...und mögliche Wege der technischen Umsetzung.





Basis-Anforderungen


SYS.2.1.A1 Sichere Benutzerauthentisierung (B)

  • Benutzer MÜSSEN die Bildschirmsperre beim Verlassen aktivieren.
  • Die Bildschirmsperre SOLLTE automatisch aktiviert werden, wenn für eine festgelegte Zeitspanne keine Aktion durch den Benutzer durchgeführt wurde.
  • Bildschirmsperre DARF NUR mit Passwort deaktiviert werden.
  • Die Benutzer SOLLTEN verpflichtet werden, sich nach Aufgabenerfüllung vom IT-System bzw. von der IT-Anwendung abzumelden.

SYS.2.1.A3 Aktivieren von Autoupdate-Mechanismen (B)

  • Automatische Update-Mechanismen (Autoupdate) MÜSSEN aktiviert werden, sofern nicht andere Mechanismen wie regelmäßige manuelle Wartung oder ein zentrales Softwareverteilungssystem für Updates eingesetzt werden.
  • Wenn für Autoupdate-Mechanismen ein Zeitintervall vorgegeben werden kann, SOLLTE mindestens täglich automatisch nach Updates gesucht und diese installiert werden.

SYS.2.1.A6 Einsatz von Schutzprogrammen gegen Schadsoftware (B)

  • Schutzprogramme auf den Clients MÜSSEN so konfiguriert sein, dass die Benutzer weder sicherheitsrelevante Änderungen an den Einstellungen vornehmen noch die Schutzprogramme deaktivieren können.
  • Das Schutzprogramm MUSS nach Schadsoftware suchen, wenn Dateien ausgetauscht oder übertragen werden.
  • Der gesamte Datenbestand eines Clients MUSS regelmäßig auf Schadsoftware geprüft werden.
  • Wenn ein Client infiziert ist, MUSS im Offlinebetrieb untersucht werden, ob ein gefundenes Schadprogramm bereits vertrauliche Daten gesammelt, Schutzfunktionen deaktiviert oder Code aus dem Internet nachgeladen hat.

SYS.2.1.A8 Absicherung des Bootvorgangs (B)

  • Der Startvorgang des IT-Systems („Booten“) MUSS gegen Manipulation abgesichert werden.
  • Es SOLLTE entschieden werden, ob und wie der Bootvorgang kryptografisch geschützt werden soll.
  • Es MUSS festgelegt werden, von welchen Medien gebootet werden darf.
  • Es MUSS sichergestellt werden, dass nur Administratoren die Clients von einem anderen als den voreingestellten Laufwerken oder externen Speichermedien booten können.
  • NUR Administratoren DÜRFEN von wechselbaren oder externen Speichermedien booten können.
  • Die Konfigurationseinstellungen des Bootvorgangs DÜRFEN NUR durch Administratoren verändert werden können.
  • Alle nicht benötigten Funktionen in der Firmware MÜSSEN deaktiviert werden.

SYS.2.1.A42 Nutzung von Cloud- und Online-Funktionen [Benutzer] (B)

  • Es DÜRFEN NUR zwingend notwendige Cloud- und Online-Funktionen des Betriebssystems genutzt werden.
  • Die notwendigen Cloud- und Online-Funktionen SOLLTEN dokumentiert werden.
  • Die entsprechenden Einstellungen des Betriebssystems MÜSSEN auf Konformität mit den organisatorischen Datenschutz- und Sicherheitsvorgaben überprüft und restriktiv konfiguriert bzw. die Funktionen deaktiviert werden (siehe 2.2.3.A1 für IT-Administratoren).

SYS.2.2.3.A1 Planung des Einsatzes von Cloud-Diensten unter Windows (B)

  • Da Windows-basierte Geräte eng mit den Cloud-Diensten des Herstellers Microsoft verzahnt sind, MUSS vor ihrer Verwendung strategisch festgelegt werden, welche enthaltenen Cloud-Dienste in welchem Umfang genutzt werden sollen bzw. dürfen.

SYS.2.2.3.A2 Auswahl und Beschaffung einer geeigneten Windows-Version (B)

  • Der Funktionsumfang und die Versorgung mit funktionalen Änderungen einer Windows-Version MÜSSEN unter Berücksichtigung des ermittelten Schutzbedarfs und des Einsatzzwecks ausgewählt werden.

SYS.2.2.3.A4 Telemetrie und Datenschutzeinstellungen unter Windows (B)

  • Um die Übertragung von Diagnose- und Nutzungsdaten an Microsoft stark zu reduzieren, MUSS das Telemetrie-Level 0 (Security) in der Enterprise-Edition von Windows konfiguriert werden (was Telemetrie-Level 0 bedeutet und wie man es zumindest auf Windows 10 umsetzt, wird in den Empfehlungen des BSI beschrieben: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/SiSyPHus/E20172000_BSI_Win10_AFUNKT_TELE_DEAKTIVIEREN_v1_0.pdf?__blob=publicationFile&v=6 - eine Empfehlung zur technischen Umsetzung in Windows 11 existiert nicht und kann daher nur teilweise abgeleitet werden. Siehe dazu auch nachfolgenden Punkt).
  • Wenn diese Einstellung nicht wirksam umgesetzt wird oder bei anderen Windows-Edition umgesetzt werden kann, dann MUSS durch geeignete Maßnahmen, etwa auf Netzebene, sichergestellt werden, dass die Daten nicht an den Hersteller übertragen werden.

SYS.2.2.3.A5 Schutz vor Schadsoftware unter Windows (B)

  • Sofern nicht gleich- oder höherwertige Maßnahmen, wie z. B. Ausführungskontrolle, zum Schutz des IT-Systems vor einer Infektion mit Schadsoftware getroffen wurden, MUSS eine spezialisierte Komponente zum Schutz vor Schadsoftware auf Windows-Clients eingesetzt werden.

SYS.2.2.3.A6 Integration von Online-Konten in das Betriebssystem (B) [Benutzende]

  • Die Anmeldung am System sowie an der Domäne SOLLTE nur mit dem Konto eines selbst betriebenen Verzeichnisdienstes möglich sein.
  • Online-Konten zur Anmeldung, etwa ein Microsoft-Konto oder Konten anderer Identitätsmanagementsysteme, DÜRFEN NICHT verwendet werden, da hier personenbezogene Daten an die Systeme Dritter übertragen werden.