link to a resource",
420 | "required": [
421 | "href"
422 | ],
423 | "properties": {
424 | "href": {
425 | "type": "string",
426 | "format": "uri",
427 | "description": "Resource URL"
428 | }
429 | },
430 | "additionalProperties": false
431 | },
432 | "Link": {
433 | "type": "object",
434 | "required": [
435 | "href"
436 | ],
437 | "properties": {
438 | "rel": {
439 | "type": "string",
440 | "enum": [
441 | "required",
442 | "related",
443 | "reference",
444 | "incorporated-into",
445 | "moved-to"
446 | ]
447 | },
448 | "href": {
449 | "type": "string"
450 | },
451 | "text": {
452 | "type": "string"
453 | },
454 | "resource-fragment": {
455 | "type": "string"
456 | }
457 | },
458 | "additionalProperties": false
459 | },
460 | "Role": {
461 | "type": "object",
462 | "required": [
463 | "id"
464 | ],
465 | "properties": {
466 | "id": {
467 | "type": "string"
468 | },
469 | "title": {
470 | "type": "string"
471 | }
472 | },
473 | "additionalProperties": false
474 | },
475 | "Party": {
476 | "type": "object",
477 | "required": [
478 | "uuid",
479 | "type",
480 | "name"
481 | ],
482 | "properties": {
483 | "uuid": {
484 | "type": "string"
485 | },
486 | "type": {
487 | "type": "string",
488 | "enum": [
489 | "organization",
490 | "person"
491 | ]
492 | },
493 | "name": {
494 | "type": "string"
495 | },
496 | "email-addresses": {
497 | "type": "array",
498 | "items": {
499 | "type": "string"
500 | }
501 | },
502 | "addresses": {
503 | "type": "array",
504 | "items": {
505 | "type": "object"
506 | }
507 | },
508 | "short-name": {
509 | "type": "string"
510 | }
511 | },
512 | "additionalProperties": true
513 | },
514 | "ResponsibleParty": {
515 | "type": "object",
516 | "required": [
517 | "role-id",
518 | "party-uuids"
519 | ],
520 | "properties": {
521 | "role-id": {
522 | "type": "string"
523 | },
524 | "party-uuids": {
525 | "type": "array",
526 | "items": {
527 | "type": "string"
528 | }
529 | }
530 | },
531 | "additionalProperties": false
532 | }
533 | }
534 | }
--------------------------------------------------------------------------------
/Dokumentation/namespaces/handlungsworte.csv:
--------------------------------------------------------------------------------
1 | Infinitiv,Partizip Perfekt,Passivform,Zu-Infinitiv,Nominalisierung,Typ,Definition,Synonyme,UUID
2 | aktivieren,aktiviert,aktiviert wird,zu aktivieren,Aktivierung,software,"Die in der Anforderung benannte Funktion des Betrachtungsgegenstands wird eingeschaltet und kann vom Nutzenden nicht ausgeschaltet werden. Die Aktivierung gilt auch dann als umgesetzt, wenn das System die benannte Funktion immer besitzt auch ohne, dass diese konfigurierbar ist. Entscheidend ist, dass die Funktion auch tatsächlich funktioniert.",,4d9da359-34e9-41b2-b198-ed53920a0414
3 | anhören,angehört,angehört wird,anzuhören,Anhörung,policy,"In der Anforderung benannte Personen oder Organisationseinheiten erhalten die Möglichkeit, sich innerhalb einer angemessenen Frist zu der in der Anforderung benannten Angelegenheit zu äußern, bevor eine Entscheidung getroffen wird. Die Stellungnahme kann in beliebiger Form eingeholt werden, z.B. mündlich oder in Textform. Bei der Entscheidung ist die Stellungnahme zu berücksichtigen. Wird die Entscheidung entgegen der Stellungnahme getroffen, so ist die Begründung hierfür zu dokumentieren.","frage, konsultiere, beteilige, einbeziehe",b8e9be24-22fb-4f1c-a60c-a2f8f0b4c47d
4 | anweisen,angewiesen,angewiesen werden,anzuweisen,Anweisung,policy,"Der Personengruppe wurde verbindlich und nachweisbar mitgeteilt, dass eine in der Anforderung benannte Verhaltensweise einzuhalten ist.","anordne, auferlege, auftrage, betraue, verpflichte, gebiete, instruiere",15492510-b3c9-48e8-8c5f-1b8fa9ce5498
5 | ausführen,ausgeführt,ausführen wird,auszuführen,Ausführung,policy,Ein Prozess oder eine bestimmte technische Funktion wird unter den benannten Bedingungen durchgeführt. Dies kann je nach individuellem Kontext automatisch geschehen oder manuell durchgeführt werden.,,54a1c8e6-043f-411c-8e83-a5a47bb840fe
6 | authentifizieren,authentifiziert,authentifiziert wird,zu authentifizieren,Authentifizierung,policy,"Der Betrachtungsgegenstand überprüft eingehende Authentisierungsdaten daraufhin, ob diese gültig sind und dazu berechtigen die angeforderte Aktion durchzuführen. In der Regel wird ""authentifizieren"" im Zusammenhang mit technischen Betrachtungsgegenständen verwendet, wenn diese überprüfen sollen, ob Nutzende oder Anwendungen berechtigt sind eine Aktion am Betrachtungsgegenstand durchzuführen. Allerdings kann Authentifizierung auch manuell stattfinden, z.B. an einem Eingang.","Echtheit, beglaubige, bezeuge, verifiziere",8e423108-c6dd-41fd-8104-e9221bd9d085
7 | autorisieren,autorisiert,autorisiert wird,zu autorisieren,Autorisierung,policy,"Die (weitere) Verwendung eines Zielobjektes oder eine bestimmte Handlung wird von der Institution freigegeben. ""Freigabe"" bedeutet hier die formale Erlaubnis nach einer sachlichen und fachlichen Prüfung, typischerweise durch Rollen wie (1) Netzwerkarchitekt, (2) IT-Sicherheitsbeauftragter oder (3) Leiter IT-Betrieb. Für die Beurteilung, ob eine Freigabe erteilt wird oder nicht, sind folgende Fragen relevant: (a) Steht die Autorisierung im Widerspruch zu den festgelegten Verfahren und Regelungen für das betreffende Zielobjekt oder den betreffenden Prozess? (b) Risikoabschätzung: Stehen die mit der Freigabe verbundenen Risiken für die Informationssicherheit im Verhältnis zu der damit verbundenen Schutzwirkung und dem Geschäftsinteresse?","befuge, erteile, freigebe, berechtige, bestätige, stattgebe, gewähre",7e32a8ee-3b6b-45c2-a788-d4223d7920ad
8 | blockieren,blockiert,blockiert wird,zu blockieren,Blockierung,software,"Der in der Anforderung Zustand darf nicht auftreten. Soweit ohne Beeinträchtigung anderer Sicherheitsmechanismen möglich ist dies durch automatisches Blockieren realisiert, wenn das Ereignis auftritt. Blockieren gilt auch dann als umgesetzt, wenn das System die benannte Funktion nicht besitzt.",,2abccead-8fc1-4f04-af4b-8c5ff796bd67
9 | deaktivieren,deaktiviert,deaktiviert wird,zu deaktivieren,Deaktivierung,software,"Die in der Anforderung benannte Funktion des Betrachtungsgegenstands wird nicht verwendet. Soweit ohne Beeinträchtigung anderer Sicherheitsmechanismen möglich ist dies durch die Abschaltung der Funktion realisiert. Die Deaktivierung gilt auch dann als umgesetzt, wenn das System die benannte Funktion nicht besitzt.",,5f0f5c35-65a5-4db2-9b27-0d86c2d7089b
10 | dokumentieren,dokumentiert,dokumentiert wird,zu dokumentieren,Dokumentation,policy,"Das in der Anforderung benanntes Ergebnis, Zustand, oder Verfahren ist in Textform festgehalten und die erforderlichen Stellen haben Zugriff auf diese Dokumentation. Die Umsetzung kann z.B. als Papierdokument, als digitaler Text in Prosa-Form oder auch für Menschen lesbare Konfigurationsdatei vorgenommen werden. Eine Dokumentation in Anwendungen (z. B. einem Ticketsystem oder einer Verwaltungssoftware) ist dabei ebenfalls zulässig, sofern die Anforderung keine andere Form vorschreibt. Die Dokumentation muss auf einem dauerhaften Datenträger gespeichert sein, solange der Betrachtungsgegenstand für den Informationsverbund relevant ist und für fachkundige Mitarbeitende verständlich sein. Wer Zugriff auf die Dokumentation benötigt ergibt sich aus dem Sinn und Zweck der Dokumentation.
11 |
12 | Bitte beachten Sie auch, dass Dokumentationen zu aktualisieren sind, wenn sich die dokumentierten Prozesse oder Informationen verändern.",,1ed72769-e05f-4a97-ad2e-99a70f1480e8
13 | einschränken,eingeschränkt,eingeschränkt wird,einzuschränken,Einschränkung,software,"Die in der Anforderung benannte Funktion, Verfahren, Betrachtungsgegenstand oder Berechtigung ist nur dann für andere Betrachtungsgegenstände nutzbar, wenn es dafür einen Bedarf gibt. Die Anforderung gilt auch dann als erfüllt, wenn der Betrachtungsgegenstand deaktiviert ist oder jedweden Zugriff ablehnt.","beschränke, begrenze, drossel, eingrenze, reduziere, einenge",c8289ac3-7877-4224-b43b-08e005e461ad
14 | informieren,informiert,informiert werden,zu informieren,Informierung,policy,"Der Betrachtungsgegenstand liefert Informationen um dem Empfänger eine selbstbestimmte Entscheidung über das weitere Vorgehen zu ermöglichen, z.B. indem Nutzende bei sicherheitskritischen Ereignissen in ihrem Benutzerkonto Informationen über Zeitpunkt und Quelle von fehlgeschlagenen Anmeldeversuchen informiert werden.","aufkläre, Auskunft, benachrichtige, Bescheid gebe, mitteile, einweihe, unterrichte, kundgebe, kundtu, offenbare, verkünde, kommuniziere, in Kenntnis setze, vermelde",80cfc5ed-d443-4e59-bb34-bec602457af9
15 | installieren,installiert,installiert wird,zu installieren,Installation,hardware,"Die Anforderung ist erfüllt, wenn der im Ergebnis benannte physische Betrachtungsgegenstand an der ebenfalls benannten Stelle eingerichtet wurde und funktionsfähig ist, z.B. die Installation und Aktivierung einer Einbruchmeldeanlage in einem Serverraum. Um die Anforderung zu erfüllen muss das Zielobjekt der Funktion, zu der es bestimmt ist, auch nachkommen. Z.B. gilt die Anforderung bei einer Einbruchmeldeanlage erst dann als erfüllt, wenn diese Anzeichen für Einbrüche auch tatsächlich an zuständige Stellen meldet. Mit „physisch“ ist hier gemeint, dass diese Anforderungen typischerweise (auch) eine physische Komponente erfordern. Beispielsweise ist bei einer Anforderung zur Installation redundanter Server davon auszugehen, dass diese Server erst dann als redundant gelten, wenn auch die zugrundeliegende Hardware ausfallsicher ausgelegt ist, statt nur zwei virtuelle Server auf dem selben Speichermedium oder der selben Netzanbindung zu führen.",,8e432bcd-2e41-444d-98d4-c4dbbdc9e575
16 | löschen,gelöscht,gelöscht wird,zu löschen,Löschung,policy,"Sicheres Löschen bedeutet, Daten so zu entfernen, dass sie mit vertretbarem Aufwand (auch forensisch) nicht mehr rekonstruierbar sind. Je nach Medium geschieht das z. B. durch verifizierbares Überschreiben, kryptografisches Löschen (Schlüsselvernichtung) oder physische Zerstörung (inklusive zugehöriger Metadaten, Caches und Datensicherungen).",,78d93859-b886-4145-9dd8-201869ce158e
17 | platzieren,platziert,platziert wird,zu platzieren,Platzierung,process-procedure,"Der Betrachtungsgegenstand positioniert einen anderen Betrachtungsgegenstand an einer in der Anforderung festgelegten Stelle oder einem Bereich. Das Prozesswort wird in der Regel im Bereich der Netzarchitektur, der Infrastruktur oder bei der Positionierung von IT-Systemen verwendet. Existiert im Informationsverbund der Betrachtungsgegenstand nicht, so ist die Anforderung entbehrlich.",,fec950b7-8c2d-4060-b4ff-d7276f0f9a56
18 | protokollieren,protokolliert,protokolliert wird,zu protokollieren,Protokollierung,policy,"In der Anforderung benannte Ereignisse werden automatisch auf einem dauerhaften Datenträger so festgehalten, dass sie im Falle eines Sicherheitsvorfalles ausgewertet werden können. ""Protokollieren"" darf nur dann verwendet werden, wenn die Aktion von einem technischen Betrachtungsgegenstand (auch als Prozessziel) durchgeführt wird. Falls ein Ereignis von Mitarbeitenden festgehalten werden soll, darf ""protokollieren"" nicht verwendet werden. In diesem Fall ist das Handlungswort ""dokumentieren"" zu verwenden. Eine Verwendung, bei der es darum geht, dass eine menschliche Aktion automatisch festgehalten wird, ist jedoch ausdrücklich vorgesehen. Speicherfristen für Protokollierungsdaten ergeben sich sowohl aus dem zu erwartenden Zeithorizont zwischen Vorfall und Auswertung, als auch aus den gesetzlichen Vorgaben für Speicherfristen, z.B. im Bereich personenbezogener Daten.","aufzeichne, automatisch dokumentiere",fe0c8466-8c0d-450b-a649-02c11e0231f8
19 | sensibilisieren,sensibilisiert,sensbilisiert wird,zu sensibilisieren,Sensibilisiert,policy,"Alle Nutzenden werden auf eine bestimmte Gefahr oder eine Sicherheitsmaßnahme hingewiesen. In der Regel wird dies durch die Sensibilisierungspraktik erreicht. ""Sensibilisieren"" ist daher nur in dieser Praktik zu verwenden.","belehre, aufmerksam mache, hinweise, aufzeige, ins Bewusstsein rücke",f1ccced2-5385-4c15-9cb4-3c97c495b76b
20 | testen,getestet,getestet wird,zu testen,Testung,policy,"Ein in der Anforderung definierter Zustand, ein Ergebnis oder ein Betrachtungsgegenstand wurde einmalig pro Ereignis daraufhin untersucht, dass es keine Abweichungen zum erwarteten Zustand oder Verhalten gibt. Dabei ist davon auszugehen, dass der erwartete Zustand im Allgemeinen als sicher anzusehen ist. Wird dabei die Schädlichkeit des Zustands festgestellt, so wird diese behandelt. In der Regel sind Tests vor einer produktiven Nutzung der betroffenen Betrachtungsgegenstände durchzuführen. Die Anforderung muss hierbei sowohl den Zeitpunkt des Ereignisses (""vor der Installation"") als auch den Inhalt des Tests (""Integrität der Installationdateien"") beschreiben.",,db5f9334-97d0-4326-80f0-176348a3f165
21 | überprüfen,überprüft,überprüft wird,zu überprüfen,Überprüfung,policy,"Tätigkeit, die durchgeführt wird, um die Eignung, Angemessenheit und Wirksamkeit eines Gegenstands (z.?B. einer Anlage, Maschine oder eines Verfahrens) zu bestimmen, um die Einhaltung der Anforderung (Konformität) eindeutig festzustellen oder im Falle von Abweichungen wiederherzustellen. Sichergestellt sein muss dabei insbesondere, dass die Regelmäßigkeit der Überprüfung gewährleistet wird, z.B. durch einen Kalendereintrag oder ein automatisiertes System zur Überprüfung und Alarmierung.
22 | Eine Überprüfung gilt erst dann als abgeschlossen, wenn die Konformität positiv bestätigt oder erneut hergestellt wurde; sollte die Wiederherstellung der Konformität nicht durch andere Maßnahmen möglich sein, muss der betrachtete Gegenstand außer Betrieb genommen werden, bis die erforderliche Konformität gewährleistet ist. In der Präzisierung ist benannt, wie oft die Überprüfung mindestens vorgenommen werden muss, um die Anforderung zu erfüllen. Steht hier nur ""regelmäßig"", so wird der Zeitabstand von der Institution selbst festgelegt. Dabei ist die Auftrittswahrscheinlichkeit und das Schadensausmaß der im Hinweis benannten Gefährdung zu berücksichtigen. Im Unterschied zum Handlungswort ""überwachen"" ist hier keine kontinuierliche Überprüfung erforderlich, sondern lediglich eine regelmäßig wiederkehrende, z.B. einmal wöchentlich.",,907e4ee6-6eb8-4160-902d-5b037f417e6a
23 | überwachen,überwacht,überwacht wird,zu überwachen,Überwachung,policy,"Ein Zielobjekt im Informationsverbund wird kontinuierlich auf seine Konformität mit dem in der Anforderung genannten Zustand überwacht. Wird eine Abweichung festgestellt, so erfolgt eine Benachrichtigung zuständiger Stellen in der Institution.",,43c9fe35-e725-48b1-85d2-29cdcc69ce63
24 | untersagen,untersagt,untersagt wird,zu untersagen,Untersagung,policy,"Den Nutzenden wird das in der Anforderung bestimmte Verhalten untersagt. Hierzu wird in Textform ausgehändigt, welches Verhalten zu welchen Bedingungen untersagt ist und dass bei Verstößen mit arbeitsrechtlichen Maßnahmen zu rechnen ist. Stellt die Institution das verbotene Verhalten fest, so ergreift sie Maßnahmen, um es zu beenden. Das Handlungswort wird nur verwendet, wenn es sich auf Nutzende als Zielobjekt bezieht. In der Regel wird es in Kombination mit der Sensibilisierungspraktik verwendet. ""Untersagen"" wird nicht für andere Betrachtungsgegenstände oder Zielobjekte verwendet.","verbiete, verhinder, verwehre, verweiger, vorenthalte",6789d951-1904-4753-a1db-ee1c4e18aeed
25 | verankern,verankert,verankert wird,zu verankern,Verankerung,process-procedure,"Die Praktik gewährleistet die Nutzung oder Durchführung einer bestimmten Verfahrensweise oder die Umsetzung einer bestimmten Vorgabe. Damit ist gemeint, dass ein bestimmtes Verfahren verwendet wird und dass der Prozess diese Verwendung initiiert und sicherstellt. Beschreibt das einen Zielzustand, so bedeutet dies, dass dieser Zielzustand erreichen sein muss. Solange der Zielzustand nicht erreicht ist, darf das fragliche Zielobjekt nicht verwendet werden bzw. das betroffene Verfahren nicht weiter ausgeführt werden.","aufsetze, beschließe, entscheide, erlasse, festsetze, festlege, verfüge, verhänge, verordne, vorgebe, vorschreibe, vorsehe, fixiere, reglementiere, entscheide",f8ba5e7f-9eac-4f04-8638-586bdcdc64f4
26 | vereinbaren,vereinbart,vereinbart wird,zu vereinbaren,Vereinbarung,policy,"Der in der Anforderung benannte Praktik verlangt, dass eine bestimmte Fähigkeit oder ein bestimmter Zustand erreicht wird, für den typischerweise eine Mitwirkung Dritter erforderlich ist. Liegt die Fähigkeit oder der Zustand nicht vor, so müssen Maßnahmen ergriffen werden bis dies der Fall ist, bzw. darf das nicht-konforme Zielobjekt so lange nicht zum Einsatz im Informationsverbund kommen, bis Konformität wiederhergestellt ist. In der Regel wird ""fordern"" im Zusammenhang mit Anforderungsdokumenten (z. B. dem Anforderungskatalog für Software) oder bei Verträgen mit anderen Institutionen verwendet.
27 |
28 | Um die Anforderung zu erfüllen muss die Institution auch sicherstellen, dass Sie die von Dritten bereitgestellte Ressource auch entsprechend zum Einsatz bringt. Wird z.B. bei Vertragsverhandlungen von Lieferanten eine Liste der Netzverbindungen gefordert, so muss diese Liste dann von der Instiution selbst auch auf Auffälligkeiten kontrolliert werden und darf nicht nur ""im Schrank verschwinden"".","abmache, abspreche, aushandel, ausmache, vertraglich, einige, übereinkomme, verabrede, sich verständige, übereinkomme, abrede, abstimme",e86734d6-a7a3-4d66-8c64-0d20c5917ed8
29 | verschlüsseln,verschlüsselt,verschlüsselt wird,zu verschlüsseln,Verschlüsselung,software,"Verschlüsseln bedeutet hier, Daten mit kryptographischen Verfahren so zu transformieren, dass sie ohne den passenden Schlüssel für Unbefugte nicht lesbar sind. Dabei umfasst Verschlüsselung im modernen sicherheitstechnischen Sinn nicht nur die Vertraulichkeit der Daten (Schutz vor Einsichtnahme), sondern auch eine Integritäts- und Authentizitätsprüfung (z.B. wird bei Transport- oder Festplattenverschlüsselung auch die Integrität sichergestellt). Technisch wird dies typischerweise durch authentifizierte Verschlüsselung (z. B. AES-GCM, ChaCha20-Poly1305) oder durch Kombination von Verschlüsselung mit kryptographischen Prüfsummen (MAC, HMAC) erreicht. Für weitere Details siehe BSI TR-02102.",chiffiere,4dc9ef92-2124-449a-9a99-61095d271599
30 | zuweisen,zugewiesen,zugewiesen wird,zuzuweisen,Zuweisung,process-procedure,"Einer Entität wird eine bestimmte Aufgabe, Verantwortung oder Ressource gezielt zugeteilt. Beispielweise wird einem Mitarbeitenden eine bestimmte Rolle oder Aufgabe zugewiesen. Bei der Zuweisung von Ressourcen (Budget, Speicherplatz, usw.) ist darauf zu achten, dass die Ressourcen voraussichtlich auch zur Erreichung des Zwecks ausreichend sind.",,bdb029e3-9154-4f33-a74b-5055a1ce4020
31 |
--------------------------------------------------------------------------------
/Dokumentation/namespaces/praktiken.csv:
--------------------------------------------------------------------------------
1 | Kürzel,Begriff,Definition,UUID,Schwerpunkt,Nummerierung,auch bekannt als
2 | GC,Governance und Compliance,"Die Praktik Governance und Compliance stellt sicher, dass Informationssicherheitsstrategien mit den übergeordneten Zielen der Institution und regulatorischen Anforderungen im Einklang stehen. Sie vereint die strategische Steuerung der Informationssicherheit mit der systematischen Identifikation und Integration externer sowie interner Anforderungen.
3 |
4 | Diese Praktik definiert den strategischen Rahmen für die Informationssicherheit und beantwortet die Fragen nach dem ""Was"" und ""Warum"" von Anforderungen und Sicherheitsmaßnahmen. Sie gewährleistet die Einbindung der obersten Führungsebene in wichtige Entscheidungen zur Informationssicherheit und stellt sicher, dass alle relevanten gesetzlichen, regulatorischen und vertraglichen Vorgaben identifiziert und berücksichtigt werden.
5 |
6 | Während Governance und Compliance die strategische Ausrichtung und die Anforderungen definiert, übernehmen die operativen Praktiken wie Strukturmodellierung und Umsetzung die konkrete Ausgestaltung.",b843af63-e2a3-4dcd-ab8e-fe66dde9b138,ISMS,1,Corporate/Mission Governance und Compliance
7 | STM,Strukturmodellierung,"Die Praktik Strukturmodellierung bildet die Grundlage für eine systematische Analyse der Informationssicherheit einer Institution.
8 |
9 | Ziel der Strukturmodellierung ist aus dem Stand-der-Technik-Kompendium ein individuelles Anforderungspaket für die Institution zu generieren. Auf Basis der Geschäftsprozesse und Informationen wird der individuelle Schutzbedarf festgelegt. Mit der Zuordnung einzelner Praktiken und Zielobjekte erfolgen eine Auswahl von Anforderungen auf der Grundlage des vorgegebenen Schutzniveaus. Blaupausen unterstützen die Filterung der Anforderungen. Eine Klassifizierung des Schutzbedarfs der Zielobjekte erfolgt auf Anforderungsebene. Die individuelle Anpassung der Anforderungen durch Auswahlmöglichkeiten erleichtern eine Skalierung. Eine Erweiterung des Anforderungspakets durch spezifische Anforderungen erhöht die Flexibilität. Für diese Anforderungen ist eine Risikobetrachtung erforderlich.
10 | Die Strukturmodellierung liefert essentielle Eingangsdaten für die nachgelagerten Praktiken wie Umsetzung und Monitoring-Evaluation und ermöglicht eine zielgerichtete und risikoorientierte Planung von Anforderungen und Sicherheitsmaßnahmen.",deba3c17-15a1-450e-84a9-129ac73b0b84,ISMS,2,Modellierung
11 | UMS,Umsetzung,"Die Praktik Umsetzung sorgt für die systematische Planung, Implementierung und Dokumentation von Anforderungen bzw. der Sicherheitsmaßnahmen, die aus der Strukturmodellierung und Risikobewertung abgeleitet wurden. Sie stellt sicher, dass identifizierte Sicherheitsanforderungen effektiv in die organisatorischen und technischen Prozesse integriert werden.
12 | Diese Praktik umfasst die detaillierte Planung von Maßnahmen, die Festlegung von Verantwortlichkeiten und Zeitplänen sowie die Bereitstellung notwendiger Ressourcen. Zudem beinhaltet sie die Nachverfolgung der Implementierung und die Dokumentation der umgesetzten Maßnahmen.
13 |
14 | Während die Praktik Strukturmodellierung die notwendigen Anforderungen identifiziert und die Praktik Monitoring-Evaluation die Wirksamkeit der Maßnahmen überprüft, konzentriert sich die Umsetzung auf die effiziente und effektive Realisierung der erforderlichen Sicherheitsmaßnahmen.",af61e9e7-80ee-4630-b603-c615c6a966ec,ISMS,3,Realisierung von Sicherheitsmaßnahmen
15 | VRB,Verbesserung,"Die Praktik Verbesserung gewährleistet die kontinuierliche Weiterentwicklung und Optimierung des Informationssicherheitsmanagementsystems. Sie nutzt die Erkenntnisse aus dem Monitoring und der Evaluation, um die Wirksamkeit der Sicherheitsmaßnahmen zu erhöhen.
16 |
17 | Diese Praktik umfasst die Planung und Umsetzung von Korrektur- und Vorbeugungsmaßnahmen. Ziel ist es, einen Prozess der kontinuierlichen Verbesserung zu etablieren, der flexibel auf neue Bedrohungen und veränderte Rahmenbedingungen reagieren kann.
18 | Die Verbesserung schließt den PDCA-Zyklus ab und leitet gleichzeitig einen neuen Zyklus ein, indem sie Impulse für Anpassungen in den Praktiken Governance und Compliance, Strukturmodellierung und Umsetzung gibt. Sie stellt sicher, dass das ISMS dynamisch bleibt und sich an veränderte Anforderungen und Bedrohungen anpasst.",662fb453-caf1-4e01-8152-b88027b71438,ISMS,4,Kontinuierliche Verbesserung
19 | PERF,Monitoring-Evaluation,"Die Praktik Monitoring-Evaluation stellt durch kontinuierliche Überwachung und systematische Bewertung sicher, dass die implementierten Sicherheitsmaßnahmen wirksam sind und die Sicherheitsziele der Organisation erreicht werden. Sie liefert Erkenntnisse über den aktuellen Sicherheitszustand und identifiziert Verbesserungspotentiale.
20 |
21 | Im Rahmen dieser Praktik werden regelmäßige Sicherheitsaudits, kontinuierliches Monitoring von Sicherheitsereignissen sowie periodische Überprüfungen und Bewertungen des ISMS durchgeführt. Sie entspricht der ""Check-Phase"" im PDCA-Zyklus und dient dazu, Abweichungen von den definierten Zielen zu erkennen.
22 |
23 | Die Ergebnisse der Monitoring-Evaluation fließen direkt in die Praktik Verbesserung ein, wo konkrete Maßnahmen zur Behebung identifizierter Schwachstellen und zur kontinuierlichen Weiterentwicklung des ISMS abgeleitet werden.",929c7c4f-efe1-4092-907e-ba1e767a1ac3,ISMS,5,Kontinuierliche Überprüfung
24 | ASST,Informationen und Assets,"Im Rahmen der IT-Komponenten stellt das Asset Management sicher, dass die IT-Komponenten erfasst und inventarisiert werden. Hierbei geht es darum eine Übersicht, über relevante ""Assets"", wie Server, Clients, Netzwerkkomponenten sowie auch Datenträger sowie deren Verantwortlichkeiten, Besitzer oder auch Produktlebenszyklus zu haben. Des Weiteren soll im Rahmen des Asset Management auch die Ist-Dokumentation der Komponenten (z.B. Konfiguration, Patch-Level, Kritikalitätsstufen) erfasst werden.
25 | Während die Praktik ""Konfiguration"" die Parameter einer IT-Komponenten betrachtet und IT-Betrieb die Vorgehensweisen zu Wartung und Pflege von IT-Komponenten, betrachtet Asset Management die Übersicht und Dokumentation aller IT-Komponenten.",02088622-573d-4225-883c-9afe0c7dc69b,Organisatorisch,6,Management von Informationen und Assets
26 | PERS,Personal,"Die Praktik Personal fokussiert sich auf die Integration von Sicherheitsanforderungen über den gesamten Beschäftigungs- oder Vertragszyklus von Mitarbeitenden sowie externen Partnern hinweg. Ziel ist es, einen sicheren Umgang mit Informationen während der gesamten Dauer der Beschäftigung oder Zusammenarbeit zu gewährleisten.
27 |
28 | Diese Praktik fokussiert auf den sicheren Umgang mit Personen, während Praktiken, wie Berechtigungen, den systemseitigen Zugriff regeln.",8c802b3e-567c-4dd2-a7d0-c915659deb57,Organisatorisch,7,Personalmanagement
29 | BES,Beschaffungsmanagement,"Die Praktik Beschaffungsmanagement sorgt für die frühzeitige Integration von Informationssicherheit in fachliche Anforderungs-, Planungs- und Beschaffungsverfahren, einschließlich angehender Projekte.
30 |
31 | Dabei erfolgt keine Unterscheidung zwischen den Bereichen Organisation, Personal, Dienstleister, IT-Infrastruktur, Komponenten oder Gebäuden. Ziel ist es, Sicherheitsanforderungen frühzeitig in die strategische Planung einzubinden – von der ""Make-or-Buy""-Entscheidung bis hin zur konkreten Beschaffung.
32 |
33 | Während die Praktik Compliance sich explizit auf Anforderungen auf die Informationssicherheit konzentriert, umfasst das Beschaffungsmanagement alle fachlichen, regulatorischen und technischen Anforderungen, die in die Organisation, Personal-, Dienstleisterverträge, IT-Infrastruktur, Komponenten und Gebäude integriert werden müssen.",cf85fe4e-56dc-4942-9564-aa80aa13a626,Organisatorisch,8,Beschaffungswesen
34 | DLS,Dienstleistersteuerung,"Die Praktik Dienstleistersteuerung regelt die kontinuierliche Überwachung und Steuerung externer Dienstleister, wie etwa Outsourcing-Partner oder Cloud-Anbieter. Sie stellt sicher, dass die erbrachten Leistungen den vereinbarten Sicherheitsanforderungen entsprechen und die Dienstleister ihre vertraglichen Verpflichtungen in Bezug auf die Informationssicherheit erfüllen.
35 | Im Gegensatz dazu befasst sich die Praktik Beschaffungsmanagement mit der Auswahl von Dienstleistern sowie der vertraglichen Absicherung, wobei die Integration von Informationssicherheitsanforderungen in den Beschaffungsprozess im Vordergrund steht.
36 | Während das Beschaffungsmanagement also die Grundlage für die Zusammenarbeit mit externen Dienstleistern schafft, übernimmt die Dienstleistersteuerung die fortlaufende Kontrolle und das Management dieser Beziehungen, um sicherzustellen, dass die vereinbarten Sicherheitsstandards auch langfristig eingehalten werden.",1291637b-aa0e-4b80-a309-5aca40e1c01b,Organisatorisch,9,Management bestehender Dienstleisterbeziehungen
37 | TEST,Änderungen und Tests,"Die Praktik ""Änderungen und Tests"" stellt sicher, dass alle geplanten Veränderungen an Informationssystemen systematisch und kontrolliert ablaufen, um ungewollte Störungen, Sicherheitsrisiken oder Compliance-Verstöße zu vermeiden (Change Management). Sie umfasst die Vorbereitung, Planung und Durchführung von Tests, die Freigabe und den Rollout von Änderunge, sowie die begleitende Dokumentation.",554ba2da-7317-4792-8548-141250039260,Organisatorisch,10,Veränderungsmanagement
38 | GEB,Gebäudemanagement,"Das Gebäudemanagement sorgt für die Implementierung von physischen Sicherheitsmaßnahmen in und um das Gebäude. Dazu gehören insbesondere Zutrittskontrollen, Überwachungsmechanismen und die Sicherstellung geeigneter Umgebungsbedingungen, um sensible IT-Systeme und Informationen vor physischen Bedrohungen zu schützen.
39 |
40 | Diese Praktik fokussiert sich auf den Schutz der physischen Umgebung (z.B. Gebäude, Räume), während andere Praktiken wie IT-Betrieb oder Berechtigungen sich mit systemseitigen und personellen Sicherheitsmaßnahmen beschäftigen. Das Gebäudemanagement stellt sicher, dass die physische Infrastruktur so gestaltet ist, dass sie IT-Systeme und sensible Daten bestmöglich schützt.",17b37cff-5445-4487-acec-ef18d91cfec2,Organisatorisch,11,Gebäudemanagement
41 | SENS,Sensibilisierung,"Die Praktik Sensibilisierung sorgt dafür, dass alle Mitarbeitenden über die Leitlinie zur Informationssicherheit sowie relevanten Informationssicherheitsrichtlinien, -verfahren und -bedrohungen informiert sind. Ziel ist es, ein sicherheitsbewusstes Verhalten im Arbeitsalltag zu fördern und zu verankern.
42 |
43 | Der Fokus liegt auf der Schaffung eines Verständnisses für die Bedeutung der Informationssicherheit innerhalb der Institution. Gleichzeitig wird die notwendige Qualifikation für den sicheren Betrieb und die Nutzung von Anwendungen und IT-Systemen vermittelt, um Fehler zu vermeiden.
44 |
45 | Die Praktik Personalmanagement stellt sicher, dass Informationssicherheitsaspekte während des gesamten Beschäftigungszyklus von Mitarbeitenden berücksichtigt werden, während Sensibilisierung speziell auf die kontinuierliche Weiterbildung und Sensibilisierung im Bereich Informationssicherheit abzielt.",66da6dfc-8bb3-4dcb-9809-72f3be19845e,Organisatorisch,12,Schulung und Sensibilisierung
46 | ARCH,Architektur,"Die Praktik Architektur definiert die grundlegende Struktur sowie die Sicherheitsprinzipien der IT-Infrastruktur und leitet daraus Anforderungen für einzelne IT-Komponenten ab – etwa für Anwendungen oder IT-Systeme. Ziel ist es, eine sichere und skalierbare Basis zu schaffen.
47 |
48 | Im Rahmen dieser Praktik werden Sicherheitsanforderungen systematisch in die Gesamtarchitektur eingebettet. Dazu gehören die Gestaltung der Netzarchitektur sowie die Entwicklung übergreifender Konzepte, beispielsweise für Kryptografie oder den Schutz vor Schadsoftware.",6710c63e-bb40-4742-9bae-1779ba21f2a9,Technisch,13,Netzarchitektur
49 | BER,Berechtigung,"Die Praktik Berechtigung stellt sicher, dass ausschließlich autorisierte Personen und IT-Systeme Zugriff auf sensible Informationen und Ressourcen erhalten. Sie regelt die Verwaltung von Identitäten und Berechtigungen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten.
50 |
51 | Dabei bildet die Praktik Berechtigung eine zentrale Schnittstelle zwischen den Praktiken Personal, Dienstleistersteuerung, Asset Management und Gebäudemanagement. Während IT-Systeme den Zugriff regeln, behandeln die Praktik Personal den Umgang mit Mitarbeitenden. Die Praktik Berechtigung vereint diese organisatorischen und technischen Aspekte, um Zugriffsrechte sicher und effizient zu verwalten.",389cd5ad-fb81-4a95-8f7a-8f1fe1881709,Technisch,14,Identitäts- und Berechtigungsmanagement
52 | NOT,Notfallplanung,"Die Notfallplanung stellt sicher, dass bei schwerwiegenden Störungen oder Krisen schnell und koordiniert reagiert wird, um den Fortbestand kritischer Geschäftsprozesse und die Wiederherstellung der betroffenen Systeme zu gewährleisten.
53 |
54 | Notfallplanung adressiert umfassende Notfälle und Krisensituationen, während die Sicherheitsvorfallbehandlung spezifisch auf Informationssicherheitsvorfälle fokussiert ist. Notfallmanagement ist strategisch und organisatorisch umfassender, während die Vorfallbehandlung auf operative Sicherheitsprobleme eingeht.",723219b0-d58a-432d-bce2-2bf16c5874ae,Technisch,15,Betriebliches Kontinuitätsmanagement
55 | DET,Detektion,"Die Praktik Detektion sorgt dafür, dass sicherheitsrelevante Ereignisse rechtzeitig erkannt werden. Zu diesem Zweck werden geeignete organisatorische, personelle und technische Maßnahmen im Vorfeld geplant, implementiert und regelmäßig geübt.
56 |
57 | Damit die Detektion erfolgreich ist, muss umfassend protokolliert werden. Das Zusammenspiel zwischen den Praktiken Protokollierung und Detektion ist für die erfolgreiche Erkennung sicherheitsrelevanter Ereignisse unerlässlich.
58 |
59 | Die Praktik Detektion regelt jedoch nicht den Umgang mit sicherheitsrelevanten Ereignissen nach deren Erkennung. Dies ist Aufgabe der Praktik Sicherheitsvorfallsbehandlung.",f479aa5a-6dd9-4b9b-973e-8c4f85b074ed,Technisch,16,Bedrohungserkennung
60 | REA,Sicherheitsvorfallsbehandlung,"Die Praktik Sicherheitsvorfallsbehandlung sorgt dafür, dass Informationssicherheitsvorfälle effizient erkannt, gemeldet, analysiert und behoben werden, um Schäden zu minimieren und den Normalbetrieb so schnell wie möglich wiederherzustellen.
61 |
62 | Diese Praktik ist reaktiv und konzentriert sich darauf, die Auswirkungen von Sicherheitsvorfällen zu minimieren. Sie stellt sicher, dass bei einem Sicherheitsvorfall schnell und effizient gehandelt wird, um den Schaden zu begrenzen.
63 |
64 | Andere Praktiken, wie z.B. Architektur, Personal, Sensibilisierung wirken proaktiv und versuchen, Sicherheitsvorfälle durch präventive Maßnahmen zu verhindern oder deren Häufigkeit zu reduzieren.",28b2c88b-1a2a-4f9f-81c0-5d46b50c8f04,Technisch,17,Behandlung von Sicherheitsvorfällen
65 | KONF,Konfiguration,"Die Praktik Konfiguration stellt sicher, dass IT-Komponenten – wie Anwendungen und IT-Systeme – gemäß den festgelegten Informationssicherheitsrichtlinien eingerichtet und kontinuierlich gepflegt werden, um Sicherheitslücken durch fehlerhafte oder unsichere Einstellungen zu vermeiden. Dies umfasst auch die nachvollziehbare Erstellung und Fortführung der Dokumentation.
66 |
67 | Konfiguration beinhaltet die Realisierung einer sicheren Konfiguration von Anwendungen und IT-Systemen. Sie fokussiert auf die Sicherstellung eines sicheren Zustands (z.B. Maßnahmen zur Systemhärtung). Hingegen beinhaltet die Praktik IT-Betrieb alle Vorgehensweisen zur Wartung und Pflege der Anwendungen und IT-Systeme im Rahmen eines strukturierten IT-Betriebs.",8e46d34c-5145-44f8-882e-790e2dcffa09,Technisch,18,Konfigurationsmanagement
68 | DEV,Entwicklung,"Die Praktik Entwicklung stellt sicher, dass Sicherheitsanforderungen bereits von Beginn an in die Planungs- und Entwicklungsphase von IT-Systemen und Anwendungen integriert werden. Auf diese Weise können potenzielle Schwachstellen frühzeitig erkannt und vermieden werden, wodurch die Sicherheit über den gesamten Lebenszyklus der IT-Systeme und Anwendungen hinweg gewährleistet ist.
69 |
70 | Entwicklung berücksichtigt die Software- und Systementwicklung, also die Erzeugung und Integration neuer IT-Komponenten in die IT-Infrastruktur der Institution.
71 |
72 | Durch die enge Zusammenarbeit mit anderen Praktiken wie IT-Betrieb, Asset Management und Konfiguration wird gewährleistet, dass die entwickelten IT-Komponenten nicht nur sicher entwickelt werden, sondern auch sicher betrieben, verwaltet und gepflegt werden können. Diese enge Verzahnung sorgt dafür, dass Sicherheitsanforderungen durchgängig und über alle Phasen hinweg eingehalten werden.",108b65aa-5964-49d7-b9eb-dc8946a923ca,Technisch,19,Entwicklungsmanagement
73 |
--------------------------------------------------------------------------------
/Dokumentation/namespaces/zielobjekte.csv:
--------------------------------------------------------------------------------
1 | Zielobjekt,Definition,Typ,Kategorie,Synonyme,ChildOfUUID,UUID
2 | Administrierende,"Nutzende, die mit der Administration von IT-Systemen oder Software im Informationsverbund von der Institution direkt oder mittelbar beauftragt sind. Ihnen sind typischerweise auch besondere Zugriffsrechte zugeordnet, z.B. Admin-Konten oder Zugangskarten für den Datensicherungsraum.",Nutzende,Organisatorisch,Admin,9d0465aa-a31f-465f-99c8-7a383322b2a4,efd76832-f5a1-432a-836d-c8d5c6d212cc
3 | Anwendungen,"Anwendungen sind Funktionseinheiten, die eine bestimmte Aufgabe oder Datenverarbeitung für Nutzende erbringt. Die Anwendung kann sowohl durch Software (z.B. Tabellenkalkulation) als auch durch Hardware (z.B. 3D-Berechnungen) umgesetzt sein. Software meint hier alle Computerprogramme und die dazugehörigen Daten, die von einem IT-System ausgeführt werden. Hierzu gehören z.B. Textverarbeitungen, Betriebssysteme, mobile Apps, eine individuell entwickelte Software oder ein verteiltes Content-Management-System.",Anwendungen,Technisch,Apps,,7e41ecf5-1831-4691-ad0c-4fc7bbc1b871
4 | Cloud-Dienste,"Eine Unterart des Outsourcing, bei der nicht der Geschäftsprozess selbst, sondern der fortlaufende Betrieb (eines Teils) der dafür notwendigen IT-Infrastruktur, Plattformen oder Software an einen externen Dienstleister ausgelagert wird. Dabei übernimmt der Dienstleister die technische Verwaltung, den Betrieb und die Wartung der IT-Ressourcen. Cloud-Dienste umfassen typischerweise Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) oder Software-as-a-Service (SaaS).",Einkäufe,Technisch,Cloud-Dienstleister,ff3b07f0-1d19-44fb-ac2c-dea97010c5b8,d2a23b62-9c66-4f72-98e2-17518d5dbe0f
5 | Dateiserver,"Server-Anwendungen in einem Netz, die Dateien von Speichermedien für alle zugriffsberechtigten Benutzer bzw. Clients zentral bereitstellen. Die Datenbestände können von zugriffsberechtigten Benutzern genutzt werden, ohne sie z. B. auf Wechseldatenträgern zu transportieren oder per E-Mail zu verteilen. Dadurch, dass die Daten zentral vorgehalten werden, können sie strukturiert und in verschiedenen Verzeichnissen und Dateien bereitgestellt werden. Bei Fileservern können Zugriffsrechte auf die Dateien zentral vergeben werden. Auch die Datensicherung kann vereinfacht werden, wenn sich alle Informationen an einer zentralen Stelle befinden. Ein Fileserver verwaltet meistens Massenspeicher, die mit ihm über Schnittstellen wie SCSI (Small Computer System Interface) oder SAS (Serial Attached SCSI) verbunden sind. Die Speicher befinden sich entweder direkt im Gehäuse des Fileservers oder sind extern angeschlossen. Letzteres wird oft als Directly Attached Storage (DAS) bezeichnet. Ein Fileserver kann auf herkömmlicher Server-Hardware oder einer dedizierten Appliance betrieben werden. Oft können bei großen Datenmengen auch zentrale Storage-Area-Network (SAN)-Speicher über Host-Bus-Adapter (HBA) im Server und an SAN-Switches angebunden werden.",Anwendungen,Technisch,"Fileserver, NAS",7e41ecf5-1831-4691-ad0c-4fc7bbc1b871,eb65007a-2247-4346-a258-c242e066a10f
6 | Daten,"schützenswerte Informationen, die automatisiert verarbeitet werden oder in einem Dateisystem gespeichert sind.",Informationen,-,dokumentierte Informationen,5a5eceda-172c-4500-a19d-956dbb5de4a4,69d48234-d4c2-463d-9b76-c3a1580edd85
7 | Datenträgerarchiv,"Datenträgerarchive sind abgeschlossene Räumlichkeiten innerhalb einer Institution, die zur Lagerung von Datenträgern jeder Art bestimmt sind. Dazu gehören neben Datenträgern, auf denen digitale Informationen abgespeichert sind, auch Papierdokumente, Filme oder sonstige Medien.",Standorte,Organisatorisch,,09517106-2c2c-411e-a06c-65736363286f,dfd8e05b-a028-4403-9776-255b968cc4a6
8 | Dienstleistungen,"Tätigkeit im Zusammenhang mit Informationen der Institution, die ein Dritter für die Institution ausübt. Im Gegensatz zu IT-Produkten ist dies eine immaterielle Beschaffung, d.h. beschafft wird ein Recht zum Abruf einer Dienstleistung gegenüber dem Dienstleistenden. Beachten Sie, dass ein Vertrag sowohl IT-Produkte als auch Dienstleistungen enthalten kann, z.B. ein Smartphone mit Cloudspeicher-Dienst. Die Dienstleistungen haben eine weitere Unterart, das sogenannte Outsourcing, welches sich mit der Auslagerung von (Teil-)Geschäftsprozessen an Dienstleister beschäftigt.",Einkäufe,Organisatorisch,Services,5f59b23c-8d18-4d5f-ad96-c02ffad10daf,04d5e0fa-7b1a-48d5-b87c-1ee0060a4c2d
9 | DNS-Server,"Server-Anwendungen, die den Domain-Namensraum im Internet oder Intranet verwalten und Clients z.B. die Umwandlung von DNS-Namen in IP-Adressen oder umgekehrt ermöglichen. DNS-Server können nach ihren Aufgaben unterschieden werden. Dabei gibt es grundsätzlich zwei verschiedenen Typen: Advertising DNS-Server und Resolving DNS-Server. Advertising DNS-Server sind üblicherweise dafür zuständig, Anfragen aus dem Internet zu verarbeiten. Resolving DNS-Server hingegen verarbeiten Anfragen aus dem internen Netz einer Institution.",Anwendungen,Technisch,Nameserver,7e41ecf5-1831-4691-ad0c-4fc7bbc1b871,f88fd07b-f918-45b5-80a5-59fcea43a99c
10 | Drucker,"Peripheriegeräte zur Ausgabe von Daten auf einem zweidimensionalen Trägermedium, in der Regel Papier. Verfügt der Drucker über einen eigenen Netzanschluss, so wird er als Netzwerkdrucker bezeichnet. Als Multifunktionsgeräte werden Drucker bezeichnet, die mehrere papierverarbeitende Funktionen bieten, etwa Drucken, Kopieren, Scannen sowie auch Versenden und Empfangen von Fax-Dokumenten.",IT-Systeme,Technisch,Printer,427da6dd-d744-4b2b-88b7-f0a695f21e14,1ec19179-73af-4b85-9c3c-eade65d982a0
11 | Einkäufe,"Verbindliche Vereinbarungen, durch die eine Institution die notwendigen Hard- und Softwarekomponenten, IT-Dienstleistungen oder andere für den Geschäftsbetrieb notwendige Ressourcen erhält.",Einkäufe,Organisatorisch,"Verträge, Beschaffungen",,5f59b23c-8d18-4d5f-ad96-c02ffad10daf
12 | E-Mail,"Anwendungen, über die E-Mails versendet oder empfangen werden können.",Anwendungen,Technisch,,047aa523-6955-423d-924e-8376fb1d5722,7aa03e0c-a417-4b08-a6d5-b89bd63c6a83
13 | Endgeräte,"IT-Systeme, welche mit dem Netzabschluss eines Daten- oder Telekommunikationsnetzes verbunden werden können und in der Regel von einer einzelnen natürlichen Person verwendet werden (End User Devices) . Beispiele sind Notebooks oder Smartphones.",IT-Systeme,Technisch,,427da6dd-d744-4b2b-88b7-f0a695f21e14,837781a4-7b47-4695-9545-a3310eac7a66
14 | Externe Netzanschlüsse,"Übergänge in Netze außerhalb des Informationsverbundes (z. B. Internet-Uplinks, Leitungen zu Partnern/Dienstleistern, Cloud-Peering, VoIP-Anbindung, öffentliche Mobilfunk-/5G-Router).",,Technisch,Internetanschluss,1a4fb57d-1648-4111-979d-6a5f4f848620,a9521914-ccf9-4c20-8eef-2dd912fb815d
15 | Fahrzeuge,"Fahrzeuge (z.B. PKW, LKW, Züge oder Drohnen) im Sinne des Kompendiums sind Hardware, die sich selbst fortbewegen kann. Sie enthalten sowohl mechanische Komponenten zur Fortbewegung (z.B. Elektronische Steuerungssysteme) als auch IT-Systeme. Durch ihre zunehmende Vernetzung an interne wie externe Netze (z.B. Fahrzeugdiagnose, Entertainment-Systeme) stellen Fahrzeuge heutzutage potenziell verwundbare Einfallstore und Ziele für Angriffe auf Informationen dar.",,Technisch,"Kraftfahrzeug, Automobil",837781a4-7b47-4695-9545-a3310eac7a66,39147c55-a952-4c34-8e2e-b8ac02a2eae7
16 | Faxe,"Anwendungen, die es ermöglichen Faxe über ein Netz zu empfangen oder zu versenden. Kann sowohl als phyisches Faxgerät, als auch eine virtualisierte Server-Anwendung sein.",Anwendungen,Technisch,"Faxgeräte, FAX-Server",7e41ecf5-1831-4691-ad0c-4fc7bbc1b871,05df1662-903f-41ff-ba88-0fbe86050550
17 | Führungskräfte,"Nutzende, die Führungsaufgaben d.h. Personalverantwortung tragen. Sie sind in der Regel gleichzeitig Mitarbeitende.",Nutzende,Organisatorisch,Vorgesetzte,9d0465aa-a31f-465f-99c8-7a383322b2a4,4779a07f-e7fd-4837-a920-7ab9254b0dd5
18 | Gebäude,"Bauwerke, in denen sich stationäre Arbeitsplätze oder Anlagen zur Datenverarbeitung im Informationsverbund befinden.",Standorte,Organisatorisch,,df3978e8-775d-4aa6-8be7-fd2a6f12315d,422401b2-2c71-4ea5-a71c-6f386ba16cfc
19 | Hostsysteme,"Physische IT-Systeme mit einem Betriebssystem, die Nutzenden und anderen IT-Systemen über ein Netz Dienste bereitstellen (auch Hardware-Server genannt). Diese Dienste können Basisdienste für das lokale oder externe Netz sein, oder auch den E-Mail-Austausch ermöglichen oder Datenbanken und Druckerdienste anbieten. Hostrechner haben eine zentrale Bedeutung für die Informationstechnik und damit für funktionierende Arbeitsabläufe einer Institution. Oft erfüllen Hostrechner Aufgaben im Hintergrund, ohne dass Nutzende direkt mit ihnen im Austausch stehen. Sie sind zu unterscheiden von Server-Anwendungen, womit die Software von Serverdiensten gemeint ist. Ein Hostrechner kann grundsätzlich einen oder mehrere Server-Anwendungen bereitstellen.",IT-Systeme,Technisch,Server,427da6dd-d744-4b2b-88b7-f0a695f21e14,19c946fc-e991-44ee-87c5-7bbe5d5aaf55
20 | Informationen,"Nachrichten, denen für die Geschäftsprozesse der Institution eine Bedeutung zugeordnet werden kann. Hierzu können sowohl die eigentlichen Inhalte wie Adressen oder Betriebsparameter, als auch Metadaten wie der Zeitpunkt und die Person der letzten Änderung gehören.",Informationen,-,,,5a5eceda-172c-4500-a19d-956dbb5de4a4
21 | Institutionsleitung,"Personen oder Personengruppen, welche die Verantwortung für die Umsetzung von Strategien und Richtlinien haben, um die Ziele der Institution zu erreichen. Umfasst sowohl die leitende Person selbst, ihre Stellvertretung als auch alle Personen, die Gesamtentscheidungen für die Institution tragen, z.B. Präsidentin einer Behörde, Vize-CEO. Sie sind in der Regel gleichzeitig Mitarbeitende.",Nutzende,Organisatorisch,"CEO, Leitungsebene",4779a07f-e7fd-4837-a920-7ab9254b0dd5,d3343f0a-974f-43c5-b101-4522403422ce
22 | Interne Netzsegmente,Netze innerhalb des Informationsverbundes.,Netze,Technisch,"LAN, Local Area Network",1a4fb57d-1648-4111-979d-6a5f4f848620,8ef347e7-ea3f-4624-b0f3-2af728443301
23 | Interpersonelle Kommunikation,"Anwendung, die für die Kommunikation zwischen Menschen (Interpersonelle Kommunikation) bestimmt ist, z.B. Telefonie, E-Mail, Messenger.",Anwendungen,Technisch,Nachrichtenanwendung,7e41ecf5-1831-4691-ad0c-4fc7bbc1b871,047aa523-6955-423d-924e-8376fb1d5722
24 | IT-Produkte,"Erhalt einer technologischen Komponente oder Lösung, die zur Unterstützung, Verwaltung oder Erweiterung eines Informationssystems dient. Es kann materiell oder immateriell sein und erfüllt eine spezifische Funktion innerhalb der IT-Infrastruktur eines Unternehmens. Insbesondere sind dies beschaffte IT-Systeme und Anwendungen oder Komponenten für diese. Hierbei kann es sich z.B. um Kauf-, Werk- oder Mietverträge handeln.",Einkäufe,Technisch,,5f59b23c-8d18-4d5f-ad96-c02ffad10daf,23ea0f81-17ed-4b31-be13-955b46b5a905
25 | IT-Systeme,"Eigenständige informationstechnische Systeme zur elektronischen Datenverarbeitung. Sie bestehen gewöhnlich aus einzelnen Komponenten wie zentraler Recheneinheit (CPU), Arbeitsspeicher und Schnittstellen, die zusammen als ein abgegrenztes Datenverarbeitungssystem im Sinne einer Turingmaschine verstanden werden können. In der Regel handelt es sich um physisch abgegrenzte Gegenstände wie ein Smartphone oder eine Hardware-Appliance. Allerdings kann auch ein virtuelles System als IT-System verstanden werden, wenn es eine in sich vollständige, Turing-kompatible Datenverarbeitungsmaschine virtualisiert. Ein virtualisiertes System erbt die Anforderungen und Umsetzungsmaßnahmen des physischen Systems, auf dem es ausgeführt wird. Denken Sie bei IT-Systemen nicht nur an die klassischen Computer, sondern auch an Geräte in denen datenverarbeitende Komponenten verbaut sind, z.B. Fahrzeuge mit Bluetooth, IoT-Geräte oder Industrielle Steuerungssysteme.",IT-Systeme,Technisch,"Computer, Computersystem",,427da6dd-d744-4b2b-88b7-f0a695f21e14
26 | Mitarbeitende,"Nutzende, die für die Institution Informationsverarbeitungen im Informationsverbund vornehmen und von ihr beschäftigt werden. Beschäftigte sind dabei alle Personen, die von der Institution in die internen Betriebsabläufe zur Informationsverarbeitung eingebunden werden. Der Begriff umfasst sowohl Arbeitnehmer als auch andere Personen, die in einer Institution tätig sind, wie zum Beispiel Auszubildende, Praktikanten, Leiharbeiter oder Beamte. Auch Dienstleistende mit unmitellbarem, regelmäßigen Zugang zu internen Standorten, Daten oder Systemen sind als Mitarbeitende zu behandeln.",Nutzende,Organisatorisch,Bedienstete,38125c38-8895-493c-ba73-77ac1029d02d,9d0465aa-a31f-465f-99c8-7a383322b2a4
27 | Mobiltelefone,"Tragbares Endgerät, das zur drahtlosen Telekommunikation bestimmt ist. Es ermöglicht Telefongespräche und kann verschiedene weitere Funktionen wie Internetzugang, Kamera, Navigation bieten.",IT-Systeme,Technisch,,837781a4-7b47-4695-9545-a3310eac7a66,9f9c827a-1933-46fd-a0c6-f990990745df
28 | Netze,"Verbindungen eines oder mehrerer IT-Systeme, über die ein Datenaustausch stattfinden kann, z.B. Ethernet LAN, SAN, Wireless LAN, Mobilfunkanschluss.",Netze,Technisch,Netzwerk,,1a4fb57d-1648-4111-979d-6a5f4f848620
29 | Nutzende,"Alle natürlichen Personen, die Zielobjekte im Informationsverbund benutzen können, unabhängig davon ob sie aus Sicht der Institution intern oder extern sind.",Nutzende,Organisatorisch,"Nutzer, User",,38125c38-8895-493c-ba73-77ac1029d02d
30 | Office-Anwendungen,"Anwendungen, die für typische Datenverarbeitungen im Büro genutzt werden, etwa das Schreiben von Briefen, die Tabellenkalkulation oder das Erstellen von Präsentationen.",Anwendungen,Technisch,Office-Produkte,7e41ecf5-1831-4691-ad0c-4fc7bbc1b871,b5f9e5ce-d90e-4da5-8ee7-32eae4829e55
31 | OT-Systeme,"OT-Systeme (Operative Systeme) im Sinne des Kompendiums sind eine spezielle Kategorie von IT-Systemen, die zur Überwachung, Steuerung und Regelung physischer Prozesse in industriellen, infrastrukturellen oder betrieblichen Umgebungen eingesetzt werden. Dazu interagieren sie mit Maschinen, Sensoren und Aktoren, um Prozesse zu steuern oder Messwerte zu erfassen. Beispiele sind Industrielle Steuerungssysteme oder Gebäudeautomatisierung. Steuerungskomponenten die keine IT-Systeme beinhalten (z.B. rein mechanische Hebel oder Zahnradsysteme) werden hier nicht mit betrachtet. Wegen dem engen Bezug zu physischer Steuerung steht bei OT-Systemen die Betriebssicherheit und Verfügbarkeit stärker im Fokus.",IT-Systeme,Technisch,,427da6dd-d744-4b2b-88b7-f0a695f21e14,9137f10c-a360-46a8-aa02-9992657cb458
32 | Outsourcing,"Eine Unterart der Dienstleistung, bei der ein Dritter die Ausführung bestimmter Geschäftsprozesse übernimmt, welche die Institution bisher selbst ausgeführt hat oder ausführen müsste. Dienstleistungen, bei welchen die Institution nur das Ergebnis, nicht jedoch den Ablauf bestimmt (Off the Shelf-Dienstleistungen), sowie nur einmalige oder punktuelle Dienstleistungen, werden nicht als Outsourcing behandelt. Für alle Verarbeitungen schützenswerter Informationen, die durch den Outsourcing-Anbieter vorgenommen werden, sind die entsprechenden Anforderungen an Outsourcing zu erfüllen. Für alle Verarbeitungen, die durch die Institution selbst vorgenommen werden, sind die sonstigen Anforderungen des Kompendiums (z.B. an die Konfiguration) zu erfüllen.",Einkäufe,Organisatorisch,,04d5e0fa-7b1a-48d5-b87c-1ee0060a4c2d,ff3b07f0-1d19-44fb-ac2c-dea97010c5b8
33 | Räume,"Orte, an denen sich Arbeitsplätze oder Anlagen zur Datenverarbeitung im Informationsverbund befinden.",Standorte,Organisatorisch,Büroräume,df3978e8-775d-4aa6-8be7-fd2a6f12315d,09517106-2c2c-411e-a06c-65736363286f
34 | Räume für technische Infrastruktur,"Räume, die technische Infrastruktur enthalten, welche in der Regel von der Gebäudeinfrastruktur und anderen Räumen aus genutzt wird. Dabei kann es sich z. B. um Verteiler für die Energieversorgung, Sicherungskästen, Lüftungsanlagen, TK-Anlagenteile, Netzwerkverteiler, Switches oder Router handeln. Dieser Raum ist kein ständiger Arbeitsplatz und wird in der Regel nur zur Wartung betreten bzw. geöffnet. Wenn die zu schützende technische Infrastruktur nicht in einem separaten Raum untergebracht werden kann oder sich der Raum nicht entsprechend der beschriebenen Anforderungen einrichten lässt, kann die technische Infrastruktur auch in einem eigens dafür ausgerüsteten Schrank untergebracht werden. Das kann auch sinnvoll sein, wenn für die Unterbringung der technischen Infrastruktur ein Schrank die wirtschaftlichste Alternative darstellt. Die Anforderungen an den Raum sind dann möglichst wirkungsgleich auf den Schrank und dessen Hülle zu übertragen.",Standorte,Organisatorisch,Schrank für technische Infrastruktur,09517106-2c2c-411e-a06c-65736363286f,564530dd-29ce-4988-9192-3b4dbfef061c
35 | Serverräume,"Räume, in denen sich zentrale IT-Systeme wie Hostsysteme oder Router befinden.",Standorte,Organisatorisch,Rechenzentrumsraum,564530dd-29ce-4988-9192-3b4dbfef061c,3a894eaa-7b42-4f59-9961-76c9a3ec2837
36 | Standorte,"Physische Orte, an denen Informationen des Informationsverbundes verarbeitet werden und die sich für einen längeren Zeitraum unter Kontrolle der Institution befinden, z.B. Gebäude der Institution, genutzte Gelände.",Standorte,Organisatorisch,,,df3978e8-775d-4aa6-8be7-fd2a6f12315d
37 | TK-Anwendungen,"Anwendung, die der Telekommunikation von Endstellen über Netze dient. Beispiele: Funktionalität einer klassischen ISDN-Telefonanlage, VoIP-Serverdienst, Mobilfunkanschluss ans öffentliche Telefonnetz.",Anwendungen,Technisch,TK-Server,7e41ecf5-1831-4691-ad0c-4fc7bbc1b871,67f74abf-162d-4e47-a24a-6ff53e9b124d
38 | Verzeichnisdienste,"Server-Anwendungen, die in einem Datennetz Informationen über beliebige Objekte in einer definierten Art zur Verfügung stellen. In einem Objekt können zugehörige Attribute gespeichert werden, zum Beispiel können zu einer Kennung der Name und Vorname des oder der Nutzenden, die Personalnummer und der Name des IT-Systems abgelegt werden. Diese Daten können dann gleichermaßen von verschiedenen Applikationen verwendet werden. Einige typische Anwendungsgebiete von Verzeichnisdiensten sind: • Verwaltung von Adressbüchern, z. B. für Telefonnummern, E-Mail-Adressen und Zertifikate für elektronische Signaturen •Verwaltung von Nutzendenkonten und Berechtigungen • Bereitstellung eines Backend-Dienstes für Authentifizierungsfunktionen, z. B. zur Anmeldung an Betriebssystemen oder Anwendungen Der Verzeichnisdienst und seine Daten werden in der Regel von zentraler Stelle aus verwaltet.",Anwendungen,Technisch,,7e41ecf5-1831-4691-ad0c-4fc7bbc1b871,7a2b2665-c790-4395-9980-867c900be347
39 | Virtualisierungslösungen,"Anwendung zur zentralisierten Bereitstellung von abstrahierten Rechenressourcen. Über ein Netzwerk werden den Nutzenden oder anderen IT-Systemen virtuelle Umgebungen (wie Anwendungen, Betriebssystemumgebungen oder ganze virtuelle IT-Systeme) zur Verfügung gestellt, die auf einem oder mehreren zentral verwalteten Serversystemen ausgeführt werden. Die Verwaltung der zugrundeliegenden physikalischen Hardware wird dabei von der Konfiguration der virtuellen Umgebungen getrennt. Beachten Sie hierbei auch die Anforderungen an das Hostsystem, sowie die virtualisierten IT-Systeme.",Anwendungen,Technisch,"VM-Hosts, Virtual Desktop Infrastructure, Terminalserver",7e41ecf5-1831-4691-ad0c-4fc7bbc1b871,38167a3c-ee3e-4261-9c44-994c15a31d2c
40 | VK-Anwendungen,"Anwendung, die eine Telekommunikation mit Bild und Ton ermöglicht. Bitte beachten Sie, dass viele VK-Anwendungen auch die Konferenz über eine Webschnittstelle ermöglichen. In diesem Fall sind für das Zielobjekt ebenfalls die Anforderungen für Webserver und Webanwendungen mit zu berücksichtigen.",Anwendungen,Technisch,Videotelefonie,67f74abf-162d-4e47-a24a-6ff53e9b124d,e0f11cba-1d72-4c30-a1e9-e33f794cdfb6
41 | Webanwendungen,"Server-Anwendungen, die dynamische Funktionen und Inhalte über die Internetprotokolle HTTP (Hypertext Transfer Protocol) oder HTTPS bereitstellen. Bei HTTPS wird die Verbindung durch das Protokoll TLS (Transport Layer Security) kryptografisch abgesichert. Webanwendungen stellen Dokumente und Bedienoberflächen, z. B. in Form von Eingabemasken, bereit und liefern diese auf Anfrage an entsprechende Programme auf den Clients aus, wie z. B. an Webbrowser. Webservices sind Anwendungen, die das HTTP(S)-Protokoll verwenden, um Daten für andere Anwendungen bereitzustellen. In der Regel werden sie nicht unmittelbar durch Nutzende angesteuert. Um eine Webanwendung oder einen Webservice zu betreiben, sind in der Regel mehrere Komponenten notwendig. Üblich sind Webserver, um Daten auszuliefern und Applikationsserver, um die eigentliche Anwendung oder den Webservice zu betreiben. Außerdem werden zusätzliche Hintergrundsysteme benötigt, die oft als Datenquellen über unterschiedliche Schnittstellen angebunden sind, z. B. Datenbanken oder Verzeichnisdienste.",Anwendungen,Technisch,,b1411d0f-ffd1-45b7-837b-cd97ba4ed9e7,36cb0d6b-2f90-43bc-b625-9870112cf847
42 | Webbrowser,"Client-Anwendungen, die zum Abruf und zur Anzeige von Webseiten und Webanwendungen dienen.",Anwendungen,Technisch,,7e41ecf5-1831-4691-ad0c-4fc7bbc1b871,8b64663c-8388-40bc-a68b-473e753ae4d0
43 | Webserver,"Server-Anwendungen, die Daten über die Internetprotokolle HTTP (Hypertext Transfer Protocol) oder HTTPS bereitstellen. Sie bilden die Kernkomponenten jedes Webangebotes, nehmen Anfragen der Clients entgegen und liefern die entsprechenden Inhalte zurück. Da Webserver eine einfache Schnittstelle zwischen Serveranwendungen und Clients bieten, werden sie auch häufig für interne Informationen und Anwendungen in Institutionsnetzen, wie dem Intranet, eingesetzt.",Anwendungen,Technisch,,7e41ecf5-1831-4691-ad0c-4fc7bbc1b871,b1411d0f-ffd1-45b7-837b-cd97ba4ed9e7
44 | WLANs,"Drahtlos angebundene, örtlich begrenzte Netze innerhalb des Informationsverbundes",Netze,Technisch,"WiFi, Wireless LAN",8ef347e7-ea3f-4624-b0f3-2af728443301,82a399a2-2fa7-4dd2-9850-89a7ee0505ea
45 |
--------------------------------------------------------------------------------
/LICENSE:
--------------------------------------------------------------------------------
1 | Attribution-ShareAlike 4.0 International
2 |
3 | =======================================================================
4 |
5 | Creative Commons Corporation ("Creative Commons") is not a law firm and
6 | does not provide legal services or legal advice. Distribution of
7 | Creative Commons public licenses does not create a lawyer-client or
8 | other relationship. Creative Commons makes its licenses and related
9 | information available on an "as-is" basis. Creative Commons gives no
10 | warranties regarding its licenses, any material licensed under their
11 | terms and conditions, or any related information. Creative Commons
12 | disclaims all liability for damages resulting from their use to the
13 | fullest extent possible.
14 |
15 | Using Creative Commons Public Licenses
16 |
17 | Creative Commons public licenses provide a standard set of terms and
18 | conditions that creators and other rights holders may use to share
19 | original works of authorship and other material subject to copyright
20 | and certain other rights specified in the public license below. The
21 | following considerations are for informational purposes only, are not
22 | exhaustive, and do not form part of our licenses.
23 |
24 | Considerations for licensors: Our public licenses are
25 | intended for use by those authorized to give the public
26 | permission to use material in ways otherwise restricted by
27 | copyright and certain other rights. Our licenses are
28 | irrevocable. Licensors should read and understand the terms
29 | and conditions of the license they choose before applying it.
30 | Licensors should also secure all rights necessary before
31 | applying our licenses so that the public can reuse the
32 | material as expected. Licensors should clearly mark any
33 | material not subject to the license. This includes other CC-
34 | licensed material, or material used under an exception or
35 | limitation to copyright. More considerations for licensors:
36 | wiki.creativecommons.org/Considerations_for_licensors
37 |
38 | Considerations for the public: By using one of our public
39 | licenses, a licensor grants the public permission to use the
40 | licensed material under specified terms and conditions. If
41 | the licensor's permission is not necessary for any reason--for
42 | example, because of any applicable exception or limitation to
43 | copyright--then that use is not regulated by the license. Our
44 | licenses grant only permissions under copyright and certain
45 | other rights that a licensor has authority to grant. Use of
46 | the licensed material may still be restricted for other
47 | reasons, including because others have copyright or other
48 | rights in the material. A licensor may make special requests,
49 | such as asking that all changes be marked or described.
50 | Although not required by our licenses, you are encouraged to
51 | respect those requests where reasonable. More considerations
52 | for the public:
53 | wiki.creativecommons.org/Considerations_for_licensees
54 |
55 | =======================================================================
56 |
57 | Creative Commons Attribution-ShareAlike 4.0 International Public
58 | License
59 |
60 | By exercising the Licensed Rights (defined below), You accept and agree
61 | to be bound by the terms and conditions of this Creative Commons
62 | Attribution-ShareAlike 4.0 International Public License ("Public
63 | License"). To the extent this Public License may be interpreted as a
64 | contract, You are granted the Licensed Rights in consideration of Your
65 | acceptance of these terms and conditions, and the Licensor grants You
66 | such rights in consideration of benefits the Licensor receives from
67 | making the Licensed Material available under these terms and
68 | conditions.
69 |
70 |
71 | Section 1 -- Definitions.
72 |
73 | a. Adapted Material means material subject to Copyright and Similar
74 | Rights that is derived from or based upon the Licensed Material
75 | and in which the Licensed Material is translated, altered,
76 | arranged, transformed, or otherwise modified in a manner requiring
77 | permission under the Copyright and Similar Rights held by the
78 | Licensor. For purposes of this Public License, where the Licensed
79 | Material is a musical work, performance, or sound recording,
80 | Adapted Material is always produced where the Licensed Material is
81 | synched in timed relation with a moving image.
82 |
83 | b. Adapter's License means the license You apply to Your Copyright
84 | and Similar Rights in Your contributions to Adapted Material in
85 | accordance with the terms and conditions of this Public License.
86 |
87 | c. BY-SA Compatible License means a license listed at
88 | creativecommons.org/compatiblelicenses, approved by Creative
89 | Commons as essentially the equivalent of this Public License.
90 |
91 | d. Copyright and Similar Rights means copyright and/or similar rights
92 | closely related to copyright including, without limitation,
93 | performance, broadcast, sound recording, and Sui Generis Database
94 | Rights, without regard to how the rights are labeled or
95 | categorized. For purposes of this Public License, the rights
96 | specified in Section 2(b)(1)-(2) are not Copyright and Similar
97 | Rights.
98 |
99 | e. Effective Technological Measures means those measures that, in the
100 | absence of proper authority, may not be circumvented under laws
101 | fulfilling obligations under Article 11 of the WIPO Copyright
102 | Treaty adopted on December 20, 1996, and/or similar international
103 | agreements.
104 |
105 | f. Exceptions and Limitations means fair use, fair dealing, and/or
106 | any other exception or limitation to Copyright and Similar Rights
107 | that applies to Your use of the Licensed Material.
108 |
109 | g. License Elements means the license attributes listed in the name
110 | of a Creative Commons Public License. The License Elements of this
111 | Public License are Attribution and ShareAlike.
112 |
113 | h. Licensed Material means the artistic or literary work, database,
114 | or other material to which the Licensor applied this Public
115 | License.
116 |
117 | i. Licensed Rights means the rights granted to You subject to the
118 | terms and conditions of this Public License, which are limited to
119 | all Copyright and Similar Rights that apply to Your use of the
120 | Licensed Material and that the Licensor has authority to license.
121 |
122 | j. Licensor means the individual(s) or entity(ies) granting rights
123 | under this Public License.
124 |
125 | k. Share means to provide material to the public by any means or
126 | process that requires permission under the Licensed Rights, such
127 | as reproduction, public display, public performance, distribution,
128 | dissemination, communication, or importation, and to make material
129 | available to the public including in ways that members of the
130 | public may access the material from a place and at a time
131 | individually chosen by them.
132 |
133 | l. Sui Generis Database Rights means rights other than copyright
134 | resulting from Directive 96/9/EC of the European Parliament and of
135 | the Council of 11 March 1996 on the legal protection of databases,
136 | as amended and/or succeeded, as well as other essentially
137 | equivalent rights anywhere in the world.
138 |
139 | m. You means the individual or entity exercising the Licensed Rights
140 | under this Public License. Your has a corresponding meaning.
141 |
142 |
143 | Section 2 -- Scope.
144 |
145 | a. License grant.
146 |
147 | 1. Subject to the terms and conditions of this Public License,
148 | the Licensor hereby grants You a worldwide, royalty-free,
149 | non-sublicensable, non-exclusive, irrevocable license to
150 | exercise the Licensed Rights in the Licensed Material to:
151 |
152 | a. reproduce and Share the Licensed Material, in whole or
153 | in part; and
154 |
155 | b. produce, reproduce, and Share Adapted Material.
156 |
157 | 2. Exceptions and Limitations. For the avoidance of doubt, where
158 | Exceptions and Limitations apply to Your use, this Public
159 | License does not apply, and You do not need to comply with
160 | its terms and conditions.
161 |
162 | 3. Term. The term of this Public License is specified in Section
163 | 6(a).
164 |
165 | 4. Media and formats; technical modifications allowed. The
166 | Licensor authorizes You to exercise the Licensed Rights in
167 | all media and formats whether now known or hereafter created,
168 | and to make technical modifications necessary to do so. The
169 | Licensor waives and/or agrees not to assert any right or
170 | authority to forbid You from making technical modifications
171 | necessary to exercise the Licensed Rights, including
172 | technical modifications necessary to circumvent Effective
173 | Technological Measures. For purposes of this Public License,
174 | simply making modifications authorized by this Section 2(a)
175 | (4) never produces Adapted Material.
176 |
177 | 5. Downstream recipients.
178 |
179 | a. Offer from the Licensor -- Licensed Material. Every
180 | recipient of the Licensed Material automatically
181 | receives an offer from the Licensor to exercise the
182 | Licensed Rights under the terms and conditions of this
183 | Public License.
184 |
185 | b. Additional offer from the Licensor -- Adapted Material.
186 | Every recipient of Adapted Material from You
187 | automatically receives an offer from the Licensor to
188 | exercise the Licensed Rights in the Adapted Material
189 | under the conditions of the Adapter's License You apply.
190 |
191 | c. No downstream restrictions. You may not offer or impose
192 | any additional or different terms or conditions on, or
193 | apply any Effective Technological Measures to, the
194 | Licensed Material if doing so restricts exercise of the
195 | Licensed Rights by any recipient of the Licensed
196 | Material.
197 |
198 | 6. No endorsement. Nothing in this Public License constitutes or
199 | may be construed as permission to assert or imply that You
200 | are, or that Your use of the Licensed Material is, connected
201 | with, or sponsored, endorsed, or granted official status by,
202 | the Licensor or others designated to receive attribution as
203 | provided in Section 3(a)(1)(A)(i).
204 |
205 | b. Other rights.
206 |
207 | 1. Moral rights, such as the right of integrity, are not
208 | licensed under this Public License, nor are publicity,
209 | privacy, and/or other similar personality rights; however, to
210 | the extent possible, the Licensor waives and/or agrees not to
211 | assert any such rights held by the Licensor to the limited
212 | extent necessary to allow You to exercise the Licensed
213 | Rights, but not otherwise.
214 |
215 | 2. Patent and trademark rights are not licensed under this
216 | Public License.
217 |
218 | 3. To the extent possible, the Licensor waives any right to
219 | collect royalties from You for the exercise of the Licensed
220 | Rights, whether directly or through a collecting society
221 | under any voluntary or waivable statutory or compulsory
222 | licensing scheme. In all other cases the Licensor expressly
223 | reserves any right to collect such royalties.
224 |
225 |
226 | Section 3 -- License Conditions.
227 |
228 | Your exercise of the Licensed Rights is expressly made subject to the
229 | following conditions.
230 |
231 | a. Attribution.
232 |
233 | 1. If You Share the Licensed Material (including in modified
234 | form), You must:
235 |
236 | a. retain the following if it is supplied by the Licensor
237 | with the Licensed Material:
238 |
239 | i. identification of the creator(s) of the Licensed
240 | Material and any others designated to receive
241 | attribution, in any reasonable manner requested by
242 | the Licensor (including by pseudonym if
243 | designated);
244 |
245 | ii. a copyright notice;
246 |
247 | iii. a notice that refers to this Public License;
248 |
249 | iv. a notice that refers to the disclaimer of
250 | warranties;
251 |
252 | v. a URI or hyperlink to the Licensed Material to the
253 | extent reasonably practicable;
254 |
255 | b. indicate if You modified the Licensed Material and
256 | retain an indication of any previous modifications; and
257 |
258 | c. indicate the Licensed Material is licensed under this
259 | Public License, and include the text of, or the URI or
260 | hyperlink to, this Public License.
261 |
262 | 2. You may satisfy the conditions in Section 3(a)(1) in any
263 | reasonable manner based on the medium, means, and context in
264 | which You Share the Licensed Material. For example, it may be
265 | reasonable to satisfy the conditions by providing a URI or
266 | hyperlink to a resource that includes the required
267 | information.
268 |
269 | 3. If requested by the Licensor, You must remove any of the
270 | information required by Section 3(a)(1)(A) to the extent
271 | reasonably practicable.
272 |
273 | b. ShareAlike.
274 |
275 | In addition to the conditions in Section 3(a), if You Share
276 | Adapted Material You produce, the following conditions also apply.
277 |
278 | 1. The Adapter's License You apply must be a Creative Commons
279 | license with the same License Elements, this version or
280 | later, or a BY-SA Compatible License.
281 |
282 | 2. You must include the text of, or the URI or hyperlink to, the
283 | Adapter's License You apply. You may satisfy this condition
284 | in any reasonable manner based on the medium, means, and
285 | context in which You Share Adapted Material.
286 |
287 | 3. You may not offer or impose any additional or different terms
288 | or conditions on, or apply any Effective Technological
289 | Measures to, Adapted Material that restrict exercise of the
290 | rights granted under the Adapter's License You apply.
291 |
292 |
293 | Section 4 -- Sui Generis Database Rights.
294 |
295 | Where the Licensed Rights include Sui Generis Database Rights that
296 | apply to Your use of the Licensed Material:
297 |
298 | a. for the avoidance of doubt, Section 2(a)(1) grants You the right
299 | to extract, reuse, reproduce, and Share all or a substantial
300 | portion of the contents of the database;
301 |
302 | b. if You include all or a substantial portion of the database
303 | contents in a database in which You have Sui Generis Database
304 | Rights, then the database in which You have Sui Generis Database
305 | Rights (but not its individual contents) is Adapted Material,
306 | including for purposes of Section 3(b); and
307 |
308 | c. You must comply with the conditions in Section 3(a) if You Share
309 | all or a substantial portion of the contents of the database.
310 |
311 | For the avoidance of doubt, this Section 4 supplements and does not
312 | replace Your obligations under this Public License where the Licensed
313 | Rights include other Copyright and Similar Rights.
314 |
315 |
316 | Section 5 -- Disclaimer of Warranties and Limitation of Liability.
317 |
318 | a. UNLESS OTHERWISE SEPARATELY UNDERTAKEN BY THE LICENSOR, TO THE
319 | EXTENT POSSIBLE, THE LICENSOR OFFERS THE LICENSED MATERIAL AS-IS
320 | AND AS-AVAILABLE, AND MAKES NO REPRESENTATIONS OR WARRANTIES OF
321 | ANY KIND CONCERNING THE LICENSED MATERIAL, WHETHER EXPRESS,
322 | IMPLIED, STATUTORY, OR OTHER. THIS INCLUDES, WITHOUT LIMITATION,
323 | WARRANTIES OF TITLE, MERCHANTABILITY, FITNESS FOR A PARTICULAR
324 | PURPOSE, NON-INFRINGEMENT, ABSENCE OF LATENT OR OTHER DEFECTS,
325 | ACCURACY, OR THE PRESENCE OR ABSENCE OF ERRORS, WHETHER OR NOT
326 | KNOWN OR DISCOVERABLE. WHERE DISCLAIMERS OF WARRANTIES ARE NOT
327 | ALLOWED IN FULL OR IN PART, THIS DISCLAIMER MAY NOT APPLY TO YOU.
328 |
329 | b. TO THE EXTENT POSSIBLE, IN NO EVENT WILL THE LICENSOR BE LIABLE
330 | TO YOU ON ANY LEGAL THEORY (INCLUDING, WITHOUT LIMITATION,
331 | NEGLIGENCE) OR OTHERWISE FOR ANY DIRECT, SPECIAL, INDIRECT,
332 | INCIDENTAL, CONSEQUENTIAL, PUNITIVE, EXEMPLARY, OR OTHER LOSSES,
333 | COSTS, EXPENSES, OR DAMAGES ARISING OUT OF THIS PUBLIC LICENSE OR
334 | USE OF THE LICENSED MATERIAL, EVEN IF THE LICENSOR HAS BEEN
335 | ADVISED OF THE POSSIBILITY OF SUCH LOSSES, COSTS, EXPENSES, OR
336 | DAMAGES. WHERE A LIMITATION OF LIABILITY IS NOT ALLOWED IN FULL OR
337 | IN PART, THIS LIMITATION MAY NOT APPLY TO YOU.
338 |
339 | c. The disclaimer of warranties and limitation of liability provided
340 | above shall be interpreted in a manner that, to the extent
341 | possible, most closely approximates an absolute disclaimer and
342 | waiver of all liability.
343 |
344 |
345 | Section 6 -- Term and Termination.
346 |
347 | a. This Public License applies for the term of the Copyright and
348 | Similar Rights licensed here. However, if You fail to comply with
349 | this Public License, then Your rights under this Public License
350 | terminate automatically.
351 |
352 | b. Where Your right to use the Licensed Material has terminated under
353 | Section 6(a), it reinstates:
354 |
355 | 1. automatically as of the date the violation is cured, provided
356 | it is cured within 30 days of Your discovery of the
357 | violation; or
358 |
359 | 2. upon express reinstatement by the Licensor.
360 |
361 | For the avoidance of doubt, this Section 6(b) does not affect any
362 | right the Licensor may have to seek remedies for Your violations
363 | of this Public License.
364 |
365 | c. For the avoidance of doubt, the Licensor may also offer the
366 | Licensed Material under separate terms or conditions or stop
367 | distributing the Licensed Material at any time; however, doing so
368 | will not terminate this Public License.
369 |
370 | d. Sections 1, 5, 6, 7, and 8 survive termination of this Public
371 | License.
372 |
373 |
374 | Section 7 -- Other Terms and Conditions.
375 |
376 | a. The Licensor shall not be bound by any additional or different
377 | terms or conditions communicated by You unless expressly agreed.
378 |
379 | b. Any arrangements, understandings, or agreements regarding the
380 | Licensed Material not stated herein are separate from and
381 | independent of the terms and conditions of this Public License.
382 |
383 |
384 | Section 8 -- Interpretation.
385 |
386 | a. For the avoidance of doubt, this Public License does not, and
387 | shall not be interpreted to, reduce, limit, restrict, or impose
388 | conditions on any use of the Licensed Material that could lawfully
389 | be made without permission under this Public License.
390 |
391 | b. To the extent possible, if any provision of this Public License is
392 | deemed unenforceable, it shall be automatically reformed to the
393 | minimum extent necessary to make it enforceable. If the provision
394 | cannot be reformed, it shall be severed from this Public License
395 | without affecting the enforceability of the remaining terms and
396 | conditions.
397 |
398 | c. No term or condition of this Public License will be waived and no
399 | failure to comply consented to unless expressly agreed to by the
400 | Licensor.
401 |
402 | d. Nothing in this Public License constitutes or may be interpreted
403 | as a limitation upon, or waiver of, any privileges and immunities
404 | that apply to the Licensor or You, including from the legal
405 | processes of any jurisdiction or authority.
406 |
407 |
408 | =======================================================================
409 |
410 | Creative Commons is not a party to its public
411 | licenses. Notwithstanding, Creative Commons may elect to apply one of
412 | its public licenses to material it publishes and in those instances
413 | will be considered the “Licensor.” The text of the Creative Commons
414 | public licenses is dedicated to the public domain under the CC0 Public
415 | Domain Dedication. Except for the limited purpose of indicating that
416 | material is shared under a Creative Commons public license or as
417 | otherwise permitted by the Creative Commons policies published at
418 | creativecommons.org/policies, Creative Commons does not authorize the
419 | use of the trademark "Creative Commons" or any other trademark or logo
420 | of Creative Commons without its prior written consent including,
421 | without limitation, in connection with any unauthorized modifications
422 | to any of its public licenses or any other arrangements,
423 | understandings, or agreements concerning use of licensed material. For
424 | the avoidance of doubt, this paragraph does not form part of the
425 | public licenses.
426 |
427 | Creative Commons may be contacted at creativecommons.org.
428 |
--------------------------------------------------------------------------------
/Dokumentation/namespaces/dokumentationsempfehlungen.csv:
--------------------------------------------------------------------------------
1 | Bezeichnung,Beschreibung,Kategorie,Zielgruppe,bisher im IT-Grundschutz
2 | ???,Der Eintrag kennzeichnet einen offenen Bedarf an vorgeschlagenen Dokumenten im Rahmen des Informationssicherheits-Managementsystems.,???,???,
3 | Freigabeplan,"Der Freigabeplan stellt sicher, dass Änderungen an IT-Systemen, Anwendungen und Prozessen kontrolliert und nachvollziehbar in den Betrieb überführt werden. Er beschreibt die einzelnen Schritte von der Planung über die Tests bis hin zur Abnahme und der finalen Freigabe. Ziel ist es, Risiken bei der Umsetzung zu minimieren, Abhängigkeiten transparent zu machen und die Qualität der Änderungen zu gewährleisten. Der Schwerpunkt liegt auf der Definition von Rollen, Verantwortlichkeiten und Prüfschritten, die notwendig sind, um einen sicheren und geordneten Übergang in den produktiven Betrieb zu gewährleisten.",Änderungen und Tests,Prozessverantwortliche,
4 | Informationsverbund,"Der Informationsverbund beschreibt die Gesamtheit aller relevanten Informationswerte, technischen Systeme, Anwendungen, Prozesse und Standorte, die im Rahmen des Managementsystems für Informationssicherheit betrachtet werden. Er dient dazu, den Geltungsbereich eindeutig abzugrenzen und sicherzustellen, dass alle sicherheitsrelevanten Komponenten systematisch erfasst und bewertet werden. Durch die klare Festlegung des Informationsverbundes wird Transparenz geschaffen, welche Assets geschützt werden müssen, und es entsteht die Grundlage für Risikoanalysen, Schutzbedarfsfeststellungen und die Auswahl geeigneter Sicherheitsmaßnahmen.",Strategie & Governance,Prozessverantwortliche,
5 | ISMS-Regelwerk,"Das ISMS-Regelwerk meint alle Dokumente zu Regelungen und Verfahren in ihrer Gesamtheit, kein einzelnes Dokument.",Strategie & Governance,Prozessverantwortliche,
6 | Codehistorie,"Die Codehistorie dokumentiert die Entwicklung und Änderungen von Quellcode über den gesamten Lebenszyklus einer Anwendung hinweg. Sie ermöglicht die Nachvollziehbarkeit von Versionen, erleichtert die Rückverfolgung von Fehlern und stellt sicher, dass alle Anpassungen revisionssicher dokumentiert werden. Damit trägt sie maßgeblich zur Integrität und Qualität von Software bei. Nicht betrachtet werden dabei begleitende Projektdokumentationen oder organisatorische Abläufe der Entwicklung. Der Schwerpunkt liegt ausschließlich auf der strukturierten Nachverfolgung technischer Änderungen am Code selbst. Durch diese Abgrenzung wird gewährleistet, dass die Codebasis zuverlässig verwaltet und jederzeit in einen definierten Zustand zurückgesetzt werden kann.",Betrieb & Prozesse,Prozessverantwortliche,
7 | Datensicherungskonzept,"Konzept zur Datenverfügbarkeit und -wiederherstellung: Legt verbindlich fest, welche Daten wie oft (Backup-Frequenz), mit welcher Methode (z.B. voll, differentiell, inkrementell) und wohin gesichert werden. Es definiert zudem die Aufbewahrungsfristen und die Prozesse für die Datenwiederherstellung. Wichtige Kennzahlen sind hier das Recovery Time Objective (RTO – maximale Ausfallzeit) und das Recovery Point Objective (RPO – maximaler Datenverlust).",Betrieb & Prozesse,Prozessverantwortliche,
8 | Ergebnisprotokoll,"Das Ergebnisprotokoll hält die wesentlichen Inhalte, Entscheidungen und Maßnahmen aus Besprechungen, Tests oder Audits fest. Es schafft Transparenz über den Verlauf, dokumentiert verbindlich die vereinbarten Schritte und dient als Nachweis für die Nachverfolgung. Dadurch wird sichergestellt, dass Beschlüsse nachvollziehbar bleiben und Verantwortlichkeiten klar zugeordnet werden können. Es enthält die Rahmenbedingungen (wer, was, wann), die durchgeführten Testfälle, die festgestellten Probleme, Schwachstellen oder Abweichungen (inkl. Schweregrad) und die schlussendliche Bewertung.",Betrieb & Prozesse,Prozessverantwortliche,
9 | Geschäftsprozesse,"Enthält die Geschäftsprozesse, sowie deren Abhängigkeiten und Definitionen. Die Geschäftsprozesse bilden die Grundlage für das Verständnis, wie Wertschöpfung im Unternehmen entsteht und wie Informationen dabei verarbeitet werden. Ihre Beschreibung dient dazu, Abläufe transparent darzustellen, Verantwortlichkeiten zu klären und Schnittstellen sowie Abhängigkeiten sichtbar zu machen. Dadurch entsteht eine Basis, um Risiken systematisch zu identifizieren und geeignete Sicherheitsmaßnahmen abzuleiten.",Betrieb & Prozesse,Mitarbeitende,
10 | Geschäftsverteilungsplan,"Organigramm mit Aufgaben, Befugnissen und Verantwortlichkeiten (ABV): Definiert und visualisiert die Aufbauorganisation des Unternehmens. Es wird klar geregelt, welche Organisationseinheit und welche Rolle für welche Aufgabenbereiche (insbesondere sicherheitsrelevante) zuständig ist und welche Befugnisse damit verbunden sind. Dies ist die Basis für das Berechtigungsmanagement.",Betrieb & Prozesse,Mitarbeitende,
11 | IT-Betriebskonzept,"Das IT-Betriebskonzept beschreibt die grundlegenden Prinzipien, Verfahren und organisatorischen Regelungen für den sicheren und zuverlässigen Betrieb der IT-Infrastruktur. Es dient als Leitlinie, um die Stabilität, Verfügbarkeit und Sicherheit von IT-Diensten zu gewährleisten und die Einhaltung regulatorischer Anforderungen sicherzustellen. Nicht enthalten sind spezifische technische Handbücher oder detaillierte Konfigurationsanleitungen einzelner Systeme. Der Schwerpunkt liegt auf den Rahmenbedingungen, Verantwortlichkeiten und Vorgehensweisen, die den ordnungsgemäßen Betrieb der IT unterstützen und die Informationssicherheit fest im Betriebsalltag verankern.",Betrieb & Prozesse,Administrierende,
12 | Tätigkeits- & Rollenbeschreibung,"Die Tätigkeits- und Rollenbeschreibung definiert die Aufgaben, Kompetenzen und Verantwortlichkeiten einzelner Rollen im Unternehmen. Sie schafft Klarheit darüber, wie Verantwortlichkeiten im Rahmen des Informationssicherheits-Managementsystems verteilt sind, und unterstützt die eindeutige Zuweisung von Pflichten und die Ausschreibung von Stellen. Nicht berücksichtigt werden übergeordnete Organisationsstrukturen oder strategische Unternehmensziele. Der Fokus liegt auf der konkreten Darstellung einzelner Rollen und ihrer Tätigkeiten, um Transparenz und Verbindlichkeit bei Zuständigkeiten zu schaffen und die Handlungsfähigkeit in der Praxis sicherzustellen.",Betrieb & Prozesse,Prozessverantwortliche,
13 | Inventar Berechtigungssysteme,"Das Inventar der Berechtigungssysteme gibt einen Überblick über die eingesetzten Systeme und Verfahren zur Verwaltung von Zugriffsrechten. Es dokumentiert die relevanten Plattformen, ihre Funktionen und die organisatorischen Zuständigkeiten. Ziel ist es, Transparenz über die eingesetzte Berechtigungsstruktur zu schaffen und deren sichere Handhabung nachvollziehbar zu gestalten. Nicht enthalten sind die individuellen Berechtigungen einzelner Zugangskonten. Der Schwerpunkt liegt auf der Erfassung und Beschreibung der Systeme, mit denen Berechtigungen gesteuert, überwacht und regelmäßig überprüft werden, um Missbrauch und unbefugten Zugriff wirksam zu verhindern.",Technisches Management,Prozessverantwortliche,
14 | Notfallhandbuch,"Das Notfallhandbuch beschreibt die Vorgehensweise zur strukturierten Reaktion auf schwerwiegende Störungen, Sicherheitsvorfälle oder Ausfälle (z.B. Ransomware-Angriff, Ausfall eines Rechenzentrums). Es bietet klare Handlungsanweisungen, um Schäden zu begrenzen, die Verfügbarkeit kritischer Prozesse sicherzustellen und den Geschäftsbetrieb schnellstmöglich wiederherzustellen. Nicht enthalten sind präventive Maßnahmen oder organisatorische Regelungen des Normalbetriebs. Der Fokus liegt auf den Abläufen, Zuständigkeiten und Kommunikationswegen, die im Ernstfall verbindlich einzuhalten sind, damit auch für nicht-Spezialisten oder externe Vertreter unter Zeitdruck ein koordiniertes und wirksames Handeln gewährleistet ist.",Betrieb & Prozesse,Mitarbeitende,
15 | BC-Leitlinie,"Die BC-Leitlinie (Business Continuity Leitlinie) legt die Grundsätze und Rahmenbedingungen für das Business Continuity Management fest. Sie definiert die Zielsetzung, Verantwortlichkeiten und die wesentlichen Verfahren und Regelungen der Vorsorge und Reaktionsfähigkeit des Unternehmens bei Unterbrechungen. Nicht enthalten sind detaillierte Notfallpläne oder operative Wiederanlaufmaßnahmen. Der Schwerpunkt liegt auf den übergeordneten Vorgaben, die sicherstellen, dass Kontinuität systematisch geplant, gesteuert und regelmäßig überprüft wird.",Betrieb & Prozesse,Prozessverantwortliche,
16 | Betriebshandbuch,"Das Betriebshandbuch enthät die produktspezifische Dokumentation eines bestimmten IT-Systems oder einer Anwendung. Sie kann vom Hersteller bereitgestellt oder für eine spezifische Eigenentwicklung von der Institution selbst erstellte sein. Zum Inhalt gehören technische Details zur Installation, Konfiguration und den Funktionalitäten. Das Betriebshandbuch ist eine wichtige Informationsquelle für das IT-Betriebskonzept und das Notfallhandbuch.",Betrieb & Prozesse,Administrierende,
17 | Prozess Dienstleistersteuerung,"Der Prozess der Dienstleistersteuerung beschreibt die systematische Überwachung, Steuerung und Bewertung externer Partner nach Abschluss der Beschaffung und Abnahme des Dienstes. Ziel ist es, die vertraglich vereinbarten Leistungen dauerhaft sicherzustellen, Risiken zu minimieren und die Einhaltung regulatorischer sowie interner Anforderungen kontinuierlich zu überprüfen. Nicht enthalten sind Auswahl, Ausschreibung oder Vertragsabschluss, da diese Schritte im Rahmen des Beschaffungsmanagements geregelt werden. Der Schwerpunkt liegt auf der laufenden Zusammenarbeit mit Dienstleistern, einschließlich Leistungsüberwachung, regelmäßiger Audits und Eskalationsverfahren, um Sicherheit, Qualität und Compliance zuverlässig abzusichern.",Betrieb & Prozesse,Prozessverantwortliche,
18 | Prozess Gebäudemanagement,"Dieser Prozess stellt sicher, dass die physische Umgebung, in der Informationswerte verarbeitet und gespeichert werden, angemessen geschützt ist. Er umfasst alle organisatorischen und technischen Maßnahmen, die erforderlich sind, um unbefugten Zutritt, Beschädigung und Störungen der Geschäftstätigkeit zu verhindern. Dazu gehören die Planung, Umsetzung und Überwachung von physischen Sicherheitskontrollen wie Zutrittsbeschränkungen, Videoüberwachung und Umweltsensorik.",Betrieb & Prozesse,Prozessverantwortliche,
19 | Gebäudedokumentation,"Die Gebäudedokumentation bietet einen detaillierten und aktuellen Überblick über die baulichen und sicherheitstechnischen Gegebenheiten der Unternehmensstandorte. Sie enthält wesentliche Informationen wie Grundrisse, die Lage von Sicherheitsbereichen wie Serverräumen oder Archiven sowie die Verortung kritischer Infrastrukturkomponenten wie Leitungswege, Brandmeldeanlagen und Zutrittskontrollsysteme. Ziel ist die Schaffung einer verlässlichen Informationsgrundlage für Sicherheits-, Notfall- und Betriebsplanungen. Im Gegensatz zu reinen Bauplänen ist diese Dokumentation gezielt auf die Anforderungen der Informationssicherheit und des Business Continuity Managements ausgerichtet. Sie dient als essenzielle Referenz für Risikoanalysen, die Planung von Sicherheitsmaßnahmen und als schnelle Orientierungshilfe im Störungs- oder Notfall. Dadurch wird sichergestellt, dass relevante physische Gegebenheiten bei allen sicherheitsrelevanten Entscheidungen berücksichtigt werden können.",Betrieb & Prozesse,Prozessverantwortliche,
20 | Prozess Identitäts- und Berechtigungsmanagement,"Dieser Prozess regelt den gesamten Lebenszyklus digitaler Identitäten und deren Zugriffsrechte auf IT-Systeme, Anwendungen und Daten. Er stellt sicher, dass jeder Benutzer und jedes technische Konto eindeutig identifizierbar ist und nur die Berechtigungen erhält, die zur Erfüllung der jeweiligen Aufgaben zwingend erforderlich sind (Prinzip der geringsten Rechte). Die Abläufe umfassen die kontrollierte Einrichtung, Änderung und Deaktivierung von Identitäten sowie die regelmäßige Überprüfung der zugewiesenen Rechte.",Betrieb & Prozesse,Prozessverantwortliche,
21 | Prozess Beschaffung,"Dieser Prozess stellt sicher, dass Informationssicherheit ein integraler Bestandteil bei der Anschaffung von Produkten, der Beauftragung von Dienstleistungen und der Auswahl von Lieferanten ist. Er definiert klare Sicherheitsanforderungen, die bereits in der Ausschreibungs- und Auswahlphase berücksichtigt werden müssen, um Risiken durch unsichere Hard- oder Software sowie durch unzuverlässige Partner zu minimieren. Die Einhaltung dieser Vorgaben ist eine verbindliche Voraussetzung für den Abschluss von Verträgen.",Betrieb & Prozesse,Prozessverantwortliche,
22 | Richtlinie zur Risikoanalyse,"Diese Richtlinie etabliert einen systematischen und wiederholbaren Ansatz zur Identifizierung, Bewertung und Behandlung von Informationssicherheitsrisiken. Sie legt die verbindliche Methodik fest, nach der potenzielle Bedrohungen für Unternehmenswerte analysiert und die daraus resultierenden möglichen Schäden bewertet werden. Des Weiteren werden klare Kriterien für die Akzeptanz von Risiken definiert, um eine konsistente und nachvollziehbare Grundlage für alle risikobasierten Entscheidungen zu schaffen.",Risikomanagement,Prozessverantwortliche,
23 | Risikobewertung,"Ergebnis der Risikoanalyse: Dieses Dokument (oder ein Dashboard in einem Tool) enthält die identifizierten Risiken, deren Bewertung (Eintrittswahrscheinlichkeit und Schadensausmaß) und die Entscheidung zur Risikobehandlung (z.B. mindern, akzeptieren, vermeiden, transferieren). Es ist die Entscheidungsgrundlage für die Priorisierung von Sicherheitsmaßnahmen.",Risikomanagement,Prozessverantwortliche,Ergebnisse Risikoanalyse
24 | Prozess Personalmanagement,"Dieser Prozess stellt sicher, dass die Informationssicherheit über den gesamten Lebenszyklus von Mitarbeitenden im Unternehmen fest verankert ist. Er definiert die sicherheitsrelevanten Maßnahmen und Verantwortlichkeiten, beginnend bei der sorgfältigen Überprüfung von Bewerbern, über die Verpflichtung zur Vertraulichkeit bei der Einstellung, die regelmäßigen Sensibilisierungs- und Schulungsmaßnahmen während des Anstellungsverhältnisses bis hin zu einem geordneten Austrittsprozess, der die Rückgabe aller Werte und den Entzug von Berechtigungen regelt. Ziel ist es, die Risiken, die von Personen ausgehen können – ob unbeabsichtigt oder böswillig – systematisch zu minimieren.",Betrieb & Prozesse,Prozessverantwortliche,
25 | Leitungsentscheidung,"Die Leitungsentscheidung ist das formale und offizielle Bekenntnis der obersten Führungsebene zur Einführung, Umsetzung, Aufrechterhaltung und fortlaufenden Verbesserung eines Managementsystems für Informationssicherheit. Sie legitimiert das Vorhaben, stellt die notwendigen Ressourcen bereit und überträgt die erforderlichen Befugnisse an die benannten Rollen, wie die Informationssicherheitsbeauftragte (ISB). Dieses Dokument bildet die unmissverständliche Grundlage, die dem gesamten Sicherheitsprogramm das nötige Gewicht und die erforderliche Durchsetzungskraft im Unternehmen verleiht.",Strategie & Governance,Prozessverantwortliche,
26 | Sicherheitsorganisation,"Dieses Dokument verankert die offizielle Governance-Struktur für das Informationssicherheits-Managementsystem (ISMS). Es legt verbindlich die Rollen, Zuständigkeiten und Befugnisse aller beteiligten Personen und Gremien fest und definiert deren Zusammenwirken. Ziel ist die Schaffung einer klaren und belastbaren Organisationsstruktur, die sicherstellt, dass die strategischen Vorgaben der Leitungsebene wirksam in den operativen Betrieb überführt und alle Compliance-Anforderungen erfüllt werden. Es ist die formale Grundlage, die sicherstellt, dass Informationssicherheit systematisch gesteuert und verantwortet wird. Der Geltungsbereich umfasst dabei nicht nur die Kernbereiche des ISMS, sondern bildet auch gezielt die relevanten Schnittstellen zu angrenzenden Managementdisziplinen wie dem Datenschutz, der physischen Sicherheit oder dem Arbeitsschutz ab. Während die Leitungsentscheidung den Gründungsakt des ISMS darstellt und die grundsätzliche Autorität verleiht, übersetzt die Sicherheitsorganisation diesen Auftrag in eine konkrete, funktionierende Struktur. Anders als ein allgemeiner Prozess wie das Personalmanagement, der operative Tätigkeiten regelt, definiert dieses Dokument die übergeordnete Steuerungs- und Kontrollinstanz für alle sicherheitsrelevanten Aktivitäten in der Institution.",Betrieb & Prozesse,Prozessverantwortliche,(todo)
27 | Detektionskonzept,"Das Detektionskonzept legt die strategische und technische Vorgehensweise fest, um Sicherheitsvorfälle und verdächtige Aktivitäten in der IT-Infrastruktur proaktiv zu erkennen. Es beschreibt, welche Datenquellen (z.B. Log-Dateien, Netzwerkverkehr, Systemmetriken) überwacht, welche Werkzeuge (z.B. SIEM, IDS/IPS) eingesetzt und welche Methoden zur Analyse und Korrelation von Ereignissen verwendet werden. Das primäre Ziel ist es, Angriffe, Kompromittierungen oder Richtlinienverstöße so früh wie möglich zu identifizieren, um den potenziellen Schaden zu begrenzen. Im Gegensatz zu einem Notfall- oder Wiederanlaufplan, der regelt, wie auf einen bereits eingetretenen und erkannten Vorfall reagiert wird, setzt das Detektionskonzept früher an. Es konzentriert sich auf die Phase vor und während eines Angriffs und beantwortet die Frage: ""Wie stellen wir sicher, dass wir einen relevanten Vorfall überhaupt bemerken?"". Es bildet somit die Grundlage für einen effektiven Incident-Response-Prozess, denn nur was erkannt wird, kann auch bewältigt werden.",Sicherheitsmanagement,Prozessverantwortliche,
28 | Auslagerungsregister,"Enthält für alle outgesourcten Prozesse den jeweiligen Anbieter, Verträge, letzte Prüfzeitpunkte und Ergebnisse der Prüfungen.",Entwicklung & Beschaffung,Prozessverantwortliche,
29 | Leistungsbeschreibung,"Dokument, das die Beschaffungskriterien an das zu beschaffende Zielobjekt enthält. Sinnvollerweise auf Vorlage basierend.",Entwicklung & Beschaffung,Prozessverantwortliche,
30 | Entwicklungsdokumentation,"Enthält für eine selbst entwickelte Software die Architektur, User Stories, Bedienführung, etc.",Entwicklung & Beschaffung,Prozessverantwortliche,
31 | Liste der Hersteller und Dienstleister,Diese Liste enthält alle für das ISMS relevanten Vertragspartner der Institution für IT-Produkte und Dienstleistungen.,Entwicklung & Beschaffung,Prozessverantwortliche,
32 | Freigegebene Ausnahmegenehmigung,"Die Handhabung von Ausnahmen von den etablierten Informationssicherheitsrichtlinien und -standards ist ein entscheidendes Verfahren, um die betriebliche Flexibilität zu gewährleisten, ohne die Sicherheit unkontrolliert zu gefährden. Eine systematische Vorgehensweise stellt sicher, dass jede Abweichung bewusst, bewertet und nur von autorisierten Stellen genehmigt wird. So wird ein nachvollziehbarer und transparenter Umgang mit Risiken ermöglicht, der die Integrität des gesamten Managementsystems für Informationssicherheit aufrechterhält.",Strategie & Governance,Mitarbeitende,
33 | Verträge,"Die Sicherstellung der Informationssicherheit erstreckt sich über die eigenen Unternehmensgrenzen hinaus und schließt alle externen Parteien ein, die an der Verarbeitung, Speicherung oder Übertragung von Informationen beteiligt sind. Eine klare und rechtlich verbindliche Regelung der Sicherheitsanforderungen in Verträgen ist unerlässlich, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in der gesamten Lieferkette zu gewährleisten. Dies schafft eine solide Grundlage für eine sichere Zusammenarbeit und minimiert die Risiken, die durch Dritte entstehen können. Die vertraglichen Vereinbarungen legen die Informationssicherheitsanforderungen und -pflichten für Lieferanten, Dienstleister und Partner eindeutig fest. Dies umfasst unter anderem Vertraulichkeitsverpflichtungen, die Einhaltung von Datenschutzbestimmungen, die Vereinbarung von Service Level Agreements (SLAs) für sicherheitsrelevante Dienste, Regelungen zu Zutritts- und Zugriffsrechten sowie Audit- und Kontrollrechte. Dadurch wird eine durchgängige und nachweisbare Einhaltung der Sicherheitsstandards sichergestellt.",Entwicklung & Beschaffung,Prozessverantwortliche,
34 | Abnahmeprotokoll,"Die Integration von externen Dienstleistungen oder Produkten birgt spezifische Risiken, die sorgfältig gesteuert werden müssen, bevor eine produktive Nutzung erfolgt. Eine formale Abnahme ist daher ein entscheidender Schritt, um zu überprüfen und zu bestätigen, dass die von einem externen Lieferanten erbrachte Leistung den vertraglich vereinbarten Anforderungen, insbesondere den Informationssicherheitsanforderungen, vollumfänglich entspricht. So wird ein qualitätsgesicherter und sicherer Übergang der externen Leistung in die eigene Organisation gewährleistet. Dieses Protokoll dokumentiert die Ergebnisse der Abnahmeprüfung und dient als formaler Nachweis für die Erfüllung der vertraglichen Pflichten durch den Lieferanten. Es listet die durchgeführten Tests, die erzielten Ergebnisse sowie eventuell festgestellte Mängel oder Abweichungen von der Beauftragung auf. Mit der Unterzeichnung durch die verantwortlichen Parteien wird die Leistung des externen Partners formell angenommen und die damit verbundene Verantwortung geht auf die eigene Institution über.",Entwicklung & Beschaffung,Prozessverantwortliche,
35 | Übungsplan,"Die theoretische Planung von Notfallmaßnahmen und die Erstellung von Sicherheitskonzepten sind wichtige Grundlagen, aber erst durch regelmäßige praktische Übungen kann deren Wirksamkeit überprüft und verbessert werden. Der Übungsplan ist die Basis, um die Handlungsfähigkeit in sicherheitsrelevanten Szenarien, wie z.B. bei einem IT-Sicherheitsvorfall oder einem Systemausfall, systematisch zu trainieren und zu optimieren. Ziel ist es, die Reaktionsfähigkeit der Institution kontinuierlich zu stärken. Praktischerweise kann der Übungsplan direkt in einem digitalen Kalender gepflegt werden, damit die regelmäßigen Übungen für alle Beteiligten stets sichtbar sind und in die Terminplanung konsequent einbezogen werden.",Information & Sensibilisierung,Nutzende,
36 | Arbeitsanweisung,"Die konsistente und korrekte Ausführung von sicherheitsrelevanten Tätigkeiten ist ein fundamentaler Baustein zur Aufrechterhaltung der Informationssicherheit im täglichen Betrieb. Um Fehlerquellen zu minimieren und eine gleichbleibend hohe Qualität zu gewährleisten, sind klare und verständliche Anleitungen für wiederkehrende Aufgaben unerlässlich. Diese schaffen Verbindlichkeit und unterstützen die Mitarbeitenden dabei, ihre Aufgaben sicher und effizient zu erfüllen.",Information & Sensibilisierung,Mitarbeitende,
37 | Realisierungsplan,"Die Umsetzung von Maßnahmen zur Risikobehandlung ist ein zentraler Bestandteil des Informationssicherheits-Managementsystems, um die identifizierten Risiken auf ein akzeptables Niveau zu senken. Ein systematischer und nachvollziehbarer Plan ist erforderlich, um diesen Prozess effektiv zu steuern, den Fortschritt zu überwachen und sicherzustellen, dass die Maßnahmen termingerecht und im Rahmen der budgetierten Ressourcen implementiert werden. Dies schafft Transparenz und Verbindlichkeit bei der Verbesserung der Informationssicherheit.",Risikomanagement,Prozessverantwortliche,
38 | Schulungsplan,"Das Bewusstsein und die Kompetenz der Mitarbeitenden sind entscheidende Faktoren für die Wirksamkeit von Informationssicherheitsmaßnahmen, denn der Mensch ist oft die erste Verteidigungslinie. Eine systematische Planung von Schulungs- und Sensibilisierungsmaßnahmen ist daher unerlässlich, um sicherzustellen, dass alle Mitarbeitenden über das notwendige Wissen verfügen, um ihre Aufgaben sicher zu erfüllen und Sicherheitsrisiken zu erkennen und zu vermeiden. Der Plan definiert die Ziele, Inhalte und Zielgruppen für alle Schulungsaktivitäten im Bereich der Informationssicherheit. Er legt fest, welche Themen (z.B. Phishing, Passwortsicherheit, Datenschutz) in welchen Formaten (z.B. Online-Training, Präsenzschulung) und in welchen Intervallen vermittelt werden. Zudem werden Verantwortlichkeiten für die Durchführung und Methoden zur Messung des Schulungserfolgs festgelegt, um die Wirksamkeit der Maßnahmen kontinuierlich zu überprüfen und zu verbessern.",Information & Sensibilisierung,Prozessverantwortliche,
39 | Übersicht der Kommunikationspartner,"Ein geregelter und sicherer Informationsaustausch mit internen und externen Stellen ist für die Aufrechterhaltung der Geschäftsprozesse und der Informationssicherheit von wesentlicher Bedeutung. Um die Vertraulichkeit, Integrität und Verfügbarkeit der ausgetauschten Informationen zu gewährleisten, ist es notwendig, einen klaren Überblick über die relevanten Kommunikationsbeziehungen und die dafür geltenden Sicherheitsanforderungen zu haben. Diese Übersicht dokumentiert systematisch alle wichtigen internen und externen Kommunikationspartner sowie die Art und den Zweck des Informationsaustausches. Sie legt fest, welche Informationen mit wem über welche Kanäle ausgetauscht werden und welche spezifischen Sicherheitsmaßnahmen dabei zu beachten sind. Dies schafft Transparenz über die Informationsflüsse und stellt sicher, dass für jede Kommunikationsbeziehung angemessene Schutzmaßnahmen etabliert sind.",Strategie & Governance,Prozessverantwortliche,
40 | Prüfplan,"Mit dem Prüfplan wird nachgewiesen, dass die Erfüllung der Anforderung regelmäßig geprüft wird. Hier reicht z. B. bereits ein wiederkehrender Kalendereintrag.",Information & Sensibilisierung,Prozessverantwortliche,
41 | Verfahrensbeschreibung,???,???,???,
42 | Arbeitsvertrag,"Die Grundlage für eine sichere Institution sind loyale und vertrauenswürdige Mitarbeitende, die ihre Verantwortung für den Schutz von Informationen verstehen und wahrnehmen. Die rechtliche und formale Etablierung des Arbeitsverhältnisses ist der erste und entscheidende Schritt, um die Weichen für eine sicherheitsbewusste Zusammenarbeit zu stellen. Hier werden die gegenseitigen Rechte und Pflichten klar definiert und die Einhaltung der internen Sicherheitsvorgaben als fundamentaler Bestandteil der täglichen Arbeit verankert. Neben den allgemeinen arbeitsrechtlichen Regelungen werden hier die wesentlichen Verpflichtungen zur Informationssicherheit rechtsverbindlich festgelegt. Dies umfasst insbesondere die Wahrung der Vertraulichkeit von Betriebs- und Geschäftsgeheimnissen, die Anerkennung und Einhaltung der geltenden Sicherheitsrichtlinien sowie die Pflichten im Umgang mit Daten. Damit wird von Beginn an eine klare und durchsetzbare Grundlage für sicherheitskonformes Verhalten geschaffen.",Information & Sensibilisierung,Mitarbeitende,
43 | Inventar Berechtigungen,"Enthält Identitäten mit den zugewiesenen Nutzendenkonten und Berechtigungen. Zweckmäßig ist es das Inventar digitalisiert zu führen, z.B. mit einem Identity Management System oder Verzeichnisdienst.",Inventarisierung & Asset Management,Prozessverantwortliche,
44 | Inventar IT-Systeme,"Liste aller Hardware mit Lieferant, Hersteller und Zuordnung des Schutzbedarfes",Inventarisierung & Asset Management,Administrierende,
45 | Inventar Informationen,Liste aller Kategorien von schützenswerten Informationen mit Zuordnung des Schutzbedarfes,Inventarisierung & Asset Management,Administrierende,
46 | Inventar Anwendungen,"Liste aller Software mit Lieferant, Hersteller und Zuordnung des Schutzbedarfes.",Inventarisierung & Asset Management,Administrierende,
47 | Inventar Standorte,Liste der Standorte des Informationsverbundes und der relevanten Räume mit Zuordnung des Schutzbedarfes.,Inventarisierung & Asset Management,Administrierende,
48 | Audit Log,"Automatische Protokollierung sicherheitsrelevanter Ereignisse. Dient bei Sicherheitsvorfällen zur Erkennung und Behandlung, sowie als Nachweis.",Sicherheitsmanagement,Administrierende,
49 | Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen,"Ein wirksames Managementsystem für Informationssicherheit (ISMS) basiert auf einer strukturierten, nachvollziehbaren und aktuellen Dokumentation. Um die Integrität und Verlässlichkeit des ISMS zu gewährleisten, ist ein systematischer Prozess zur Steuerung aller relevanten Dokumente und Aufzeichnungen unerlässlich. Dies stellt sicher, dass alle Mitarbeitenden stets auf die gültigen Versionen von Vorgaben zugreifen und dass die Nachweise über durchgeführte Aktivitäten (Aufzeichnungen) sicher und auffindbar verwaltet werden. Es werden verbindliche Regeln für den gesamten Lebenszyklus von Dokumenten und Aufzeichnungen des ISMS festgelegt – von der Erstellung über die Prüfung, Genehmigung, Veröffentlichung und Verteilung bis hin zur Archivierung und sicheren Vernichtung. Die Regelungen umfassen klare Vorgaben zur Kennzeichnung, Versionierung, Aufbewahrungsfristen und zu den Verantwortlichkeiten für die Pflege. So wird die Konsistenz, Verfügbarkeit und Nachvollziehbarkeit der gesamten ISMS-Dokumentation sichergestellt und die Grundlage für erfolgreiche Audits geschaffen.",Strategie & Governance,Mitarbeitende,
50 | Verzeichnis der Schwachstellen,"Enthält alle Schwachstellen, die in der Entwicklung, Nutzung oder beim Pentest von Hard- oder Software gefunden wurden, sowie deren Bearbeitungsfortschritt und Zeitpunkte. Kann auch mit Unterstützung von Werkzeugen wie Bugtracker geführt werden.",Sicherheitsmanagement,Prozessverantwortliche,Schwachstellenregister
51 | Behandlung von Sicherheitsvorfällen,"Incident Response Plan: Konkreter Plan, der festlegt, wie auf Sicherheitsvorfälle reagiert wird. Er definiert die Phasen eines Vorfalls (Erkennung, Eindämmung, Beseitigung, Wiederherstellung, Lessons Learned), die Rollen und Verantwortlichkeiten im Incident Response Team (IRT/CSIRT) sowie die Meldeketten an das Management und ggf. an Behörden.",Sicherheitsmanagement,Prozessverantwortliche,
52 | Liste der Verpflichtungen,"Compliance-Register: Enthält eine umfassende Liste aller für das Unternehmen relevanten gesetzlichen (z.B. DSGVO, IT-SiG), vertraglichen (z.B. Kundenvereinbarungen, SLAs) und regulatorischen Anforderungen an die Informationssicherheit. Jede Anforderung sollte einem oder mehreren internen Kontrollen oder Richtlinien zugeordnet sein.",Strategie & Governance,Mitarbeitende,
53 | Outsourcing-Strategie,"Informationssicherheitsstrategie: Ein übergeordnetes Dokument, das die langfristige Vision, die Ziele und die Leitprinzipien der Informationssicherheit festlegt, abgeleitet aus den Unternehmenszielen. Es beantwortet die Frage ""Wo wollen wir hin?"" und setzt den Rahmen für alle anderen Sicherheitsdokumente, z.B. durch Vorgaben zu Cloud-Nutzung, Outsourcing oder dem angestrebten Sicherheitsniveau.",Strategie & Governance,Führungskräfte,
54 | Leitlinie zur Informationssicherheit,"Security Policy: Die zentrale, vom Management verabschiedete Leitlinie, die die grundlegenden Regeln und Verpflichtungen zur Informationssicherheit für alle Mitarbeitenden verbindlich festlegt. Sie ist weniger detailliert als ein Konzept, sondern gibt die grundsätzliche Richtung vor (z.B. ""Alle Daten müssen klassifiziert werden"", ""Passwörter müssen komplex sein"").",Strategie & Governance,Mitarbeitende,Informationssicherheitsleitlinie
55 | Managementbericht,"Bericht zur ISMS-Leistung: Regelmäßiger Bericht an die Geschäftsführung über den Status der Informationssicherheit. Er enthält typischerweise Kennzahlen (KPIs) zu Sicherheitsvorfällen, zum Status der Risikobehandlung, zu den Ergebnissen von Audits und zur Wirksamkeit der umgesetzten Maßnahmen. Er dient als Grundlage für Managemententscheidungen und die kontinuierliche Verbesserung des ISMS.",Strategie & Governance,Institutionsleitung,
56 | Firewallregeln,"Regelwerk für die Netzwerkfilterung: Enthält die vollständige Liste aller erlaubten und blockierten Netzwerkverbindungen zwischen verschiedenen Netzzonen (z.B. Internet, DMZ, internes Netz). Jede Regel sollte einen Besitzer, einen Zweck und ein Überprüfungsdatum haben, um veraltete oder zu weitreichende Freischaltungen (""""any/any"""") zu vermeiden.",Technisches Management,Administrierende,
57 | Konfigurationshistorie,"Die Konfigurationshistorie dokumentiert lückenlos die Änderungen an der Konfiguration von IT-Systemen, Anwendungen und Netzwerkkomponenten. Sie erfasst nicht nur den aktuellen Zustand, sondern auch vorherige Versionen, inklusive des Zeitpunkts der Änderung, der verantwortlichen Person und des Grundes für die Anpassung. Das Ziel ist die vollständige Nachvollziehbarkeit aller Eingriffe, um im Fehlerfall eine schnelle Ursachenanalyse zu ermöglichen und eine gezielte Wiederherstellung eines funktionsfähigen Zustands zu gewährleisten. Dies kann in einem automatisierten Versionskontrollsystem als Infrastructure-as-Code (IaC) geschehen.",Technisches Management,Administrierende,
58 | Verzeichnis öffentlicher Schlüssel,"Dieses Verzeichnis dient als zentrale und vertrauenswürdige Inventarliste für alle im Unternehmen eingesetzten öffentlichen kryptografischen Schlüssel und digitalen Zertifikate. Es enthält detaillierte Informationen zu jedem Eintrag, wie den Verwendungszweck, den zugehörigen Algorithmus, die Schlüssellänge, den Eigentümer und vor allem das Gültigkeitsdatum. Der primäre Zweck ist die Sicherstellung eines proaktiven Managements des Lebenszyklus dieser kritischen Sicherheitskomponenten, um den rechtzeitigen Austausch vor Ablauf der Gültigkeit zu überwachen. Durch die zentrale Pflege wird das Risiko von Dienstausfällen durch abgelaufene Zertifikate oder die Verwendung unsicherer kryptografischer Verfahren minimiert. Anders als bei der reinen Speicherung der Schlüssel in den jeweiligen Anwendungen bietet dieses Verzeichnis einen übergreifenden Überblick und eine einheitliche Verwaltungsgrundlage. Es ermöglicht eine effiziente Überwachung der eingesetzten Kryptografie, unterstützt bei der Planung von Migrationen auf neue Standards und stellt sicher, dass die Vertrauenswürdigkeit der digitalen Kommunikation jederzeit gewährleistet ist.",Technisches Management,Administrierende,
59 | Netzplan,"Architektur des Netzwerks: Eine visuelle und technische Darstellung des Netzwerks, inklusive der logischen Gliederung in Zonen (z.B. Produktion, Entwicklung, DMZ), Segmente und Subnetze. Er zeigt, wo wichtige Komponenten wie Firewalls, Router, Switches und Server platziert sind und wie die Datenflüsse zwischen den Zonen kontrolliert werden.",Technisches Management,Administrierende,
60 | Bereinigter Netzplan,"Ein bereinigter Netzplan stellt die Netzwerkarchitektur in einer abstrahierten und sicherheitsorientierten Sicht dar. Der Fokus liegt auf der Visualisierung der logischen Trennung von Netzwerkzonen und der Darstellung der genehmigten Kommunikationsbeziehungen zwischen diesen. Das primäre Ziel ist es, eine klare und unmissverständliche Grundlage für Sicherheitsanalysen, die Überprüfung von Firewall-Regelwerken und die Planung von neuen Systemen zu schaffen. Im Gegensatz zum vollständigen, operativen Netzplan, der oft eine Vielzahl technischer Details wie physische Kabelwege, Switch-Ports oder redundante Verbindungen enthält, reduziert dieser Plan die Komplexität auf die sicherheitsrelevanten Aspekte. Details, die für das Verständnis der Datenflüsse und der Zonentrennung nicht essenziell sind, werden bewusst weggelassen. Dadurch entsteht ein übersichtliches und fokussiertes Bild, das insbesondere für Sicherheitsverantwortliche, Auditoren und Administratoren im Rahmen von Sicherheitsüberprüfungen von hohem Wert ist.",Technisches Management,Administrierende,
61 | Nutzungsbedingungen,"Enthält alle Verfahren und Regelungen, die von allen Nutzenden im Informationsverbund einzuhalten sind. Hierzu können sowohl Mitarbeitende, als auch Dienstleister oder weitere Personen gehören.",Information & Sensibilisierung,Nutzende,
62 |
--------------------------------------------------------------------------------