ID: V-9004-R05

    AV-08 Sicherheit und Schutz

    Informationstechnik und Digitalisierung müssen sicher gestaltet und geschützt werden.

    Regeln

    1. Informationssicherheit muss gemäß geltenden Vorgaben gewährleistet werden (insbesondere BSI 200-1 ISMS1, BSI 200-2 Grundschutz2, BSI 200-3 Risikoanalyse3, BSIG 4, BSI Info5, NATO Cyber Defence6, Bund: u.a. UP Bund7).
    2. Die Anforderungen des Geheimschutzes müssen erfüllt werden. (insbesondere Sicherheitsüberprüfung8, personeller Geheimschutz9, materieller Geheimschutz/ Verschlusssachen 10).
    3. Die gesetzlichen Regelungen bezüglich Datenschutz müssen beachtet werden (insbesondere DSGVO11, BDSG12, SDM13).

    Begründung

    • Einschränkungen in Grundwerten der Informationssicherheit (Vertraulichkeit, Verfügbarkeit und Integrität), dem Datenschutz und dem Geheimschutz können ernsthafte Folgen nach sich ziehen.
    • Zu diesen zählen u. a. Betriebsrisiken, rechtliche Folgen, Vertrauensverlust gegenüber den Behörden, Autoritätsverlust und Angreifbarkeit des Staates.
    • Durch die Einhaltung der Vorgabe kann hiergegen maßgeblich vorgebeugt werden.

    Abhängigkeiten

    Implikationen

    1. Die Klassifikation des Schutzbedarfes von Daten, Informationen und Algorithmen ist zu beachten.
    2. Die Referenzmaßnahmen des Standard-Datenschutzmodells sind nach Möglichkeit umzusetzen.

    Footnotes

    1. Bundesamt für Sicherheit in der Informationstechnik, BSI-Standard 200-1 - Managementsysteme für Informationssicherheit (ISMS), 2017, verfügbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_1.pdf?__blob=publicationFile&v=2, zuletzt abgerufen am 12. März 2024.

    2. Bundesamt für Sicherheit in der Informationstechnik, BSI-Standard 200-2 - IT-Grundschutz-Methodik, 2017, verfügbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_2.pdf?__blob=publicationFile&v=2, zuletzt abgerufen am 12. März 2024.

    3. Bundesamt für Sicherheit in der Informationstechnik, BSI-Standard 200-3 - Risikoanalyse auf der Basis von IT-Grundschutz, 2017, verfügbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_3.pdf?__blob=publicationFile&v=2, zuletzt abgerufen am 12. März 2024.

    4. Bundesgesetzblatt - Bundesministerium der Justiz, BSI-Gesetz vom 14. August 2009 (BGBl. I S. 2821) zuletzt geändert durch Artikel 12 des Gesetzes vom 23. Juni 2021 (BGBl. I S. 1982), 2021, verfügbar unter https://www.gesetze-im-internet.de/bsig_2009/, zuletzt abgerufen am 12. März 2024.

    5. Bundesamt für Sicherheit in der Informationstechnik, Informationen und Empfehlungen, 2024, verfügbar unter https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/informationen-und-empfehlungen_node.html, zuletzt abgerufen am 22. August 2024.

    6. North Atlantic Treaty Organization, Cyber Defence, 2024, verfügbar unter https://www.nato.int/cps/en/natohq/topics_78170.htm, zuletzt abgerufen am 26. August 2024.

    7. Bundesministerium des Innern, Umsetzungsplan Bund 2017 - Leitlinie für Informationssicherheit in der Bundesverwaltung, 2017, verfügbar unter https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/it-digitalpolitik/up-bund-2017.pdf?__blob=publicationFile&v=3, zuletzt abgerufen am 12. März 2024.

    8. Bundesgesetzblatt - Bundesministerium der Justiz, Sicherheitsüberprüfungsgesetz vom 20. April 1994 (BGBl. I S. 867) zuletzt geändert durch Artikel 3 des Gesetzes vom 22. Dezember 2023 (BGBl. 2023 I Nr. 413), 2023, verfügbar unter https://www.gesetze-im-internet.de/s_g/, zuletzt abgerufen am 12. März 2024.

    9. Bundesministerium des Innern und für Heimat, Allgemeine Verwaltungsvorschrift zum personellen Geheimschutz und zum vorbeugenden personellen Sabotageschutz – SÜG-Ausführungsvorschrift (SÜG-AVV) vom 15. Februar 2018 (GMBl S. 270) i.d.F. der mit Rundschreiben des Bundesministeriums des Innern und für Heimat vom 8. Juni 2022 – ÖS II 5 – 54001/41#3 – bekanntgegebenen Änderungen, 2022, verfügbar unter https://www.verwaltungsvorschriften-im-internet.de/bsvwvbund_08062022_SII554001415.htm, zuletzt abgerufen am 12. März 2024.

    10. Bundesministerium des Innern und für Heimat, Allgemeine Verwaltungsvorschrift zum materiellen Geheimschutz (Verschlusssachenanweisung - VSA), 2023, verfügbar unter https://www.verwaltungsvorschriften-im-internet.de/bsvwvbund_13032023_SII554001405.htm, zuletzt abgerufen am 12. März 2024.

    11. Das Europäische Parlament und der europäische Rat, Verordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), 2016, verfügbar unter https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32016R0679, zuletzt abgerufen am 12. März 2024.

    12. Bundesgesetzblatt - Bundesministerium der Justiz, Bundesdatenschutzgesetz vom 30. Juni 2017 (BGBl. I S. 2097) zuletzt geändert durch Artikel 10 des Gesetzes vom 22. Dezember 2023 (BGBl. 2023 I Nr. 414), 2023, verfügbar unter https://www.gesetze-im-internet.de/bdsg_2018/, zuletzt abgerufen am 12. März 2024.

    13. IT-Planungsrat, Beschluss Nr. 2020/06 vom 25. März 2020 - Standard-Datenschutzmodell, 2020, verfügbar unter https://www.it-planungsrat.de/beschluss/beschluss-2020-06, zuletzt abgerufen am 12. März 2024.

    © 2025 Bundesministerium des Innern und für Heimat