Anforderungen Umsetzungs-     R2 reihenfolge Weitere         OPS.2.1.A5: Festlegung einer Strategie zum Outsourcing relevante       OPS.2.1.A11: Planung und Aufrechterhaltung der Informationssicherheit im laufenden Anforderungen   Outsourcing-Betrieb OPS.2.1.A14: Notfallvorsorge beim Outsourcing; OPS.2.1.A16: Sicherheitsüberprüfung von Mitarbeitern Hinweis         Der Baustein OPS.2.1 ist für jeden Outsourcing-Dienstleister, der Dienstleistungen für ein Zielobjekt im Informationsverbund erbringt, aus Sicht des Anwenders separat einzusetzen. Besonderheiten OPS.2.1.A4 Da die Wahlen sonntags stattfinden sollten entsprechende Servicezeiten bzw. eine entsprechende Rufbereitschaft mit den Dienstleistern vereinbart werden. Des Weiteren sollten relevante Anforderungen aus diesem Katalog in Bezug auf die Dienstleistung gestellt werden. OPS.2.1.A8 Die Beschäftigten des Outsourcing-Dienstleisters sollten auch in ihre Aufgaben im Rahmen des Wahlprozesses und in die Informationssicherheitsregelungen eingewiesen werden. OPS.2.1.A14 Vor dem Wahlabend sollte rechtzeitig ein Notfallvorsorgekonzept erstellt und mit den Dienstleistern abgestimmt werden. Hierzu sollten die Abläufe und Zuständigkeiten geregelt sein. DER.1 – Detektion von sicherheitsrelevanten Ereignissen Umsetzungs-     R1 reihenfolge Anforderungen DER.1.A1: Erstellung einer Sicherheitsrichtlinie für die Detektion von sicherheitsrelevanten Ereignissen DER.1.A2: Einhaltung rechtlicher Bedingungen bei der Auswertung von Protokolldaten DER.1.A3: Festlegung von Meldewegen für sicherheitsrelevante Ereignisse DER.1.A4: Sensibilisierung der Mitarbeiter DER.1.A5: Einsatz von mitgelieferten Systemfunktionen zur Detektion; DER.1.A6: Kontinuierliche Überwachung und Auswertung von Protokolldaten DER.1.A8: Festlegung von zu schützenden Segmenten DER.1.A9: Einsatz zusätzlicher Detektionssysteme Besonderheiten DER.1.A3 Sicherheitsrelevante Ereignisse, welche im Zusammenhang mit den Schnellmeldungen auftreten, müssen schnellstmöglich der nächsten Instanz entlang des Prozesses der Schnellmeldungen gemeldet werden. Die Instanz muss anhand der Dringlichkeit des sicherheitsrelevanten Ereignisses entscheiden über den Umgang und die weitere Meldung, ggf. bis zum Bundeswahlleiter. DER.1.A9 Diese Anforderung zum Einsatz zusätzlicher Detektionssysteme sollte in den Wahlorganen und -behörden zur Anwendung kommen, wenn durch die Kumulierung von Wahlergebnissen mit einer signifikanten Auswirkung ein größeres Risiko entsteht. 38                                                               Bundesamt für Sicherheit in der Informationstechnik

Anforderungen DER.2.1 – Behandlung von Sicherheitsvorfällen Umsetzungs-          R1 reihenfolge Vorausgesetzte DER.2.1.A1: Definition eines Sicherheitsvorfalls Anforderungen DER.2.1.A2: Erstellung einer Richtlinie zur Behandlung von Sicherheitsvorfällen DER.2.1.A3: Festlegung von Verantwortlichkeiten und Ansprechpartnern bei Sicherheitsvorfällen DER.2.1.A4: Benachrichtigung betroffener Stellen bei Sicherheitsvorfällen DER.2.1.A5: Behebung von Sicherheitsvorfällen DER.2.1.A6: Wiederherstellung der Betriebsumgebung nach Sicherheitsvorfällen Weitere              DER.2.1.A7: Etablierung einer Vorgehensweise zur Behandlung von Sicherheitsvorfällen relevante            DER.2.1.A8: Aufbau von Organisationsstrukturen zur Behandlung von Anforderungen Sicherheitsvorfällen DER.2.1.A9: Festlegung von Meldewegen für Sicherheitsvorfälle DER.2.1.A10: Eindämmen der Auswirkung von Sicherheitsvorfällen DER.2.1.A11: Einstufung von Sicherheitsvorfällen DER.2.1.A12: Festlegung der Schnittstellen der Sicherheitsvorfallbehandlung zur Störungs- und Fehlerbehebung DER.2.1.A14: Eskalationsstrategie für Sicherheitsvorfälle DER.2.1.A16: Dokumentation der Behandlung von Sicherheitsvorfällen DER.2.1.A17: Nachbereitung von Sicherheitsvorfällen Besonderheiten DER.2.1.A7 Durch einen ungeeigneten Umgang mit Sicherheitsvorfällen können große Schäden entstehen, wenn bspw. Sicherheitslücken in den verwendeten IT-Systemen bekannt werden. Beschaffen sich Wahlorgane und -behörden diese Informationen nicht rechtzeitig und leitet sie die notwendigen Gegenmaßnahmen verzögert ein, können Sicherheitslücken von Angreifern ausgenutzt werden. Gerade aufgrund der brisanten Situation hinsichtlich festgestellter Mängel in Wahlsoftware, sollte eine Vorgehensweise zur Behandlung von Sicherheitsvorfällen etabliert werden. DER.2.1.A12 Um sicherzugehen, dass Störungsmeldungen auch hinsichtlich Sicherheitsgefahren bei den Schnellmeldungen untersucht und entsprechend behandelt werden, sollte eine Analyse der Schnittstellen der Sicherheitsvorfallbehandlung zur Störungs- und Fehlerbehebung durchgeführt werden. DER.2.1.A17 Anhand der Nachbereitung von relevanten Sicherheitsvorfällen in Bezug auf die Schnellmeldungen sollten Handlungsanweisungen generiert werden, um bei der nächsten Wahl bessere Vorkehrungen gegen Angriffe treffen zu können. Bundesamt für Sicherheit in der Informationstechnik                                                             39

Anforderungen DER.4 – Notfallmanagement Umsetzungs-      R1 reihenfolge Anforderungen DER.4.A1: Erstellung eines Notfallhandbuchs DER.4.A2: Integration von Notfallmanagement und Informationssicherheitsmanagement; DER.4.A3: Festlegung des Geltungsbereichs und der Notfallmanagementstrategie DER.4.A5: Aufbau einer geeigneten Organisationsstruktur für das Notfallmanagement DER.4.A8: Integration der Mitarbeiter in den Notfallmanagement-Prozess DER.4.A10: Tests und Notfallübungen DER.4.A16: Notfallvorsorge- und Notfallreaktionsplanung für ausgelagerte Komponenten Besonderheiten DER.4.A1 Vor dem Wahlabend sollte ein Notfallplan konzipiert werden, der das Vorgehen in Notfällen genau beschreibt und die Zuständigkeiten sowie Notrufnummern enthält. Diese Unterlage sollte allen Beteiligten rechtzeitig vor dem Wahlabend in ausgedruckter Form zur Verfügung gestellt werden. DER.4.A10 Wesentliche Sofortmaßnahmen und Notfallpläne sollten auch unter Berücksichtigung der besonderen Bedingungen, wie sie an einem Wahlsonntag vorherrschen, getestet werden. DER.4.A16 Die bei den Schnellmeldungen eingesetzten, an Dritte ausgelagerte Komponenten, sollten in die Notfallplanung und in die Notfallübungen miteinbezogen werden. 7.3        System-Bausteine Nachfolgend sind die Zielobjekte (gemäß gelisteter Referenzarchitektur) mit den entsprechenden Bausteinen aufgeführt. 7.3.1 Infrastruktur 7.3.1.1       Verwaltungsgebäude INF.1 – Allgemeines Gebäude Umsetzungs- R2 reihenfolge Vorausgesetzte INF.1.A1: Planung der Gebäudeabsicherung Anforderungen INF.1.A2: Angepasste Aufteilung der Stromkreise INF.1.A3: Einhaltung von Brandschutzvorschriften INF.1.A4: Branderkennung in Gebäuden INF.1.A5: Handfeuerlöscher INF.1.A6: Geschlossene Fenster und Türen INF.1.A7: Zutrittsregelung und -kontrolle INF.1.A8: Rauchverbot; INF.1.A9: Sicherheitskonzept für die Gebäudenutzung Weitere          INF.1.A11: Abgeschlossene Türen relevante        INF.1.A23: Bildung von Sicherheitszonen Anforderungen Zusätzliche Anforderung zur Vermeidung der Reinigung im Zeitraum der Schnellmeldung 40                                                                   Bundesamt für Sicherheit in der Informationstechnik

Anforderungen Umsetzungs-          R2 reihenfolge Hinweis              Die Anforderungen dieses Bausteins gelten für die Gebäude, welche von Kommunen, Bund und Ländern für die vorläufige Wahlergebnisermittlung genutzt werden. Sofern in Amtshilfe Räumlichkeiten anderer Gebietskörperschaften, Ressorts oder Einrichtungen mitgenutzt werden (sollen) und formal notwendige Vereinbarungen (z.B. Staatsverträge) nicht zeit- und situationsgerecht abgeschlossen werden können, sollte die Einhaltung der Anforderungen mit dem Gastgeber besprochen bzw. kompensatorische eigene Maßnahmen vorgesehen werden. Besonderheiten INF.1.A23 Für die Instanzen Länder und Bund sollten Räume ähnlichen Schutzbedarfs in Sicherheitszonen zusammengefasst werden. Es sollte ein Sicherheitszonenkonzept für das jeweilige Gebäude entwickelt und dokumentiert werden. Zusätzliche Anforderung zur Vermeidung der Reinigung Am Tag der Wahl bzw. während den Arbeiten für die Schnellmeldungen sollte keine Gebäudereinigung stattfinden, um mögliche Störungen oder Manipulationen der Daten zu vermeiden. INF.3 – Elektrotechnische Verkabelung Umsetzungs- R3 reihenfolge Vorausgesetzte INF.3.A1: Auswahl geeigneter Kabeltypen Anforderungen INF.3.A2: Planung der Kabelführung INF.3.A3: Fachgerechte Installation Weitere              INF.3.A5: Abnahme der elektrotechnischen Verkabelung relevante Anforderungen Hinweis              Bei Wahlen wird wegen dem temporären Aufbau von Technik häufig auch eine temporäre Elektroinstallation durchgeführt. Für diesen Fall ist der Baustein INF.3 zu berücksichtigen. Besonderheiten INF.3.A5 Wird für die Schnellwahl eine temporäre Verkabelung eingerichtet, sollte diese vorab geprüft und abgenommen werden. INF.4 – IT-Verkabelung Umsetzungs- R3 reihenfolge Vorausgesetzte INF.4.A1: Auswahl geeigneter Kabeltypen Anforderungen INF.4.A2: Planung der Kabelführung INF.4.A3: Fachgerechte Installation; INF.4.A9: Dokumentation und Kennzeichnung der IT-Verkabelung Weitere              INF.4.A5: Abnahme der IT-Verkabelung relevante Anforderungen Hinweis              Bei Wahlen ist wegen dem temporären Aufbau von Technik häufig auch eine temporäre Netzwerkinstallation vorzufinden. Für diesen Fall ist der Baustein INF.4 zu berücksichtigen. Bundesamt für Sicherheit in der Informationstechnik                                                           41

Anforderungen Umsetzungs- R3 reihenfolge Besonderheiten INF.3.A5 Die für die Schnellwahlen eingerichtete IT-Verkabelung sollte vorab geprüft und abgenommen werden. 7.3.1.2       Serverraum / Rechenzentrum INF.2 – Rechenzentrum sowie Serverraum Umsetzungs- R2 reihenfolge Vorausgesetzte INF.2.A1: Festlegung von Anforderungen Anforderungen INF.2.A2: Bildung von Brandabschnitten INF.2.A3: Einsatz einer unterbrechungsfreien Stromversorgung INF.2.A4: Notabschaltung der Stromversorgung INF.2.A5: Einhaltung der Lufttemperatur und -feuchtigkeit INF.2.A6: Zutrittskontrolle INF.2.A7: Verschließen und Sichern INF.2.A8: Einsatz einer Brandmeldeanlage INF.2.A9: Einsatz einer Lösch- oder Brandvermeidungsanlage INF.2.A10: Inspektion und Wartung der Infrastruktur INF.2.A11: Automatische Überwachung der Infrastruktur; INF.2.A15: Überspannungsschutzeinrichtung Weitere           INF.2.A17: Brandfrüherkennung; relevante         INF.2.A12: Perimeterschutz für das Rechenzentrum Anforderungen INF.2.A13: Planung und Installation von Gefahrenmeldeanlagen INF.2.A14: Einsatz einer Netzersatzanlage INF.2.A16: Klimatisierung im Rechenzentrum INF.2.A30: Anlagen zur Erkennung, Löschung oder Vermeidung von Bränden Hinweis           Bei relativ kleinen Wahlbehörden mit wenigen IT-Arbeitsplätzen und einem Server, der in einem separaten Raum steht, ist INF.5 anzuwenden. Bei größeren Informationsverbünden ist INF.2 auf jeden selbst betriebenen Serverraum anzuwenden. Insofern die IT extern gehostet wird, ist der jeweilige Dienstleister auf die Umsetzung dieses Bausteins zu verpflichten (vertragliche Vereinbarung der notwendigen Leistungen). Besonderheiten --- 42                                                                    Bundesamt für Sicherheit in der Informationstechnik

Anforderungen 7.3.1.3        Raum für technische Infrastruktur INF.5 – Raum sowie Schrank für technische Infrastruktur Umsetzungs- R2 reihenfolge Anforderungen INF.5.A1: Planung der Raumabsicherung INF.5.A2: Lage und Größe des Raumes für technische Infrastruktur INF.5.A3: Zutrittsregelung und -kontrolle [Informationssicherheitsbeauftragter INF.5.A4: Schutz vor Einbruch INF.5.A5: Vermeidung sowie Schutz vor elektromagnetischen Störfeldern INF.5.A6: Minimierung von Brandlasten INF.5.A7: Verhinderung von Zweckentfremdung; INF.5.A8: Vermeidung von unkontrollierter elektrostatischer Entladung INF.5.A9: Stromversorgung INF.5.A10: Einhaltung der Lufttemperatur und -feuchtigkeit INF.5.A11: Vermeidung von Leitungen mit gefährdenden Flüssigkeiten und Gasen INF.5.A12: Schutz vor versehentlicher Beschädigung von Zuleitungen INF.5.A13: Schutz vor Schädigung durch Brand und Rauchgase INF.5.A14: Minimierung von Brandgefahren aus Nachbarbereichen INF.5.A15: Blitz- und Überspannungsschutz INF.5.A16: Einsatz einer unterbrechungsfreien Stromversorgung INF.5.A17: Inspektion und Wartung der Infrastruktur Hinweis              Der Baustein INF.5 ist für Räume anzuwenden, in denen die technische Infrastruktur betrieben wird. Der Baustein ist ebenfalls anzuwenden, wenn stationäre Container, im Sinne eines großen Schranks, betrieben werden. Für Wahlorgane und -behörden mit wenigen IT-Arbeitsplätzen und einem Server, der in einem separaten Raum betrieben wird, genügt es oft, die Anforderungen des vorliegenden Bausteins anstatt des Bausteins INF.2 zu erfüllen. Besonderheiten INF.5.A10 Für die Ebenen Länder und Bund sollte sichergestellt werden, dass die Lufttemperatur und Luftfeuchtigkeit im Raum für technische Infrastruktur innerhalb der für die darin befindlichen Geräte angemessen sind. Bundesamt für Sicherheit in der Informationstechnik                                                           43

Anforderungen 7.3.1.4       Büroraum INF.7 – Büroarbeitsplatz Umsetzungs- R1 reihenfolge Vorausgesetzte INF.7.A1: Geeignete Auswahl und Nutzung eines Büroraumes Anforderungen INF.7.A2: Geschlossene Fenster und abgeschlossene Türen; INF.7.A5: Ergonomischer Arbeitsplatz INF.7.A6: Aufgeräumter Arbeitsplatz INF.7.A7: Geeignete Aufbewahrung dienstlicher Unterlagen und Datenträger Weitere          INF.7.A4: Zutrittsregelungen und -kontrolle; relevante        INF.7.A8: Einsatz von Diebstahlsicherungen Anforderungen Hinweis          Dieser Baustein ist auf jeden Büroraum (innerhalb der Verwaltungsgebäude oder sonstiger Gebäude von Bund und Ländern) anzuwenden, in denen sich Beschäftigte bzw. Mitglieder aufhalten, um dort ihre Aufgaben innerhalb des Informationsverbunds zu erledigen. Besonderheiten INF.7.A2 Es ist sicherzustellen, dass während der Zusammenfassung der Wahlergebnisse schädliche Einflüsse, z.B. durch Handlungen unbefugter Personen im Raum oder negative Einflüsse aufgrund offener Türen oder Fenster, weitestgehend minimiert werden. INF.7.A4 Da in Verwaltungen zeitweise Publikumsverkehr herrscht, sollten Vorkehrungen getroffen werden, damit Unbefugte die Büroräume, in welchen die Wahldaten konsolidiert oder kurzfristig aufbewahrt werden, nicht betreten können. INF.7.A8 Insbesondere in den Wahlräumen sollten Diebstahlsicherungen zum Schutz der Geräte und Daten eingesetzt werden. Damit soll einem Missbrauch der Geräte vorgebeugt werden. (Eine Diebstahlsicherung kann entbehrlich sein, wenn eine lückenlose Anwesenheit oder Beaufsichtigung durch Befugte sichergestellt werden kann.) 44                                                                Bundesamt für Sicherheit in der Informationstechnik

Anforderungen 7.3.1.5        Mobiler Arbeitsplatz INF.9 – Mobiler Arbeitsplatz Umsetzungs- R1 reihenfolge Vorausgesetzte INF.9.A1: Geeignete Auswahl und Nutzung eines mobilen Arbeitsplatzes Anforderungen INF.9.A2: Regelungen für mobile Arbeitsplätze INF.9.A3: Zutritts- und Zugriffsschutz INF.9.A4: Arbeiten mit fremden IT-Systemen; INF.9.A5: Zeitnahe Verlustmeldung INF.9.A6: Entsorgung von vertraulichen Informationen Weitere              INF.9.A8: Sicherheitsrichtlinie für mobile Arbeitsplätze relevante            INF.9.A9: Verschlüsselung tragbarer IT-Systeme und Datenträger Anforderungen Hinweis              Der Baustein ist hinzuzuziehen, wenn aufgrund von besonderen Umständen die Erledigung der Aufgaben bei der Ermittlung der Schnellmeldungen nur an einem mobilen Arbeitsplatz möglich ist. INF.9 ist dabei für alle Räumlichkeiten anzuwenden, in welchen mobil gearbeitet wird. Besonderheiten --- 7.3.1.6        Häuslicher Arbeitsplatz INF.8 – Häuslicher Arbeitsplatz Umsetzungs- R1 reihenfolge Vorausgesetzte INF.8.A1: Sichern von dienstlichen Unterlagen am häuslichen Arbeitsplatz Anforderungen INF.8.A2: Transport von Arbeitsmaterial zum häuslichen Arbeitsplatz INF.8.A3: Schutz vor unbefugtem Zutritt am häuslichen Arbeitsplatz; INF.8.A5: Entsorgung von vertraulichen Informationen am häuslichen Arbeitsplatz Weitere              --- relevante Anforderungen Hinweis              Dieser Baustein ist relevant, wenn aufgrund von Notfällen oder Krisen die Erledigung der Aufgaben für die Schnellmeldungen nur an einem häuslichen Arbeitsplatz möglich ist. Er hat dann für die Räume zu gelten, die als Telearbeitsplatz genutzt werden. Besonderheiten --- 7.3.1.7        Drucker- und Kopierraum INF.10 – Besprechungs-, Veranstaltungs-, Schulungsraum Umsetzungs-          R2 reihenfolge Vorausgesetzte INF.10.A1: Sichere Nutzung von Besprechungs-, Veranstaltungs- und Schulungsräumen Anforderungen INF.10.A2: Beaufsichtigung von Besuchern INF.10.A3: Geschlossene Fenster und Türen; INF.10.A7: Sichere Konfiguration von Schulungs- und Präsentationsrechnern Bundesamt für Sicherheit in der Informationstechnik                                                            45

Anforderungen Umsetzungs-       R2 reihenfolge Weitere           INF.10.A6: Einrichtung sicherer Netzzugänge relevante Anforderungen Hinweis           Im kommunalen Bereich befinden sich Drucker, Kopierer oder Multifunktionsgeräte häufig in nicht zutrittsgesicherten Bereichen. Da Bürger in der Regel einen ungehinderten Zutritt in das Rathaus bzw. Kreishaus haben, ist somit auch der freie Zugang zu den Druckern und Kopierern möglich. Aufgrund dieser Gegebenheit eignet sich der Baustein INF.10 für entsprechende Anforderungen. Besonderheiten --- 7.3.2 IT-Systeme 7.3.2.1       Server SYS.1.1 – Allgemeiner Server Umsetzungs- R2 reihenfolge Vorausgesetzte SYS.1.1.A1: Geeignete Aufstellung Anforderungen SYS.1.1.A2: Benutzerauthentisierung an Servern SYS.1.1.A3: Restriktive Rechtevergabe SYS.1.1.A4: Rollentrennung SYS.1.1.A5: Schutz der Administrationsschnittstellen SYS.1.1.A6: Deaktivierung nicht benötigter Dienste und Kennungen SYS.1.1.A7: Updates und Patches für Firmware, Betriebssystem und Anwendungen SYS.1.1.A8: Regelmäßige Datensicherung SYS.1.1.A9: Einsatz von Virenschutz-Programmen SYS.1.1.A10: Protokollierung; SYS.1.1.A15: Unterbrechungsfreie und stabile Stromversorgung SYS.1.1.A17: Einsatzfreigabe für Server SYS.1.1.A21: Betriebsdokumentation für Server SYS.1.1.A25: Geregelte Außerbetriebnahme eines Servers Weitere           SYS.1.1.A11: Festlegung einer Sicherheitsrichtlinie für Server relevante         SYS.1.1.A12: Planung des Server-Einsatzes Anforderungen SYS.1.1.A14: Erstellung eines Benutzer- und Administrationskonzepts SYS.1.1.A16: Sichere Installation und Grundkonfiguration von Servern SYS.1.1.A18: Verschlüsselung der Kommunikationsverbindungen SYS.1.1.A19: Einrichtung lokaler Paketfilter SYS.1.1.A20: Beschränkung des Zugangs über Netze SYS.1.1.A22: Einbindung in die Notfallplanung SYS.1.1.A23: Systemüberwachung und Monitoring von Servern SYS.1.1.A24: Sicherheitsprüfungen; SYS.1.1.A26: Verwendung von Mehr-Faktor-Authentisierung SYS.1.1.A28: Steigerung der Verfügbarkeit durch Redundanz SYS.1.1.A31: Application Whitelisting Hinweis           Dieser Baustein ist für alle allgemeinen Server-Systeme mit beliebigem Betriebssystem anzuwenden, die eine Rolle spielen bei der Ermittlung der vorläufigen Wahlergebnisse. 46                                                                   Bundesamt für Sicherheit in der Informationstechnik

Anforderungen Umsetzungs- R2 reihenfolge Besonderheiten SYS.1.1.A26 Insofern eine Multi-Faktor-Authentisierung notwendig ist, sollte diese von der empfangenden Instanz implementiert und verwendet werden. SYS.1.1.A28 Für die Server der Länder und des Bundes sollten für die Schnellmeldungen geeignete Redundanzen verfügbar sein, um Ausfälle zu vermeiden. SYS.1.1.A31 Auf den Ebenen der Länder und des Bundes sollte über Application Whitelisting sichergestellt werden, dass nur erlaubte Programme ausgeführt werden. SYS.1.2.2 – Windows Server 2012 Umsetzungs- R2 reihenfolge Anforderungen SYS.1.2.2.A2: Sichere Installation von Windows Server 2012 SYS.1.2.2.A3: Sichere Administration von Windows Server 2012 SYS.1.2.2.A4: Sichere Konfiguration von Windows Server 2012 SYS.1.2.2.A5: Schutz vor Schadsoftware auf Windows Server 2012 SYS.1.2.2.A6: Sichere Authentisierung und Autorisierung in Windows Server 2012 SYS.1.2.2.A8: Schutz der Systemintegrität SYS.1.2.2.A9: Lokale Kommunikationsfilterung Hinweis              Dieser Baustein ist für alle Server-Systeme anzuwenden, auf denen das Betriebssystem Microsoft Windows Server 2012 eingesetzt wird und die eine Rolle spielen bei der Ermittlung der vorläufigen Wahlergebnisse. (Im IT-Grundschutz-Kompendium 2021 wird der neue Baustein SYS.1.2.3 für Windows Server 2019 enthalten sein.) Besonderheiten --- SYS.1.3 – Server unter Linux und Unix Umsetzungs- R2 reihenfolge Anforderungen SYS.1.3.A1: Authentisierung von Administratoren und Benutzern SYS.1.3.A2: Sorgfältige Vergabe von IDs SYS.1.3.A3: Kein automatisches Einbinden von Wechsellaufwerken SYS.1.3.A4: Schutz vor Ausnutzung von Schwachstellen in Anwendungen SYS.1.3.A5: Sichere Installation von Software-Paketen; SYS.1.3.A6: Verwaltung von Benutzern und Gruppen SYS.1.3.A8: Verschlüsselter Zugriff über Secure Shell SYS.1.3.A9: Absicherung des Bootvorgangs SYS.1.3.A10: Verhinderung der Ausbreitung bei der Ausnutzung von Schwachstellen SYS.1.3.A11: Einsatz der Sicherheitsmechanismen von NFS SYS.1.3.A12: Einsatz der Sicherheitsmechanismen von NIS Hinweis              Der Baustein SYS.1.3 ist für alle Server-Systeme anzuwenden, auf denen Linux- oder Unix- basierte Betriebssysteme eingesetzt werden und die eine Rolle spielen bei der Ermittlung der vorläufigen Wahlergebnisse. Bundesamt für Sicherheit in der Informationstechnik                                                            47