A-960/1                                   Ausbildung und Sensibilisierung 1013.       Die Ausbildung des bzw. der ISBProj und ISBFW soll mindestens die Grundzüge dieser Zentralen Dienstvorschrift über alle Abschnitte und insbesondere alle sich aus dieser Zentralen Dienstvorschrift ableitenden Aufgaben eines bzw. einer ISBProj bzw. ISBFW sowie die Grundlagen des IT-Grundschutzes        des BSI, des Kryptowesens            (Zentrale Dienstvorschrift A-961/1 VS-NfD „Kryptosicherheit in der Bundeswehr“, siehe Bezug Anlage 11.15 (lfdNr. 20)) und der Abstrahlsicherheit (Zentrale Dienstvorschrift A-962/1 VS-NfD „Abstrahlsicherheit“, siehe Bezug Anlage 11.15 (lfdNr. 21)) sowie IT-relevante Anteile des Datenschutzes, des Geheimschutzes und der Militärischen Sicherheit beinhalten. 1014.       Folgende Schwerpunkte sind bei der Ausbildung des bzw. der ISBProj und ISBFW zu berücksichtigen: • Erarbeitung und Fortschreibung des InfoSichhKProj bzw. InfoSichhKFW, dabei st + Durchführung der Strukturanalyse,                                         en + Festlegung der Informationsstruktur, sd i ng + Durchführung der Schutzbedarfsfeststellung,                       ru de + Auswahl und Bewertung von InfoSichh-Maßnahmen im Hinblick auf Wirksamkeit und Än Umsetzbarkeit,                                         m de + Durchführung von Ergänzender Sicherheitsanalyse mit ggf. folgender Risikoanalyse sowie ht + Ableitung zusätzlicher / alternativer InfoSichh-Maßnahmen. tn ic • IT-Grundschutzvorgehensweise              nach    eg BSI-Standard       einschließlich   bundeswehrspezifischer rli Besonderheiten und Nutzung des zentral bereitgestellten Werkzeugs zur Erstellung von InfoSichhK te un nach IT-Grundschutz.                  k uc • Planung und Erarbeitung von personellen, infrastrukturellen, organisatorischen und technischen dr us InfoSichh-Maßnahmen sowie Umsetzung und Überprüfung von technischen InfoSichh-Maßnahmen rA zur Herstellung, Gewährleistung und Wiederherstellung der InfoSichh in Projekten. se • Führen der InfoSichhDok. ie D 10.1.3 Informationssicherheitsbeauftragte Organisationsbereich / Dienststelle / Betrieb / im Einsatz / Geheimschutzbetreute Wirtschaft und Informationssicherheitsgehilfe (D, E, Ü) 135 1015.       ISBOrgBer, ISBDSt, ISBBtrb, ISB i.E., ISBGBW              und InfoSichhGeh sind für ihre Tätigkeit fachlich aus-, und fortzubilden. Hierzu ist ein Lehrgang „Informationssicherheitsbeauftragte“ zur Ausbildung von ISBOrgBer, ISBDSt, ISBBtrb, ISB i.E. und ISBGBW sowie ein Lehrgang „Informationssicherheitsgehilfen“ zur Ausbildung von InfoSichhGeh einzurichten. Als Bedarfsträger 135   Für ISBÜb ist analog zu verfahren Seite 124 Stand: März 2019

Ausbildung und Sensibilisierung                             A-960/1 sind die OrgBer in geeigneter Weise in die Prozesse der Bearbeitung und Weiterentwicklung des Lehrgangs mit einzubeziehen. Für ISB i.E. ist zusätzlich ein Lehrgang „Informationssicherheitsbeauftragte in Einsatz / Übung“ einzurichten. Als Bedarfsträger ist hierbei das EinsFüKdoBw vorrangig in die Prozesse der Bearbeitung und Weiterentwicklung des Lehrgangs mit einzubeziehen. 1016.     ISBDSt, ISB i.E. und ISBBtrb sind als fachlich qualifizierte Spezialisten zu befähigen, die InfoSichh bei Einsatz und Betrieb von IT in ihrem Zuständigkeitsbereich zur Unterstützung des bzw. der DStLtr / KtgtFhr / Kdr EinsStO oder Ltr IT-Btrb(Fü)Einr zu planen, umzusetzen und zu überwachen sowie zentrale / querschnittliche Aufgaben der InfoSichh zu bearbeiten. Dies gilt auch für die InfoSichhGeh zur Unterstützung des ISBDSt. 1017.     Die Ausbildung der ISBDSt, ISB i.E. und ISBBtrb soll mindestens die Grundzüge aus allen st en Abschnitten dieser Zentralen Dienstvorschrift und insbesondere alle sich aus dieser Zentralen sd i Dienstvorschrift ableitenden Aufgaben eines bzw. einer ISBDSt, ISB i.E. und ISBBtrb einschließlich ng ru Sicherheitsauditing sowie die Grundlagen des IT-Grundschutzes des BSI, des Kryptowesens (Zentrale de Dienstvorschrift A-961/1 VS-NfD „Kryptosicherheit in der Bundeswehr“, siehe Bezug Anlage 11.15 Än (lfdNr. 20)) und der Abstrahlsicherheit (Zentrale Dienstvorschrift A-962/1 VS-NfD „Abstrahlsicherheit“, m de siehe Bezug Anlage 11.15 (lfdNr. 21)) sowie IT-relevante Anteile des Datenschutzes, des ht ic Geheimschutzes und der Militärischen Sicherheit beinhalten. tn 1018. eg Folgende Schwerpunkte sind bei der Ausbildung der ISBDSt, ISB i.E. und ISBBtrb zu rli berücksichtigen: te un k • Erarbeitung und Fortschreibung der InfoSichhDok, insbesondere des InfoSichhKDSt, dabei uc dr + Durchführung der Strukturanalyse, us rA + Festlegung der Informationsstruktur, se + Durchführung der Schutzbedarfsfeststellung, ie D + Auswahl und Bewertung von InfoSichh-Maßnahmen im Hinblick auf Wirksamkeit und Umsetzbarkeit, + Durchführung von Ergänzender Sicherheitsanalyse mit ggf. folgender Risikoanalyse, + Ableitung zusätzlicher / alternativer InfoSichh-Maßnahmen sowie + Übernahme und Berücksichtigung von Vorgaben aus Projekten. • IT-Grundschutzvorgehensweise        nach   BSI-Standard     einschließlich   bundeswehrspezifischer Besonderheiten und Nutzung des zentral bereitgestellten Werkzeugs zur Erstellung von InfoSichhK nach IT-Grundschutz. • Planung,     Festlegung, Umsetzung      und Überwachung       von personellen,     infrastrukturellen, organisatorischen und technischen InfoSichh-Maßnahmen zur Herstellung, Gewährleistung und Wiederherstellung der InfoSichh in DSt, EinsKtgt und IT-Btrb(Fü)Einr. Seite 125 Stand: März 2019

A-960/1                             Ausbildung und Sensibilisierung • Überwachen der ordnungsgemäßen Durchführung der Kryptoverwaltung der DSt / des EinsKtgt. • Durchführung des Sicherheitsauditings. • Überwachung der InfoSichh durch Planung, Durchführung und Auswertung von InfoSichhKtr sowie Auswertung von InfoSichhIn und InfoSichhPrfg. • Bearbeitung von InfoSichhVork und Kryptoverstößen inkl. der präventiven und reaktiven Erarbeitung,   Festlegung   und   Überwachung        von   Ereignisprotokollen,   Zugangs-      und Zugriffskontrollen sowie Rechteverwaltungen in IT-Netzwerken. 1019.      InfoSichhGeh sind dazu zu befähigen, die Aufgaben gemäß Abschnitt 9.10 zur Unterstützung des bzw. der ISBDSt unter dessen bzw. deren Anleitung wahrzunehmen. Dazu sind insbesondere die notwendigen Grundkenntnisse für einen InfoSichhGeh aus der A-960/1, der A-962/1 und anderen Regelungen (mit Ausnahme der Kryptosicherheit) sowie die erforderlichen praktischen Fähigkeiten zur Unterstützung des bzw. der ISBDSt zu vermitteln.                              st en sd i 10.1.4 Weiterbildung für Informationssicherheitsbeauftragte und       ng ru Informationssicherheitsgehilfen                                  de Än 1020.      Die Weiterbildung bereits ausgebildeter ISB ist in den OrgBer zu regeln und soll regelmäßig m de (mindestens einmal jährlich) im Rahmen von Tagungen durch die ISBOrgBer oder ISB der vorgesetzten ht DSt durchgeführt werden. Darüber hinaus können Tagungen durch die Regionalzentren des ZCSBw ic tn für ihren jeweiligen Zuständigkeitsbereich durchgeführt werden. eg rli 1021.                                       te In diesen Tagungen ist in verkürzter Form Basiswissen aufzufrischen. Es sind im Schwerpunkt un neue Vorschriften, Weisungen und aktuelle Entwicklungen im Bereich InfoSichh und IT-Grundschutz k uc des BSI zu vermitteln.             dr us 1022.      CISOBw richtet ergänzend mindestens zweimal pro Jahr Seminare zu aktuellen Themen der rA se InfoSichh in der Bw am Bildungszentrum der Bundeswehr (BiZBw) für herausgehobene ISB         136 aus. ie D 1023.      Die Weiterbildung von InfoSichhGeh ist durch die ISBDSt im Rahmen von regelmäßigen bzw. anlassbezogenen Besprechungen durchzuführen. Zusätzlich können die ISBOrgBer eine Teilnahme an den Tagungen der ISB ermöglichen. 10.2       Sensibilisierung (D, E) 1024.      Die Sensibilisierung und Schaffung eines Risikobewusstseins zur InfoSichh (Awareness) der Mitarbeiter und Mitarbeiterinnen ist eine allgemeine Führungsaufgabe aller Vorgesetzten. Die Rollenträgerinnen und Rollenträger der InfoSichh sensibilisieren darüber hinaus die IT-Anwender und -Anwenderinnen in ihrem Zuständigkeitsbereich (z. B. durch Awarenessveranstaltungen, Weisungen 136   ISBOrgBer, ISBBMVg, ISBMAD, ISBEinsatz, CISO Rüstung, CISO Infrastruktur, ISBGBW sowie ISB in höheren Kommandobehörden / Oberbehörden / im Ämterbereich Seite 126 Stand: März 2019

Ausbildung und Sensibilisierung                                 A-960/1 und Hinweise zur InfoSichh, Lageberichte oder aktuelle Informationen) und nutzen dazu zur Veröffentlichung und Verbreitung auch moderne Informationsangebote (z. B. Intranet, E-Mail, DigAHM). 1025.       Die Verantwortlichen müssen demzufolge von Anfang an für InfoSichh in der Bw sensibilisiert werden, damit ein Bewusstsein für InfoSichh (Sensibilisierung und Awareness) geschaffen und InfoSichh nicht als „Hürde“ im Dienstbetrieb wahrgenommen wird. Dieses Vorgehen stärkt die InfoSichh in der Bw grundlegend und ist daher für alle Verantwortlichen verbindlich. 1026.       Hierbei sind Maßnahmen zur Mitarbeitersensibilisierung (Awarenessmaßnahmen) die notwendige Basis für ein allgemeines Verständnis hinsichtlich InfoSichh, um alle Rollenträgerinnen und Rollenträger für den Fall eines etwaigen Verstoßes gegen die Sicherheitsrichtlinien und den damit verbundenen        richtigen   Umgang    zu     sensibilisieren.   Diese    Awarenessmaßnahmen         können st typischerweise abhängig von Größe und Auftrag der Organisation variieren und reichen von en sd Präsenzveranstaltungen über webbasierte Seminare bis hin zu Sensibilisierungskampagnen. i ng 1027.                                                                ru Die Awarenessmaßnahmen müssen u. a. auch die Bedeutung der menschlichen de Schwachstelle im Bereich der InfoSichh deutlich machen, da Spionage oder gezielte, wirtschaftlich Än motivierte Sabotage gegen Unternehmen und Behörden nicht allein mit technischen Mitteln ausgeführt m de werden. Um ihren Opfern zu schaden oder Informationen zu stehlen, nutzen die Angreifer Methoden ht wie beispielsweise Social Engineering         137     ic , die nur abzuwehren sind, wenn die Mitarbeiter und tn eg Mitarbeiterinnen über mögliche Tricks und Vorgehensweisen der Angreifer orientiert sind und gelernt rli haben, mit potenziellen Angriffen umzugehen. te un 1028.       Grundlegende Awarenessmaßnahmen zur Sensibilisierung hinsichtlich der InfoSichh sind: k uc dr • Festlegen eines Awareness- und Risikomanagements bis auf Dienststellenebene, das allen us rA Verantwortlichen bekannt ist und ständig überprüft wird. se • Kontinuierliche Information und Aufklärung über aktuelle Entwicklungen im Bereich InfoSichh und ie D Sensibilisierung. • Regelmäßige Durchführung eines „Awareness Tages InfoSichh der Bw“ in Verantwortung des bzw. der CISOBw. • Regelmäßige         Durchführung      von     „Awareness     Tagen       InfoSichh / Nutzersensibilisierungs- maßnahmen“ aller DSt / EinsKtgt in ihrem Zuständigkeitsbereich. • Ständige Überprüfung der Meldesysteme und deren Wege bei einem InfoSichh-Vorfall. • Auswertung der Ergebnisse von Überwachungsmaßnahmen, um eigene Awarenessmaßnahmen zielgerichtet zu aktualisieren bzw. zu ergänzen. 1029.       Zur Erarbeitung von Vorgaben und Maßnahmen zur Sensibilisierung und Schaffung eines Risikobewusstseins zur InfoSichh (Awareness) und zur Unterstützung aller Rollenträgerinnen und 137   Ausnutzen von menschlichen Schwachstellen, um an sensible Informationen zu gelangen Seite 127 Stand: März 2019

A-960/1                            Ausbildung und Sensibilisierung Rollenträger und Führungsebenen im GB BMVg bei der Sensibilisierung in ihrem Zuständigkeitsbereich richtet CISOBw eine ständige Arbeitsgruppe InfoSichh-Awareness (AG InfoSichhAw) ein. 1030.     Für die AG InfoSichhAw gilt: • Die AG InfoSichhAw ist dem bzw. der CISOBw fachlich direkt unterstellt. • Die AG besteht aus Angehörigen der OrgBer im GB BMVg sowie externer Partner (z.B. der BWI). • Der bzw. die CISOBw bestellt den Leiter bzw. die Leiterin und den stellvertretenden Leiter bzw. die Stellvertreterin der AG InfoSichhAw. • Die AG InfoSichhAw führt eine Geschäftsordnung. 1031.     Zu den Aufgaben der AG InfoSichhAw gehört: • Erarbeiten von Maßnahmen und Hilfsmitteln zur Anwendersensibilisierung (Awarenessmaß- nahmen).                                                                  st en • Unterstützung aller DSt / EinsKtgt bei der Planung zur Durchführung von Awarenessmaßnahmen. sd i ng • Unterstützung des Dezernats „Übung und Sensibilisierung“ in der Abteilung Schutz und Prävention ru de im ZCSBw, inkl. der Unterstützung bei Planung und Durchführung des „Awareness Tages InfoSichh Än der Bw“. m • Kontinuierliche Information und Aufklärung aller Mitarbeiter und Mitarbeiterinnen im GB BMVg über de aktuelle Entwicklungen im Bereich InfoSichhAw. ht ic tn • Evaluierung der durchgeführten Awarenessmaßnahmen, mit dem Ziel künftig die eigene eg rli InfoSichhAw zielgerichtet zu aktualisieren und zu erweitern. te • Quartalsweise Vorlage von Ergebnissen der AG InfoSichhAw an den bzw. die CISOBw. un k 1032.     Alle DSt: uc dr us • unterstützen die AG InfoSichhAw bei der Wahrnehmung ihrer Aufgaben, rA se • ermöglichen den Mitgliedern der AG InfoSichhAw aus ihrem Zuständigkeitsbereich die Teilnahme ie D und Mitarbeit an AG-Sitzungen, Projekten der AG InfoSichhAw und Ausbildungsunterstützungen sowie • fördern die Teilnahme von Interessenten aus ihrem Zuständigkeitsbereich an Sitzungen der AG InfoSichhAw. Seite 128 Stand: März 2019

Anlagen                               A-960/1 11     Anlagen 11.1   IT-Grundschutz-Methodik in der Bundeswehr                              130 11.2   Besondere Festlegungen für normalen Schutzbedarf                       145 11.3   Grundsätze und ergänzende Informationssicherheits-Anforderungen und -Maßnahmen für hohen und sehr hohen Schutzbedarf sowie für Gewährleistungsziele                                            150 11.4   Vorgaben und Hilfestellungen zur Festlegung des Schutzbedarfes         157 11.5   Wegweiser für die Anwendungsbereiche                                   171 11.6   Grundsätze zu Protokollierung und Auditing           st                187 en 11.7 sd Aufbau und Struktur von Informationssicherheitskonzepten i                  193 ng ru 11.8   Musterformulare                            de                          194 Än 11.9   Nutzerrichtlinien                     m                                224 de 11.10 Weisung zur Löschung / Vernichtung von eingestuften Datenträgern 232 ht ic tn 11.11 Aufgehobene Alterlasse         eg         Fehler! Textmarke nicht definiert. rli 11.12 Begriffsbestimmungen      te                                            233 un k 11.13 Abkürzungsverzeichnisuc                                                 246 dr us 11.14 Übergang IT-Sicherheitsanforderungen bzw. Informationssicherheits- rA Anforderungen se                                                     252 ie D 11.15 Strafbarkeitsrisiko bei unterlassener Verpflichtung mitwirkender Personen zur Geheimhaltung                                              253 11.16 Bezugsjournal                                                           256 11.17 Änderungsjournal                                                        259 Seite 129 Stand: März 2019

A-960/1                                             Anlagen 11.1        IT-Grundschutz-Methodik in der Bundeswehr 11.1.1 Allgemeines 1.          Die Erstellung eines InfoSichhK im GB BMVg orientiert sich an der IT-Grundschutz-Methodik nach BSI-Standard, bedarf jedoch aufgrund von Besonderheiten in der Bw methodischen und inhaltlichen Anpassungen. Die Besonderheiten liegen u.a. in den folgenden Aspekten begründet: • Betrachtung nicht nur von ortsfesten DSt, sondern auch von Projekten und anderen Anwendungsbereichen sowie „verlegbaren DSt“ wie z.B. seegehende Einheiten, • Vorliegen eines i.d.R. hohen bzw. sehr hohen Schutzbedarfes insbesondere aufgrund der Verarbeitung von VS-Informationen,                                             st en • Anwendung für oftmals sehr komplexe Systeme, die von den im IT-Grundschutz betrachteten sd i Einsatzszenarien (Bürokommunikation) abweichen,                      ng • Service-orientierter Ansatz für Systeme und ru de • notwendige Ergänzung der Maßnahmen aufgrund von zusätzlichen Vorgaben (z.B. NATO Än Vorgaben). m de 2. ht Daher werden zur Erstellung von InfoSichhK nach IT-Grundschutz im GB BMVg ic tn • durch KdoCIR ein IT-Grundschutzkatalog der Bw    eg      138 , der neben den Bausteinen und Maßnahmen rli des BSI ergänzende bundeswehrspezifische Bausteine und Maßnahmen enthält (siehe Anlage te un 11.1.2),                             k uc • durch KdoCIR eine Arbeitshilfe zur Erstellung von InfoSichhKDSt           139 für die Anwendungsbereiche dr us DSt (D), EinsKtgt und EinsStO (E) und rA • durch die DEUmilSAA eine Arbeitshilfe zur Erstellung von InfoSichhKProj gemäß IT-Grundschutz se                                                                             140 ie für die anderen Anwendungsbereiche F, W, P ,V, O, S, gem. Nr. 402 D bereitgestellt. Diese sind zwingend zu nutzen. Die beiden Arbeitshilfen beschreiben das Verfahren für die Erstellung von InfoSichhK in der Bw und bestehen jeweils aus zwei Teilen. Die Arbeitshilfen setzen die Vorgaben dieser Vorschrift um, konkretisieren diese und sind einzuhalten. Teil 1 beschreibt jeweils die Bearbeitung des Dokumentanteils und Teil 2 die Arbeitsschritte, die im Werkzeug erfolgen. 138   http://infosichh.bundeswehr.org im Bereich „Fachinformationen / IT-Grundschutz / Bausteine und Metadaten“ 139   http://infosichh.bundeswehr.org im Bereich „IT-Grundschutz“ im Downloadbereich 140   http://infosichh.bundeswehr.org im Bereich „InfoSichhOrg / DEUmilSAA / InfoSichhProj“ Seite 130 Stand: März 2019

Anlagen                                             A-960/1 3.          Im InfoSichhK sollen möglichst viele Anteile / Kapitel werkzeuggestützt bearbeitet und dokumentiert werden. Details zu Gliederung und Inhalt des InfoSichhK sowie zur Nutzung des Werkzeugs regeln die beiden Arbeitshilfen zur Erstellung von InfoSichhKDSt bzw. InfoSichhKProj. Das 141 einheitliche     Werkzeug      und    die   zugehörigen     MetadatenBw             werden   im   Intranetauftritt http://infosichh.bundeswehr.org unter der Rubrik „Fachinformationen / IT-Grundschutz“ bereit gestellt 142 (siehe Nr. 124) . Im einheitlichen Werkzeug sind ausschließlich die MetadatenBw zu nutzen. Diese Metadaten enthalten die durch das BSI veröffentlichten IT-Grundschutzkataloge sowie die aktuellen bundwehrspezifischen Ergänzungen. 11.1.2 IT-Grundschutzkatalog der Bundeswehr 4.          Das KdoCIR veröffentlicht periodisch (angestrebt jährlich, maximal zweimal im Jahr) einen 143 fortgeschriebenen IT-Grundschutzkatalog der Bw im IntranetBw               , der neben den Bausteinen und st en Maßnahmen des BSI ergänzende bundeswehrspezifische Bausteine und Maßnahmen enthält. Dieser sd i ng bzw. die zugehörigen MetadatenBw (siehe Nr. 3) sind zur Erstellung und Fortschreibung (siehe Nr. 6) ru von InfoSichhK nach IT-Grundschutz zwingend zu nutzen.             de Än 5.          Zur Fortschreibung des IT-Grundschutzkataloges der Bw ist – neben der zentralen Erstellung m de querschnittlicher Bausteine – die Zuarbeit durch die zuständigen Rollenträgerinnen und Rollenträger ht für InfoSichhK (z.B. Projekte und DSt) eine wesentliche Grundlage. Die DEUmilSAA, die ic tn Regionalzentren des ZCSBw und die ISBOrgBer werten dazu vorliegende oder in Erstellung befindliche eg rli InfoSichhK bezüglich neuer Bausteine und InfoSichh-Maßnahmen aus und übermitteln geeignete neue te un Bausteine / InfoSichh-Maßnahmen mit einer Empfehlung zur Berücksichtigung im Rahmen der k Fortschreibung des IT-Grundschutzkataloges der Bw an die Referatsgruppe InfoSichh im KdoCIR uc Abteilung Planung. dr us rA 6.          Nach Veröffentlichung eines neuen IT-Grundschutzkatalogs der Bw sind die neuen Bausteine se ie und Maßnahmen im Rahmen der Fortschreibung der InfoSichhK (siehe Abschnitte 6.3.2.3 und 6.3.3.3)‚ D innerhalb eines Jahres in die InfoSichhK einzuarbeiten. 7.          Ein Überblick über die im IT-Grundschutzkatalog der Bw vorhandenen Bausteine ist auf der Intranetseite http://infosichh.bundeswehr.org im Bereich „Fachinformationen / IT-Grundschutz / Bausteine und Metadaten“ zu finden. 8.          Der IT-Grundschutzkatalog teilt sich in Baustein-, Gefährdungs- und Maßnahmenkataloge auf. Alle dort aufgeführten Bausteine, Gefährdungen und Maßnahmen tragen Referenznummern, damit diese vereinfacht referenziert werden können (siehe Nrn. 12 – 13). 141   Bausteine und Maßnahmen aus dem IT-Grundschutzkatalog der Bundeswehr 142   Informationen und Metadatenupdates für das einheitliche Werkzeug sind im IntranetBw unter http://infosichh.bundeswehr.org im Bereich „Fachinformationen / IT-Grundschutz / SAVe“ veröffentlicht. 143   http://infosichh.bundeswehr.org im Bereich „Fachinformationen / IT-Grundschutz / Bausteine und Metadaten“ Seite 131 Stand: März 2019

A-960/1                                             Anlagen 9.          Der Bausteinkatalog ist in sogenannte Schichten eingeteilt. Diese sind: • B 1: Übergreifende Aspekte • B 2: Infrastruktur • B 3: IT-Systeme      144 • B 4: Netze • B 5: Anwendungen 10.         Der Gefährdungskatalog ist in die folgenden Kategorien gegliedert, wobei die Referenzierung analog zu der des Bausteinkatalogs erfolgt: • G 1: Höhere Gewalt • G 2: Organisatorische Mängel • G 3: Menschliche Fehlhandlungen                                                  st en • G 4: Technisches Versagen                                                  sd i • G 5: Vorsätzliche Handlungen                                             ng ru 11.                                                                   de Der Maßnahmenkatalog ist in die folgenden Kategorien gegliedert, wobei die Referenzierung Än analog zu der des Bausteinkatalogs erfolgt:                     m de • M 1: Infrastruktur                                      ht • M 2: Organisation ic tn • M 3: Personal                                    eg rli • M 4: Hard- und Software                      te un • M 5: Kommunikation                       k uc • M 6: Notfallvorsorge                dr us rA Für die Bw sind die InfoSichh-Maßnahmen der Kategorien 4 und 5 den technischen InfoSichh- Maßnahmen zuzuordnen. se ie D 12.         Ein Baustein trägt Referenzen nach dem folgenden Muster „B X.YY(Y)“, wobei das B für „Baustein“, das X für die zugeteilte Bausteinschicht und YY(Y) eine eindeutige zwei- oder dreistellige Nummer in der Schicht ist. Ergänzende Bausteine der Bw erhalten eine dreistellige Endnummer (Schema: B X.YYY) 13.         Analog dazu sind die Gefährdungen und Maßnahmen durchnummeriert mit dem Unterschied, dass alle bundeswehrspezifischen Gefährdungen und Maßnahmen eine vierstellige Endnummer erhalten (Schema: G oder M X.YYYY). 144   Der Begriff "IT-System" wird hier im Sinne des IT-Grundschutzes des BSI als Bezeichnung der Schicht 3 der Bausteine verwendet. Anders als sonst in dieser Vorschrift bezeichnet der Begriff des BSI hier keine vollständigen Systeme, sondern einzelne IT-Komponenten, wie beispielsweise Clients, Server oder Router. Seite 132 Stand: März 2019

Anlagen                                         A-960/1 14.      Es ist zu beachten, dass die Begrifflichkeiten des IT-Grundschutzes des BSI nicht immer denen in der Bw entsprechen. Entsprechende Begriffe sind daher sinngemäß anzuwenden, siehe folgende Tabelle: Begriff IT-Grundschutz des BSI                        Begriff Bundeswehr Sicherheitskonzept                    Informationssicherheitskonzept Datenschutzbeauftragter /             Administrativer Datenschutzbeauftragter / Datenschutzbeauftragte                Datenschutzbeauftragte (ADSB) Geheimschutzbeauftragter / Ge-        Sicherheitsbeauftragter / Sicherheitsbeauftragte heimschutzbeauftragte                 (SichhBeauftr) Leiter / Leiterin Haustechnik         Bundeswehr-Dienstleistungszentrum st en Abb. 12 Gegenüberstellung von Begriffen IT-Grundschutz BSI – Bw sd i ng Bei Unklarheiten berät die DEUmilSAA.                           ru de 15.                                                          Än Ebenfalls ist zu beachten, dass die InfoSichh-Maßnahmen aus dem IT-Grundschutz des BSI m in der Regel als Empfehlung formuliert sind. Für die Bw sind diese Empfehlungen einer Sollvorgabe de gleichzusetzen. Abweichungen können in begründeten Fällen im Einvernehmen mit dem bzw. der ht ic tn zuständigen ADSB und SichBeauftr beschlossen werden. eg 16.      Die in den Bausteinen des IT-Grundschutzes des BSI aufgeführten sogenannten rli te un „Lebenszyklusphasen“, denen die InfoSichh-Maßnahmen zugeordnet sind, sind mit den CPM-Phasen k vergleichbar, entsprechen diesen jedoch inhaltlich nicht vollständig. Die Lebenszyklusphasen des BSI uc dr verhalten sich zu den CPM-Phasen der Bw gemäß den in den folgenden zwei Tabellen definierten us Zuordnungen:               rA se ie D Seite 133 Stand: März 2019