BSI aktualisiert Mindestanforderungen für Rechenzentren des Bundes

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Mindeststandard zum HV-Benchmark kompakt 5.0 in der neuen Version 2.0 veröffentlicht. Darin wird nun das Niveau der Standard-Absicherung nach IT-Grundschutz als Maßstab angelegt. Der Mindeststandard legt Mindestwerte für die im „HV-Benchmark kompakt“ betrachteten Aspekte der Informationssicherheit fest, die von allen Rechenzentren der Bundesverwaltung erreicht werden müssen. Die Mindestwerte sind aus Sicht des BSI notwendig, um ein angemessenes Sicherheitsniveau bei normalem Schutzbedarf zu erreichen.

In der neuen Version des Mindeststandards zum HV-Benchmark kompakt 5.0 sind die Mindestwerte auf das Niveau der Standard-Absicherung nach IT-Grundschutz angehoben worden, um die Sicherheit in den Rechenzenten zu erhöhen und um die Vorgaben des zeitlich nach dem Mindeststandard verabschiedeten UP Bund 2017 umsetzen zu können. Der UP Bund 2017 legt für seinen Geltungsbereich fest, dass „bei Anwendung des modernisierten IT Grundschutzes die darin beschriebene Standard-Absicherung als Mindestanforderung [für die Bundesverwaltung]“ anzusehen ist. Zudem forderte der Haushaltsausschuss des Deutschen Bundestages per Maßgabebeschluss die Anhebung der Mindestwerte auf das Niveau der Standard-Absicherung nach IT-Grundschutz.

Neben der Anhebung der Mindestwerte sind der als erste Anlage des Mindeststandards angefügte HV-Benchmark kompakt und der Mindeststandard selbst redaktionell noch einmal überarbeitet worden. Im Zuge der Überarbeitung des Mindeststandards ist eine Hilfestellung zur Ermittlung individueller Sollwerte für ein Rechenzentrum oder für eine IT-Dienstleistung auf der Basis des HV-Benchmark kompakt als zweite Anlage des Mindeststandards neu aufgenommen worden.

Der HV-Benchmark kompakt ist eine komprimierte Version des HV-Benchmark. Beides sind gleichartige Bewertungsschemata, mit denen die Verlässlichkeit und insbesondere die Informationssicherheit einer IT-Dienstleistung oder eines Rechenzentrums gemessen und bewertet werden können. Die Bewertung und Messung erfolgt beim HV-Benchmark kompakt mit Hilfe von 34 besonders relevanten Aspekten der Informationssicherheit, sogenannten Indikatoren, unter der Nutzung von Reifegradmodellen. Da die 34 Indikatoren keine Vollständigkeit ermöglichen, kann die Einhaltung der Mindestwerte zum HV-Benchmark kompakt die Anwendung von etablierten Standards wie dem IT-Grundschutz nicht ersetzen. Vielmehr gibt die Anwendung des HV-Benchmark kompakt und der Vergleich mit den neuen Mindestwerten einen raschen Überblick über den Stand der Informationssicherheit bei dem betrachteten Rechenzentrum.