ID: V-9047-R04

    TV-08 Protektion

    Die Protektion muss durch technische Sicherheitssysteme sichergestellt werden.

    Regeln

    1. Die Protektion muss durch kryptografische Verfahren nach dem Stand der Technik sichergestellt werden (BSI TR-02102 Empfehlungen und Schlüssellängen inklusive TLS, IPSec und SSH1, BSI TR-03116 Vorgaben2).
    2. Die Protektion muss durch Protokollierung von Ereignissen und Detektion von Cyberangriffen sichergestellt werden (u.a. BSI Mindeststandard Protokollierung und Detektion3, BSI OPS.1.1.5 Protokollierung4, BSI DER.1 Detektion5).
    3. Die Protektion muss durch Virenschutz und Schadprogrammabwehr nach aktuellem Stand der Technik sichergestellt werden (u.a. OPS.1.1.4 Schadprogramme6).

    Begründung

    • Kryptografische Verfahren sind ein zentrales Instrument, um die Schutzziele „Vertraulichkeit“ und „Integrität“ der verarbeiteten Informationen angemessen und wirksam sicherzustellen.
    • Zielgerichtete Handlungen gegen die Informationssicherheit lassen sich nur durch die detaillierte Analyse von Protokollierungsdaten erkennen.
    • Die Sicherstellung der Schadprogrammabwehr ist ein integraler Bestandteil der Sicherheitskonzeption im Sinne des ISM.

    Abhängigkeiten

    Implikationen

    1. Die für IT-Verfahren umgesetzten kryptographischen Verfahren sind stets unter Beachtung der Technischen Richtlinien des BSI auf dem aktuellen Stand der Technik zu halten.
    2. Die Konzeption muss turnusmäßig überprüft werden.
    3. Bereits bei der Konzeption von IT-Verfahren ist ein Protokollierungskonzept zu erstellen und im Weiteren zu berücksichtigen.
    4. Die Meldepflichten gemäß § 4 Abs. 6 BSIG i. V. m. der AVV zum BSIG sind zu beachten.
    5. Um dem nachzukommen, ist ein Prozess für ein Sicherheitsvorfallmanagement zu etablieren.
    6. Umfang und Leistung der o. g. Schutzsysteme sind an die aktuellen Bedrohungsszenarien anzupassen. Weiterhin ist dies auch in Bezug auf Clients zu berücksichtigen.

    Footnotes

    1. Bundesamt für Sicherheit in der Informationstechnik, Technische Richtlinie TR-02102 Kryptographische Verfahren: Empfehlungen und Schlüssellängen, 2024, verfügbar unter https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr02102/tr02102_node.html, zuletzt abgerufen am 26. August 2024.

    2. Bundesamt für Sicherheit in der Informationstechnik, Technische Richtlinie TR-03116 Kryptographische Vorgaben für Projekte der Bundesregierung, 2024, verfügbar unter https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr03116/TR-03116_node.html, zuletzt abgerufen am 26. August 2024.

    3. Bundesamt für Sicherheit in der Informationstechnik, Mindeststandard des BSI zur Protokollierung und Detektion von Cyber-Angriffen nach § 8 Absatz 1 Satz 1 BSIG – Version 2.0 vom 29. Juni 2023, 2023, verfügbar unter https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Mindeststandards/PDCA/PDCA_node.html, zuletzt abgerufen am 12. März 2024.

    4. Bundesamt für Sicherheit in der Informationstechnik, OPS.1.1.5: Protokollierung (Edition 2023), 2023, verfügbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/04_OPS_Betrieb/OPS_1_1_5_Protokollierung_Edition_2023.pdf?__blob=publicationFile&v=3, zuletzt abgerufen am 26. August 2024.

    5. Bundesamt für Sicherheit in der Informationstechnik, DER.1: Detektion von sicherheitsrelevanten Ereignissen (Edition 2023), 2023, verfügbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/05_DER_Detektion_und_Reaktion/DER_1_Detektion_von_sicherheitsrelevanten_Ereignissen_Edition_2023.pdf?__blob=publicationFile&v=3, zuletzt abgerufen am 26. August 2024.

    6. Bundesamt für Sicherheit in der Informationstechnik, OPS.1.1.4: Schutz vor Schadprogrammen (Edition 2022), 2022, verfügbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2022/04_OPS_Betrieb/OPS_1_1_4_Schutz_vor_Schadprogrammen_Edition_2022.pdf?__blob=publicationFile&v=3, zuletzt abgerufen am 26. August 2024.

    © 2025 Bundesministerium des Innern und für Heimat