Basis-Anforderungen

SYS.2.1.A1 Sichere Benutzerauthentisierung (B)

• Benutzer MÜSSEN die Bildschirmsperre beim Verlassen aktivieren.
• Die Bildschirmsperre SOLLTE automatisch aktiviert werden, wenn für eine festgelegte Zeitspanne keine Aktion durch den Benutzer durchgeführt wurde.
• Bildschirmsperre DARF NUR mit Passwort deaktiviert werden.
• Die Benutzer SOLLTEN verpflichtet werden, sich nach Aufgabenerfüllung vom IT-System bzw. von der IT-Anwendung abzumelden.

SYS.2.1.A3 Aktivieren von Autoupdate-Mechanismen (B)

• Automatische Update-Mechanismen (Autoupdate) MÜSSEN aktiviert werden, sofern nicht andere Mechanismen wie regelmäßige manuelle Wartung oder ein zentrales Softwareverteilungssystem für Updates eingesetzt werden.
• Wenn für Autoupdate-Mechanismen ein Zeitintervall vorgegeben werden kann, SOLLTE mindestens täglich automatisch nach Updates gesucht und diese installiert werden.

SYS.2.1.A6 Einsatz von Schutzprogrammen gegen Schadsoftware (B)

• Schutzprogramme auf den Clients MÜSSEN so konfiguriert sein, dass die Benutzer weder sicherheitsrelevante Änderungen an den Einstellungen vornehmen noch die Schutzprogramme deaktivieren können.
• Das Schutzprogramm MUSS nach Schadsoftware suchen, wenn Dateien ausgetauscht oder übertragen werden.
• Der gesamte Datenbestand eines Clients MUSS regelmäßig auf Schadsoftware geprüft werden.
• Wenn ein Client infiziert ist, MUSS im Offlinebetrieb untersucht werden, ob ein gefundenes Schadprogramm bereits vertrauliche Daten gesammelt, Schutzfunktionen deaktiviert oder Code aus dem Internet nachgeladen hat.

SYS.2.1.A8 Absicherung des Bootvorgangs (B)

• Der Startvorgang des IT-Systems („Booten“) MUSS gegen Manipulation abgesichert werden.
• Es SOLLTE entschieden werden, ob und wie der Bootvorgang kryptografisch geschützt werden soll.
• Es MUSS festgelegt werden, von welchen Medien gebootet werden darf.
• Es MUSS sichergestellt werden, dass nur Administratoren die Clients von einem anderen als den voreingestellten Laufwerken oder externen Speichermedien booten können.
• NUR Administratoren DÜRFEN von wechselbaren oder externen Speichermedien booten können.
• Die Konfigurationseinstellungen des Bootvorgangs DÜRFEN NUR durch Administratoren verändert werden können.
• Alle nicht benötigten Funktionen in der Firmware MÜSSEN deaktiviert werden.

SYS.2.1.A42 Nutzung von Cloud- und Online-Funktionen [Benutzer] (B)

• Es DÜRFEN NUR zwingend notwendige Cloud- und Online-Funktionen des Betriebssystems genutzt werden.
• Die notwendigen Cloud- und Online-Funktionen SOLLTEN dokumentiert werden.
• Die entsprechenden Einstellungen des Betriebssystems MÜSSEN auf Konformität mit den organisatorischen Datenschutz- und Sicherheitsvorgaben überprüft und restriktiv konfiguriert bzw. die Funktionen deaktiviert werden (siehe 2.2.3.A1 für IT-Administratoren).

SYS.2.2.3.A1 Planung des Einsatzes von Cloud-Diensten unter Windows (B)

• Da Windows-basierte Geräte eng mit den Cloud-Diensten des Herstellers Microsoft verzahnt sind, MUSS vor ihrer Verwendung strategisch festgelegt werden, welche enthaltenen Cloud-Dienste in welchem Umfang genutzt werden sollen bzw. dürfen.

SYS.2.2.3.A2 Auswahl und Beschaffung einer geeigneten Windows-Version (B)

• Der Funktionsumfang und die Versorgung mit funktionalen Änderungen einer Windows-Version MÜSSEN unter Berücksichtigung des ermittelten Schutzbedarfs und des Einsatzzwecks ausgewählt werden.

SYS.2.2.3.A4 Telemetrie und Datenschutzeinstellungen unter Windows (B)

• Um die Übertragung von Diagnose- und Nutzungsdaten an Microsoft stark zu reduzieren, MUSS das Telemetrie-Level 0 (Security) in der Enterprise-Edition von Windows konfiguriert werden (was Telemetrie-Level 0 bedeutet und wie man es zumindest auf Windows 10 umsetzt, wird in den Empfehlungen des BSI beschrieben: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/SiSyPHus/E20172000_BSI_Win10_AFUNKT_TELE_DEAKTIVIEREN_v1_0.pdf?__blob=publicationFile&v=6 - eine Empfehlung zur technischen Umsetzung in Windows 11 existiert nicht und kann daher nur teilweise abgeleitet werden. Siehe dazu auch nachfolgenden Punkt).
• Wenn diese Einstellung nicht wirksam umgesetzt wird oder bei anderen Windows-Edition umgesetzt werden kann, dann MUSS durch geeignete Maßnahmen, etwa auf Netzebene, sichergestellt werden, dass die Daten nicht an den Hersteller übertragen werden.

SYS.2.2.3.A5 Schutz vor Schadsoftware unter Windows (B)

• Sofern nicht gleich- oder höherwertige Maßnahmen, wie z. B. Ausführungskontrolle, zum Schutz des IT-Systems vor einer Infektion mit Schadsoftware getroffen wurden, MUSS eine spezialisierte Komponente zum Schutz vor Schadsoftware auf Windows-Clients eingesetzt werden.

SYS.2.2.3.A6 Integration von Online-Konten in das Betriebssystem (B) [Benutzende]

• Die Anmeldung am System sowie an der Domäne SOLLTE nur mit dem Konto eines selbst betriebenen Verzeichnisdienstes möglich sein.
• Online-Konten zur Anmeldung, etwa ein Microsoft-Konto oder Konten anderer Identitätsmanagementsysteme, DÜRFEN NICHT verwendet werden, da hier personenbezogene Daten an die Systeme Dritter übertragen werden.

SYS.3.1.A1 Regelungen zur mobilen Nutzung von Laptops (B)

• Es MUSS klar geregelt werden, was Mitarbeitende bei der mobilen Nutzung von Laptops berücksichtigen müssen.
• Es MUSS insbesondere festgelegt werden, welche Laptops mobil genutzt werden dürfen, wer sie mitnehmen darf und welche grundlegenden Sicherheitsmaßnahmen dabei zu beachten sind.
• Die Benutzenden MÜSSEN auf die Regelungen hingewiesen werden.

SYS.3.1.A3 Einsatz von Personal Firewalls (B)

• Auf Laptops MUSS eine Personal Firewall aktiv sein, wenn sie außerhalb von Netzen der Institution eingesetzt werden.
• Die Filterregeln der Firewall MÜSSEN so restriktiv wie möglich sein.
• Die Filterregeln MÜSSEN regelmäßig getestet werden.
• Die Personal Firewall MUSS so konfiguriert werden, dass die Benutzenden nicht durch Warnmeldungen belästigt werden, die sie nicht interpretieren können.

SYS.3.1.A9 Sicherer Fernzugriff mit Laptops (B)

• Aus öffentlich zugänglichen Netzen DARF NUR über einen sicheren Kommunikationskanal auf das interne Netz der Institution zugegriffen werden.

Tipps zur technischen Umsetzung: 

Die technische Umsetzung der o.g. Basisanforderungen kann je nach Umgebung (Domäne oder Workgroup) unterschiedlich umgesetzt werden. In beiden Fällen helfen Audit-Tools bei der Konkretisierung der einzelnen technischen Arbeitsschritte (bspw. das Tool der Firma FB Pro GmbH - https://www.fb-pro.com/audit-test-automation-package-audit-tap/). 

In kleineren Umgebungen, in denen bspw. mit Imaging von Windows 11 gearbeitet wird, können bei der Erstellung der Master-Images auch weitere Tools genutzt werden, die vor allem bei Telemetrie- und Datenschutzeinstellungen eine praktikable Lösung bieten:

• https://github.com/Raphire/Win11Debloat?tab=readme-ov-file (kostenloses PowerShell-Script zum Entfernen von Bloatware in Windows 11)
• https://www.oo-software.com/de/shutup10 (kostenfreie Anwendung für die Deaktivierung von Telemetrie-Einstellungen und Cloud-Funktionen in Windows 11)