CON: Konzepte und Vorgehensweisen                                                                             CON.5 2 Gefährdungslage Folgende spezifische Bedrohungen und Schwachstellen sind für den Baustein CON.5 Entwicklung und Einsatz von Individualsoftware von besonderer Bedeutung: 2.1 Ungeeignete Verwaltung von Zugangs- und Zugriffsrechten Wenn die Vergabe von Zugangs- und Zugriffsrechten schlecht geregelt ist, führt das schnell zu gravierenden Sicher- heitslücken, z. B. durch eine zu freizügige oder zu komplizierte Rechtevergabe. So kann es etwa sein, dass Benutzer Berechtigungen auf Zuruf erhalten. Umgekehrt ist es auch möglich, dass Berechtigungen über unnötig kompli- zierte Wege vergeben werden. So können einerseits fehlende Berechtigungen die tägliche Arbeit behindern. Ande- rerseits kann es dazu kommen, dass Berechtigungen vergeben werden, obwohl sie gar nicht erforderlich sind. Auf diese Weise kann ein Sicherheitsrisiko entstehen. 2.2 Unzulängliche vertragliche Regelungen mit externen Dienstleistern Aufgrund von unzulänglichen vertraglichen Regelungen mit externen Dienstleistern können vielfältige und schwer- wiegende Sicherheitsprobleme auftreten. Dies gilt insbesondere bei der Erstellung, der Einführung, der Unterstüt- zung und bei der Wartung der Anwendung. Sind Aufgaben, Leistungsparameter oder der Aufwand ungenügend oder missverständlich beschrieben, können Sicherheitsmaßnahmen möglicherweise aus Unkenntnis oder aufgrund mangelnder Qualifizierung oder fehlender Ressourcen nicht umgesetzt werden. Dies kann viele negative Auswir- kungen nach sich ziehen, etwa wenn regulatorische Anforderungen und Pflichten nicht erfüllt werden, Auskunfts- pflichten und Gesetze nicht eingehalten werden oder keine Verantwortung übernommen wird, weil Kontroll- und Steuerungsmöglichkeiten fehlen. 2.3 Software-Konzeptionsfehler Werden Anwendungen, Programme und Protokolle konzeptioniert, können sicherheitsrelevante Konzeptionsfeh- ler entstehen. Diese ergeben sich häufig daraus, dass Anwendungsmodule und Protokolle, die für einen bestimm- ten Zweck vorgesehen sind, in anderen Einsatzszenarien wiederverwendet werden. Sind dann andere Sicherheits- vorgaben relevant, kann dies zu massiven Sicherheitsproblemen führen, zum Beispiel wenn Anwendungsmodule und Protokolle, die eigentlich für abgeschottete betriebliche Umgebungen vorgesehen sind, an das Internet ange- bunden werden. 2.4 Undokumentierte Funktionen Viele Anwendungen enthalten vom Hersteller eingebaute, undokumentierte Funktionen, häufig für Entwicklungs- oder Supportzwecke. Diese sind den Benutzern meistens nicht bekannt. Undokumentierte Funktionen sind dann problematisch, wenn sie es erlauben, dass wesentliche Sicherheitsmechanismen umgangen werden, wie z. B. zum Zugriffsschutz. Dies kann die Vertraulichkeit, Integrität und Verfügbarkeit der verarbeiteten Daten erheblich beein- trächtigen. 2.5 Fehlende oder unzureichende Sicherheitsmaßnahmen in Anwendungen Sicherheitsmechanismen oder Sicherheitsfunktionen sollen in der Anwendung sicherstellen, dass bei der Verarbei- tung von Informationen die Vertraulichkeit, Integrität und Verfügbarkeit im benötigten Maße gewährleistet wer- den können. Häufig steht bei der Entwicklung einer Anwendung aber die fachliche Funktionalität oder der Zeit- und Kostenrahmen im Vordergrund. So können wichtige Sicherheitsmechanismen zu schwach ausgeprägt sein, sodass sie einfach umgangen werden können oder sogar ganz fehlen. 3 Anforderungen Im Folgenden sind die spezifischen Anforderungen des Bausteins CON.5 Entwicklung und Einsatz von Individual- software aufgeführt. Grundsätzlich ist der die Anwendung einsetzende Fachbereich für die Erfüllung dieser Anfor- derungen zuständig. Der Informationssicherheitsbeauftragte (ISB) ist bei strategischen Entscheidungen stets einzu- beziehen. Außerdem ist der ISB dafür zuständig, dass alle Anforderungen gemäß dem festgelegten Sicherheitskon- zept erfüllt und überprüft werden. Zusätzlich kann es noch andere Rollen geben, die weitere Zuständigkeiten bei 2                                                                     IT-Grundschutz-Kompendium: Stand Februar 2020

CON.5                                                                       CON: Konzepte und Vorgehensweisen der Umsetzung von Anforderungen haben. Diese sind dann jeweils explizit in eckigen Klammern in der Überschrift der jeweiligen Anforderungen aufgeführt. Grundsätzlich zuständig             Fachverantwortliche Weitere Zuständigkeiten             Beschaffer, IT-Betrieb, Notfallbeauftragter 3.1 Basis-Anforderungen Die folgenden Anforderungen MÜSSEN für den Baustein CON.5 Entwicklung und Einsatz von Individualsoftware vorrangig erfüllt werden: CON.5.A1 Festlegung benötigter Sicherheitsfunktionen der Individualsoftware [IT-Betrieb] (B) Der Fachverantwortliche MUSS bereits bei der Anforderungserhebung und -dokumentation die erforderlichen Si- cherheitsfunktionen für die Individualsoftware definieren. Hierzu MÜSSEN die mit der Individualsoftware verarbei- teten Informationen und deren Schutzbedarf sowie die damit verbundenen Geschäftsprozesse betrachtet werden. Vom IT-Betrieb MÜSSEN die Sicherheitsfunktionen zur Integration in die IT-betriebliche Infrastruktur definiert wer- den. Die Sicherheitsfunktionen MÜSSEN geeignet dokumentiert werden. CON.5.A2 ENTFALLEN (B) Diese Anforderung ist entfallen. CON.5.A3 Sichere Installation von Individualsoftware [IT-Betrieb] (B) Es MUSS eine Installationsanweisung erstellt werden, die alle benötigten Anwendungskomponenten (einschließ- lich erforderlicher Bibliotheken), die Installationsreihenfolge und die Konfiguration der Anwendungsmodule ent- hält. Der IT-Betrieb MUSS die Installationsanweisung auf die IT-betrieblichen Strukturen der Institution anpassen. Ebenso MUSS der IT-Betrieb die Individualsoftware gemäß der Installationsanweisung installieren. Bei Änderungen in der Anwendung und bei funktionalen Updates MUSS die Installationsanweisung aktualisiert werden. CON.5.A4 Heranführen von Benutzerinnen und Benutzern an Individualsoftware (B) Alle Benutzer der Individualsoftware, darunter auch die zuständigen Administratoren, MÜSSEN an die korrekte Nutzung und Administration der Anwendung einschließlich der Sicherheitsfunktionen herangeführt werden. Hierzu SOLLTEN Richtlinien und Arbeitsanweisungen zur Nutzung und Administration der Anwendung, Schulun- gen und Einweisungen, Handbücher und Online-Hilfen sowie eine Benutzerunterstützung durch Schlüsselanwen- der angeboten werden. CON.5.A5 ENTFALLEN (B) Diese Anforderung ist entfallen. 3.2 Standard-Anforderungen Gemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand der Technik für den Baustein CON.5 Entwicklung und Einsatz von Individualsoftware. Sie SOLLTEN grundsätzlich erfüllt werden. CON.5.A6 Dokumentation der Anforderungen an die Individualsoftware (S) Alle relevanten Anforderungen an die Individualsoftware SOLLTEN umfassend dokumentiert werden. Diese Doku- mentation SOLLTE bei Änderungen an der Individualsoftware sowie bei funktionalen Updates aktualisiert werden. CON.5.A7 ENTFALLEN (S) Diese Anforderung ist entfallen. IT-Grundschutz-Kompendium: Stand Februar 2020                                                                     3

CON: Konzepte und Vorgehensweisen                                                                            CON.5 CON.5.A8 Geeignete Steuerung der Anwendungsentwicklung (S) Bei der Entwicklung von Individualsoftware SOLLTE ein geeignetes Steuerungs- und Projektmanagementmodell verwendet werden. Dabei SOLLTE insbesondere berücksichtigt werden, dass das benötigte Personal ausreichend qualifiziert ist und alle relevanten Phasen während des Lebenszyklus der Software abgedeckt werden. Außerdem SOLLTE es ein geeignetes Entwicklungsmodell, ein Risikomanagement sowie Qualitätsziele enthalten. CON.5.A9 Außerbetriebnahme von Individualsoftware (S) Die Außerbetriebnahme von Individualsoftware SOLLTE durch den IT-Betrieb geplant werden. Der Fachverantwortli- che SOLLTE für alle Daten mit dem IT-Betrieb klären, ob diese migriert, archiviert oder gelöscht werden. Nicht mehr benötigte Daten SOLLTEN sicher gelöscht werden. Die Außerbetriebnahme von Individualsoftware sowie der zuge- hörigen IT-Systeme und Datenträger SOLLTE vom IT-Betrieb nachvollziehbar dokumentiert werden. CON.5.A10 ENTFALLEN (S) Diese Anforderung ist entfallen. CON.5.A11 Geeignete und rechtskonforme Beschaffung [Beschaffer] (S) Wird Individualsoftware beschafft, SOLLTEN die bestehenden rechtlichen und organisatorischen Vorgaben vom Be- schaffer berücksichtigt werden. Werden bei der Beschaffung, Entwicklung oder dem Betrieb einer Anwendung Dienstleister einbezogen, SOLLTEN in den Verträgen die relevanten Sicherheitsaspekte behandelt werden. In der Institution SOLLTEN definierte Prozesse und festgelegte Ansprechpartner existieren, die sicherstellen, dass die jeweiligen Rahmenbedingungen berücksichtigt werden. Es SOLLTE geklärt werden, welche Rolle Zertifizierun- gen bei der Entscheidung zur Vergabe spielen. 3.3 Anforderungen bei erhöhtem Schutzbedarf Im Folgenden sind für den Baustein CON.5 Entwicklung und Einsatz von Individualsoftware exemplarische Vor- schläge für Anforderungen aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausge- hen und BEI ERHÖHTEM SCHUTZBEDARF in Betracht gezogen werden SOLLTEN. Die konkrete Festlegung erfolgt im Rahmen einer Risikoanalyse. CON.5.A12 Treuhänderische Hinterlegung (H) Für institutionskritische Anwendungen SOLLTE geprüft werden, ob diese gegen Ausfall des Herstellers abgesichert werden sollten. Dafür SOLLTEN nicht zum Lieferumfang der Anwendung gehörende Materialien und Informatio- nen treuhänderisch hinterlegt werden, etwa bei einer Escrow-Agentur. Dazu SOLLTEN dokumentierter Code, Kons- truktionspläne, Schlüssel oder Passwörter gehören. In diesem Fall SOLLTEN die Pflichten der Escrow-Agentur zur Hinterlegung und Herausgabe vertraglich geregelt werden. Es SOLLTE geklärt werden, wann das Hinterlegte an wen herausgegeben werden darf. CON.5.A13 Entwicklung eines Redundanzkonzeptes für Anwendungen [IT-Betrieb, Notfallbeauftragter] (H) Es SOLLTE ein Redundanzkonzept vom IT-Betrieb in Abstimmung mit dem Fachverantwortlichen erstellt werden. Dieses SOLLTE folgende Aspekte beinhalten: • Planung eines eingeschränkten IT-Betriebs sowie der Wiederherstellung im Notfall (Notfallvorsorgekonzeption), • Redundanz auf Anwendungsebene mittels Loadbalancing oder Anwendungsclustern beziehungsweise Cloud- Services, • Möglichkeiten, die Anwendung auf andere IT-Systeme zu übertragen. Ergänzend SOLLTE das Redundanzkonzept auch Gebäude, Räume, IT-Systeme und Kommunikationsverbindungen einbeziehen, die für den Anwendungsbetrieb benötigt werden. Das Redundanzkonzept SOLLTE zwischen dem IT- Betrieb und dem Notfallbeauftragten mit Hinsicht auf das Notfallkonzept abgestimmt werden. Die Maßnahmen aus dem Redundanzkonzept SOLLTEN regelmäßig getestet und geübt werden. 4                                                                     IT-Grundschutz-Kompendium: Stand Februar 2020

CON.5                                                                    CON: Konzepte und Vorgehensweisen 4 Weiterführende Informationen 4.1 Wissenswertes Die International Organization for Standardization (ISO) gibt • in der Norm ISO/IEC 12207:2008, „System and software engineering – Software life cycle process“ einen Über- blick über alle Bestandteile des Lebenszyklus einer Software, • in der Norm ISO/IEC 15408-2:2008, „Information technology – Security techniques – Evaluation criteria for IT security – Part 2: Security functional components“ einen Überblick über die Möglichkeiten der Systemabsiche- rung und • in der Norm ISO/IEC 27001:2013, „Information technology – Security technigues – Information security mana- gement systems – Requirements“ im Annex A, A.14 System acquisition, development and maintenance“ Anfor- derungen an die System-Entwicklung und den -betrieb. Das Infomation Security Forum (ISF) macht in seinem Standard „The Standard of Good Practice for Information Security“ in der „Area BA Business Application Management“ Anforderungen an das Management von Business- Anwendungen. Das National Institute of Standards and Technology stellt in der „NIST Special Publication 800-53“ im Apendix F-SA „Family: System and Services acquisition, Family: System and communications protection and Family: System and information integrity“ weitergehende Anforderungen an den Umgang mit Individualsoftware. 5 Anlage: Kreuzreferenztabelle zu elementaren Gefährdungen Die Kreuzreferenztabelle enthält die Zuordnung von elementaren Gefährdungen zu den Anforderungen. Anhand dieser Tabelle lässt sich ermitteln, welche elementaren Gefährdungen durch welche Anforderungen abgedeckt sind. Durch die Umsetzung der aus den Anforderungen abgeleiteten Sicherheitsmaßnahmen wird den entspre- chenden elementaren Gefährdungen entgegengewirkt. Die Buchstaben in der zweiten Spalte (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit) zeigen an, welche Grundwerte der Informationssicherheit durch die Anforderung vorrangig geschützt werden. Die folgenden elementaren Gefährdungen sind für den Baustein CON.5 Entwicklung und Einsatz von Individual- software von Bedeutung. G 0.18     Fehlplanung oder fehlende Anpassung G 0.19     Offenlegung schützenswerter Informationen G 0.25     Ausfall von Geräten oder Systemen G 0.27     Ressourcenmangel G 0.29     Verstoß gegen Gesetze oder Regelungen G 0.31     Fehlerhafte Nutzung oder Administration von Geräten und Systemen G 0.45     Datenverlust IT-Grundschutz-Kompendium: Stand Februar 2020                                                                  5

CON: Konzepte und Vorgehensweisen                                                        CON.5 Elementare    CIA-   G 0.18     G 0.19 G 0.25 G 0.27       G 0.29      G 0.31       G 0.45 Gefährdungen  Werte Anforderungen CON.5.A1               X CON.5.A2 CON.5.A3               X                                                 X CON.5.A4                                                                 X CON.5.A5 CON.5.A6               X CON.5.A7 CON.5.A8               X                         X CON.5.A9               X          X                                                   X CON.5.A10 CON.5.A11              X                                     X CON.5.A12      CA                                                                     X CON.5.A13      A                         X       X                                    X 6                                                 IT-Grundschutz-Kompendium: Stand Februar 2020

CON.6                                                                       CON: Konzepte und Vorgehensweisen CON.6: Löschen und Vernichten 1 Beschreibung 1.1 Einleitung Damit Informationen nicht in falsche Hände geraten, ist eine geregelte Vorgehensweise erforderlich, um Daten und Datenträger vollständig und zuverlässig zu löschen oder zu vernichten. Dabei müssen schutzbedürftige Informatio- nen, die auf analogen und digitalen Datenträgern gespeichert sind, berücksichtigt werden. Wenn nicht oder nur unzureichend gelöschte Datenträger weitergegeben, verkauft oder ausgesondert werden, können dadurch unbeabsichtigt schützenswerte Informationen in falsche Hände gelangen. Dadurch können er- hebliche Schäden entstehen. Jede Institution muss deshalb eine Vorgehensweise zum sicheren Löschen und Ver- nichten von Informationen etablieren. 1.2 Zielsetzung In diesem Baustein wird beschrieben, wie Informationen in Institutionen sicher gelöscht und vernichtet werden können und wie ein entsprechendes Konzept dazu erstellt wird. 1.3 Abgrenzung und Modellierung Der Baustein CON.6Löschen und Vernichtenist für den gesamten Informationsverbund einmal anzuwenden. Der Baustein beinhaltet nur die allgemeinen prozessualen, technischen und organisatorischen Anforderungen an das Löschen und Vernichten. Spezifische Anforderungen zum Löschen und Vernichten von Informationen finden sich hierüber hinaus in den ein- zelnen Bausteinen der Schichten CON Konzepte und Vorgehensweisen, ISMS Sicherheitsmanagement, ORP Orga- nisation und Personal, OPS Betrieb, DER Detektion und Reaktion, IND Industrielle IT, APP Anwendungen, SYS IT- Systeme, NET Netze und Kommunikation und INF Infrastruktur. Vor allem die Bausteine CON.3 Datensicherungs- konzept, OPS 1.2.2 Archivierung und CON.9 Informationsaustausch sind zusätzlich zu berücksichtigen, da diese Themen immer in Verbindung mit dem Löschen und Vernichten zu behandeln sind. 2 Gefährdungslage Folgende spezifische Bedrohungen und Schwachstellen sind für den Baustein CON.6 Löschen und Vernichten von besonderer Bedeutung: 2.1 Fehlende oder unzureichend dokumentierte Regelungen beim Löschen und Vernichten Wenn es keine sicheren Prozesse und Verfahrensweisen für das Löschen und Vernichten von Informationen und Datenträgern gibt oder diese nicht korrekt angewendet werden, können vertrauliche Informationen in die falschen Hände geraten. Diese Gefahr ist bei Datenträgern und IT-Systemen, die ausgesondert werden sollen, besonders hoch, da nicht immer sofort ersichtlich ist, welche (Rest-) Informationen sich auf diesen befinden. Diese Informatio- nen könnten durch unbefugte Dritte ausgelesen oder entwendet werden. Wenn darunter institutionskritische In- formationen sind, wäre die gesamte Institution gefährdet. IT-Grundschutz-Kompendium: Stand Februar 2020                                                                       1

CON: Konzepte und Vorgehensweisen                                                                                CON.6 2.2 Vertraulichkeitsverlust durch Restinformationen auf Datenträgern Bei den meisten Dateisystemen werden Dateien, die gelöscht werden, nicht wirklich vernichtet. Es werden lediglich die Verweise auf die Datei aus den Verwaltungsinformationen des Dateisystems entfernt und die zu der Datei gehö- renden Blöcke als frei markiert. Der tatsächliche Inhalt der Blöcke auf dem Datenträger bleibt jedoch erhalten und kann mit entsprechenden Werkzeugen rekonstruiert werden. Dadurch können Angreifer auf die Datei zugreifen, z. B. wenn solche Datenträger an Dritte weitergegeben oder ungeeignet entsorgt werden. So könnten vertrauliche Informationen nach außen gelangen. 2.3 Unstrukturierte Datenhaltung Durch unzureichende Vorgaben sowie fehlende Schulung der Mitarbeiter können Informationen unübersichtlich auf Datenträgern gespeichert werden. Das kann dazu führen, dass Informationen nicht vollständig gelöscht wer- den können, da kein Zuständiger mehr weiß, was in welchen Dateien gespeichert ist. Auch können Angreifer even- tuell unbemerkt auf Informationen zugreifen, wenn viele Kopien einer Datei existieren und diese in verschiedenen Verzeichnissen mit unterschiedlichen Schutzfunktionen vorliegen. Kopien werden oft nicht nur in verschiedenen Verzeichnissen eines Datenträgers abgelegt. Viel kritischer ist es, wenn mehrere Kopien auf unterschiedlichen Da- tenträgern abgelegt werden und nicht mehr ersichtlich ist, wo was wann abgelegt wurde. Das Risiko wird noch größer, wenn die Datenträger dezentral beschafft und nicht kontrolliert werden. Eine unstrukturierte Datenhaltung gefährdet somit die Verfügbarkeit, Integrität und Verfügbarkeit der Daten. 2.4 Verlust der Vertraulichkeit durch Auslagerungs- und temporäre Dateien In Auslagerungsdateien oder Auslagerungspartitionen befinden sich mitunter vertrauliche Daten, z. B. Passwörter oder kryptografische Schlüssel. Die Auslagerungsdateien und deren Inhalte sind jedoch nicht geschützt. Sie können z. B. ausgelesen werden, wenn die Festplatte ausgebaut und in einem anderen IT-System wieder eingebaut wird. Auch fallen im laufenden Betrieb vieler Anwendungen Dateien an, die nicht für den produktiven Betrieb benötigt werden, z. B. die Browser-Historie. Auch diese Dateien können sicherheitsrelevante Informationen enthalten. Wer- den Auslagerungsdateien oder temporäre Dateien nicht sicher gelöscht, können schützenswerte Informationen, Passwörter und Schlüssel von Unbefugten missbraucht werden, um sich einen Zugang zu weiteren IT-Systemen und Daten zu verschaffen, Wettbewerbsvorteile auf dem Markt zu erlangen oder gezielt Benutzerverhalten auszu- spionieren. 2.5 Ungeeignete Entsorgung der Datenträger und Dokumente Wenn Datenträger oder Dokumente nicht geeignet entsorgt werden, können daraus eventuell Informationen ex- trahiert werden, die Dritten nicht in die Hände fallen sollten. So können Angreifer z. B. Datenträger aus unzurei- chend gesicherten Entsorgungseinrichtungen stehlen. Auch wenn beauftragte Entsorgungsdienstleister ungenü- gend kontrolliert werden, kann die Vertraulichkeit nicht ausreichend sichergestellt werden. 3 Anforderungen Im Folgenden sind die spezifischen Anforderungen des Bausteins CON.6 Löschen und Vernichten aufgeführt. Grundsätzlich ist der Informationssicherheitsbeauftragte (ISB) dafür zuständig, dass alle Anforderungen gemäß dem festgelegten Sicherheitskonzept erfüllt und überprüft werden. Zusätzlich kann es noch andere Rollen geben, die weitere Zuständigkeiten bei der Umsetzung von Anforderungen haben. Diese sind dann jeweils explizit in ecki- gen Klammern in der Überschrift der jeweiligen Anforderungen aufgeführt. Grundsätzlich zuständig             Informationssicherheitsbeauftragter (ISB) Weitere Zuständigkeiten             Beschaffungsstelle, Datenschutzbeauftragter, Fachverantwortliche, IT-Betrieb, Leiter Haustechnik, Leiter IT, Leiter Organisation, Mitarbeiter 2                                                                      IT-Grundschutz-Kompendium: Stand Februar 2020

CON.6                                                                     CON: Konzepte und Vorgehensweisen 3.1 Basis-Anforderungen Die folgenden Anforderungen MÜSSEN für den Baustein CON.6 Löschen und Vernichten vorrangig erfüllt werden: CON.6.A1 Regelung der Vorgehensweise für die Löschung und Vernichtung von Informationen [Leiter IT, Leiter Organisation] (B) Die Institution MUSS das Löschen und Vernichten von Informationen und ihrer Träger regeln. Dabei MUSS je nach Organisationseinheit geregelt werden, welche Informationen und Betriebsmittel unter welchen Voraussetzungen gelöscht und entsorgt werden dürfen. Ebenso MUSS festgelegt werden, in welchen räumlichen Bereichen Entsor- gungs- und Vernichtungseinrichtungen aufgebaut werden sollen. Außerdem MUSS schon in der Planungsphase festgelegt sein, wer für das Löschen und Vernichten von Informatio- nen und Betriebsmitteln zuständig ist. Es MUSS geklärt sein, welche Schnittstellen es zwischen den Organisations- einheiten gibt. Ebenso MUSS der Informationsfluss intern und zwischen den Zuständigen der Institution mit mögli- chen Outsourcing-Dienstleistern geregelt werden. CON.6.A2 Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln und Informationen [Mitarbeiter, Leiter Haustechnik, Leiter IT] (B) Alle schutzbedürftigen Informationen und Betriebsmittel MÜSSEN sicher entsorgt werden. Zu diesem Zweck MÜS- SEN abgesicherte und geeignete Entsorgungseinrichtungen auf dem Gelände der Institution verfügbar sein. Dabei MUSS auch berücksichtigt werden, dass Informationen und Betriebsmittel eventuell erst gesammelt und dann spä- ter entsorgt werden. Eine solche zentrale Sammelstelle MUSS vor unbefugten Zugriffen abgesichert werden. Wenn externe Dienstleister beauftragt werden, MUSS der Entsorgungsvorgang ausreichend sicher und nachvoll- ziehbar sein. Die mit der Entsorgung beauftragten Unternehmen SOLLTEN regelmäßig daraufhin überprüft werden, ob der Entsorgungsvorgang noch korrekt abläuft. 3.2 Standard-Anforderungen Gemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand der Technik für den Baustein CON.6 Löschen und Vernichten. Sie SOLLTEN grundsätzlich erfüllt werden. CON.6.A3 Löschen der Datenträger vor und nach dem Austausch [IT-Betrieb, Mitarbeiter] (S) Bevor bereits benutzte Datenträger weitergegeben oder noch einmal eingesetzt werden, SOLLTEN alle Daten da- rauf sicher gelöscht werden. Dazu SOLLTEN den Mitarbeitern geeignete Verfahren zur Verfügung stehen. CON.6.A4 Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Datenträgern [Leiter IT, Leiter Organisation] (S) Für das Löschen und Vernichten SOLLTEN geeignete Verfahren ausgewählt werden. Für alle eingesetzten Datenträ- gerarten SOLLTE es geeignete Geräte und Werkzeuge geben, mit denen der verantwortliche Mitarbeiter die gespei- cherten Informationen löschen oder vernichten kann. Die ausgewählten Verfahrensweisen SOLLTEN allen Mitarbei- tern bekannt sein. Es SOLLTE regelmäßig kontrolliert werden, ob die gewählten Verfahren noch dem Stand der Technik entsprechen und für die Institution noch ausreichend sicher sind. CON.6.A5 Geregelte Außerbetriebnahme von IT-Systemen und Datenträgern [IT-Betrieb, Mitarbeiter, Fachverantwortliche, Leiter IT] (S) Es SOLLTE geregelt und dokumentiert werden, wie IT-Systeme und Datenträger außer Betrieb zu nehmen sind. Da- bei SOLLTE sichergestellt sein, dass vor der Aussonderung alle auf einem IT-System oder Datenträger gespeicherten Informationen sicher gelöscht sind. Bei der Aussonderung SOLLTEN neben „klassischen“ IT-Systemen auch alle IT- Systeme berücksichtigt werden, die nichtflüchtige Speicherelemente enthalten. CON.6.A6 Einweisung aller Mitarbeiter in die Methoden zur Löschung oder Vernichtung von Informationen [Leiter IT] (S) Alle Mitarbeiter SOLLTEN in die Methoden und Verfahrensweisen zum Löschen und Vernichten von Informationen eingewiesen werden. IT-Grundschutz-Kompendium: Stand Februar 2020                                                                   3

CON: Konzepte und Vorgehensweisen                                                                             CON.6 CON.6.A7 Beseitigung von Restinformationen [IT-Betrieb, Mitarbeiter] (S) Wenn Datenträger und Dateien weitergegeben werden, SOLLTE sichergestellt sein, dass sie keine Restinformatio- nen enthalten. Dazu SOLLTE ein Prozess in der Institution etabliert und dokumentiert werden. Die Mitarbeiter SOLL- TEN über die Gefahren von Rest- und Zusatzinformationen in Dateien informiert werden. Es SOLLTE stichprobenar- tig überprüft werden, ob die in Dateien enthaltenen Restinformationen auch wirklich gelöscht werden. CON.6.A8 Erstellung einer Richtlinie für die Löschung und Vernichtung von Informationen [Mitarbeiter, Leiter IT, Datenschutzbeauftragter] (S) Die Regelungen der Institution zum Löschen und Vernichten SOLLTEN in einer Richtlinie dokumentiert werden. Die Richtlinie SOLLTE allen relevanten Verantwortlichen und Mitarbeitern der Institution bekannt sein und die Grund- lage für ihre Arbeit und ihr Handeln bilden. Inhaltlich SOLLTE die Richtlinie alle eingesetzten Datenträger, Anwen- dungen, IT-Systeme und sonstigen Betriebsmittel und Informationen enthalten, die vom Löschen und Vernichten betroffen sind. Es SOLLTE regelmäßig und stichprobenartig überprüft werden, ob die Mitarbeiter sich an die Richtli- nie halten. Die Richtlinie SOLLTE regelmäßig aktualisiert werden. 3.3 Anforderungen bei erhöhtem Schutzbedarf Im Folgenden sind für den Baustein CON.6 Löschen und Vernichten exemplarische Vorschläge für Anforderungen aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und BEI ERHÖHTEM SCHUTZBEDARF in Betracht gezogen werden SOLLTEN. Die konkrete Festlegung erfolgt im Rahmen einer Risiko- analyse. CON.6.A9 Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Datenträgern bei erhöhtem Schutzbedarf [Leiter IT, Leiter Organisation] (H) Für das Löschen und Vernichten SOLLTEN Verfahren ausgewählt werden, die dem erhöhten Schutzbedarf der Infor- mationen und Betriebsmittel gerecht werden. CON.6.A10 Beschaffung geeigneter Geräte zur Löschung oder Vernichtung von Daten [Leiter IT, Beschaffungsstelle, Leiter Organisation] (H) Bevor Geräte zur Löschung oder Vernichtung von Daten beschafft werden, SOLLTE eine Anforderungsdokumenta- tion erstellt werden, anhand derer die auf dem Markt verfügbaren Werkzeuge miteinander verglichen werden kön- nen. CON.6.A11 Vernichtung von Datenträgern durch externe Dienstleister [Leiter Organisation, Datenschutzbeauftragter] (H) Auf dem Gelände der Institution SOLLTEN alle zu vernichtenden Datenträger bis zur Abholung durch den externen Dienstleister sicher vor unbefugten Zugriffen aufbewahrt werden. Der Abtransport SOLLTE ebenfalls dem Schutz- bedarf entsprechend abgesichert sein. Die Institution SOLLTE den Entsorgungsprozess regelmäßig durch eingewie- sene Personen kontrollieren lassen. 4 Weiterführende Informationen 4.1 Wissenswertes Die International Organization for Standardization (ISO) macht in der Norm ISO/IEC 27001:2013 im Annex A „A.8.3 Media handling“ Vorgaben für die Behandlung von Medien und Informationen, die auch das Löschen und Vernichten umfassen. Das Deutsche Institut für Normung hat mit der Normenreihe DIN 66399-1:2012-10 „Büro- und Datentechnik – Vernichtung von Datenträgern“: • Teil 1: Grundlagen und Begriffe • Teil 2: Anforderungen an Maschinen zur Vernichtung von Datenträgern • Teil 3: Prozess der Datenträgervernichtung Publikationen zum Vernichten von Datenträgern veröffentlicht. 4                                                                      IT-Grundschutz-Kompendium: Stand Februar 2020

CON.6                                                                     CON: Konzepte und Vorgehensweisen Das National Institute of Standards and Technology stellt Richtlinien zum Löschen und Vernichten in der NIST Special Publication 800-88 „Guidelines for Media Sanitization“ zur Verfügung. 5 Anlage: Kreuzreferenztabelle zu elementaren Gefährdungen Die Kreuzreferenztabelle enthält die Zuordnung von elementaren Gefährdungen zu den Anforderungen. Anhand dieser Tabelle lässt sich ermitteln, welche elementaren Gefährdungen durch welche Anforderungen abgedeckt sind. Durch die Umsetzung der aus den Anforderungen abgeleiteten Sicherheitsmaßnahmen wird den entspre- chenden elementaren Gefährdungen entgegengewirkt. Die Buchstaben in der zweiten Spalte (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit) zeigen an, welche Grundwerte der Informationssicherheit durch die Anforderung vorrangig geschützt werden. Die folgenden elementaren Gefährdungen sind für den Baustein CON.6 Löschen und Vernichten von Bedeutung. G 0.16       Diebstahl von Geräten, Datenträgern oder Dokumenten G 0.18       Fehlplanung oder fehlende Anpassung G 0.19       Offenlegung schützenswerter Informationen G 0.24       Zerstörung von Geräten oder Datenträgern G 0.31       Fehlerhafte Nutzung oder Administration von Geräten und Systemen Elementare            CIA-      G 0.16           G 0.18          G 0.19           G 0.24            G 0.31 Gefährdungen          Werte Anforderungen CON.6.A1                                           X                X               X CON.6.A2                          X                                 X CON.6.A3                                                            X                                 X CON.6.A4                                           X                X               X CON.6.A5                                           X                X CON.6.A6                                                                                              X CON.6.A7                                                            X                                 X CON.6.A8                                           X                X CON.6.A9               CIA                         X                X               X CON.6.A10              CIA                         X                X CON.6.A11              CIA        X                                 X IT-Grundschutz-Kompendium: Stand Februar 2020                                                                  5