Kurz notiert: Neuer Beschaffungsleitfaden des BSI für „sichere IT“

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Leitfaden zur Beschaffung „sicherer“ IT herausgegeben. Dabei unterscheidet der Leitfaden vier „Schutzbedarfskategorien“, wobei Stufe vier als größtmögliche Gefährdung „gesundheitsschädliche Schäden oder Tod vieler Menschen“ umfasst.

Der Leitfaden zielt vor allem auf alle sicherheitskritischen und sensitiven Bereiche, die außerhalb der VS-Vorschriften liegen, denn diese könnten nach Auffassung des BSI im Hinblick auf die Schutzwürdigkeit genauso bedeutsam sein wie die als VS eingestuften Daten. Der Leitfaden sieht drei Schritte der Beschaffung sicherer IT-Produkte vor, beginnend mit der Festlegung der genannten Schutzbedarfskategorie, über die Analyse möglicher Angriffsrisiken (z.B.  in Abhängigkeit vom Grad der Vernetzung des betreffenden IT-Systems) bis zur daraus resultierenden Entscheidung für eine „Qualitätsklasse“ der zu beschaffenden IT. Diesen Qualitätsklassen sind vom BSI definierte Anforderungen zugeordnet.

Der Leitfaden findet sich auf der Homepage des BSI in der Publikationsliste, er ist – konsequenterweise – jedoch nicht frei abrufbar. Bundesbehörden finden den Leitfaden im Intranet des Bundes im Bereich Informationstechnik „Sicherheit in der IT“. BITKOM-Mitglieder nähere Informationen im Arbeitskreis Öffentliche Aufträge.