Informationssicherheitsverfahren                                A-960/1 506.     Für die Verarbeitung und / oder Übertragung von VS ist die Verwendung zugelassener InfoSichh-Produkte im GB BMVg verbindlich (siehe auch Abschnitt 5.3.4). 5.3.2    Zuständigkeiten 507.     Die nationale Zulassungsbehörde für InfoSichh-Produkte in Deutschland ist das BSI. Zulassungsbehörde für InfoSichh-Produkte der NATO ist das „NATO Military Committee (NAMILCOM)“ mit der „Military Committee Communication and Information Systems Security and Evaluation Agency (SECAN)“ als zuständige Evaluierungsstelle. Die Zulassungsbehörde für InfoSichh-Produkte der EU ist das „EU Infosec Office“. Die Evaluierungen werden von den Sicherheitsbehörden bestimmter hierfür durch das EU Infosec Office autorisierter EU-Mitgliedstaaten durchgeführt bzw. veranlasst. 508.     Zulassungen von InfoSichh-Produkten, mit denen amtlich als Verschlusssache eingestufte st bzw. geheim zu haltende Informationen verarbeitet oder übertragen werden können, werden in en Deutschland durch das BSI erteilt. Dies kann z.B. in Form einer allgemeinen Zulassung oder einer sd i ng Freigabeempfehlung geschehen (zu den Begriffsbestimmungen siehe Anlage 11.11). Dem BMVg bleibt ru de es gemäß Begründung zum BSI-Gesetz (siehe Bezug Anlage 11.15 (lfdNr. 7)) unbenommen, für seinen Än GB für die Verarbeitung und Übertragung von Informationen eigene informationstechnische m Sicherheitsvorkehrungen zu ergreifen bzw. Systeme oder Komponenten zu entwickeln, zu prüfen, zu de bewerten und zuzulassen.                             ht ic tn 509.     Zulassungen von InfoSichh-Produkten für die Verarbeitung und Übertragung von VS werden eg rli durch den bzw. die CISO Ressort auf Basis von Sicherheitsnachweisungen durch Evaluierungen (siehe te un Abschnitt 5.1) ausschließlich für die Verwendung im GB BMVg erteilt. k uc 510.     Zulassungen von InfoSichh-Produkten, mit denen eingestufte NATO-Informationen verarbeitet dr us oder übertragen werden können, dürfen nur durch das BSI (bis NATO CONFIDENTIAL) oder rA NAMILCOM (alle NATO-Einstufungen) erteilt werden. se ie 511.                D Zulassungen von InfoSichh-Produkten, mit denen eingestufte EU-Informationen verarbeitet oder übertragen werden können, dürfen nur durch das BSI (bis EU CONFIDENTIAL in nationalen Systemen) oder dem Rat der Europäischen Union (alle EU-Einstufungen) oder dessen Generalsekretär (bis EU-CONFIDENTIAL) erteilt werden. 5.3.3    Antragstellung (P, V, S) 512.     Anträge auf Zulassung oder Verlängerung einer Zulassung eines InfoSichh-Produktes sind durch den bzw. die Ltr IPT / ProjLtr oder den Verantwortlichen bzw. die Verantwortliche für die Infra- Maßnahme       an     die    DEUmilSAA       zu    richten.    Der     Antrag    ist   im     Intranetauftritt http://infosichh.bundeswehr.org im Bereich „Produkte / Zulassungen“ eingestellt. 513.     Der finanzielle und zeitliche Aufwand für Evaluierungen ist in den Projekten bzw. Vorhaben rechtzeitig und ggf. unter Beteiligung fachlich geeigneter Stellen (z. B. Prüfstellen) durch den bzw. die Ltr Seite 65 Stand: März 2019

A-960/1                               Informationssicherheitsverfahren IPT / ProjLtr oder den Verantwortlichen bzw. die Verantwortliche für die Infra-Maßnahme zu berücksichtigen. Eine nachträgliche Berücksichtigung kann zu erheblichen Kostensteigerungen, Verzögerungen oder zum Scheitern des Projektes bzw. Vorhabens führen. 5.3.4      Zulassungspflichtige Informationssicherheits-Produkte (P, V, S) 514.       Zulassungspflichtig sind Produkte mit InfoSichh-Funktionen zur Verwendung für VS zur 1.    Herstellung von Schlüsselmitteln, 2.    Verschlüsselung (Kryptierung) bzw. zur kryptographischen Unterstützung, 3.    Löschung oder Vernichtung von VS-Datenträgern, 4.    Abstrahlsicherheit, 5.    Sicherung von Übertragungsleitungen und 6.                                                                            st Trennung von Netzen mit unterschiedlichen maximalen Einstufungen der verarbeiteten VS. en Die Nummern 3 bis 6 gelten nicht für VS-NfD eingestufte VS. sd i ng Nummer 6 gilt jedoch sowohl                                         ru de Än • bei einem Sicherheitsgefälle, d.h. wenn in beiden Netzen unterschiedlich hoch eingestufte m Informationen (z.B. GEHEIM bzw. VS-NfD) verarbeitet werden, als auch de ht • bei der Informationsraumtrennung, d.h. wenn ein Netz im deutschen Informationsraum mit einem ic tn Netz eines anderen Informationsraums (z.B. NATO, EU bzw. anderer Nationen, sonstiger eg überstaatlicher Organisationen oder von Missionen) verbunden wird, und nicht sämtliche deutsch rli te                             82 eingestuften Informationen für den anderen Informationsraum bestimmt sind . un k uc 5.4        Anerkennung von Zulassungen, die durch NATO- oder EU- dr us Mitgliedstaaten ausgesprochen wurden (P, V, S) rA se 515.                        ie Eine Anerkennung ist die formale Genehmigung für die Verwendung von InfoSichh- D Produkten für die Verarbeitung / Übertragung nationaler Informationen der Einstufung VS-NfD. 516.       Eine Anerkennung kann ein InfoSichh-Produkt im Einzelfall dann erhalten, wenn dieses in Deutschland mangels ausreichend vorliegender oder bereitgestellter Dokumentation weder evaluierbar noch zulassungsfähig ist, jedoch eine Zulassung durch die National Communication Security Authority (NCSA) des NATO- bzw. EU-Mitgliedstaates hat, in dem das Produkt entwickelt und evaluiert wurde. Eine Anerkennung wird durch CISOBw auf Basis der Dokumente analog zum Zulassungsantrag (siehe Nr. 512) im Benehmen mit dem BSI ausgesprochen. 517.       Eine Anerkennung für ein Produkt bezieht sich immer auf • das festgelegte Einsatzspektrum (d. h. die Verwendungsart) und 82   Sonderform eines Sicherheitsgefälles. Seite 66 Stand: März 2019

Informationssicherheitsverfahren                                  A-960/1 • einen aktuell zugelassenen Konfigurationsstand. Die Anerkennung erlischt bei Änderung des Einsatzspektrums, des Konfigurationsstandes bzw. bei Ablauf oder Aufhebung der zugrunde liegenden Zulassung des NATO- bzw. EU-Mitgliedstaates (siehe Nummer 516). 518.       Rahmenbedingungen für die Verwendung anerkannter InfoSichh-Produkte für den Schutz von deutschen VS sind den durch CISOBw zu erstellenden Behandlungshinweisen zu entnehmen und in den jeweiligen produktspezifischen Anerkennungsdokumenten auf Basis einer Risikobetrachtung zu beschreiben. 5.5        Akkreditierung 5.5.1      Allgemeines                                                            st en 519. sd Unter Akkreditierung wird ein Prüfungs- und Genehmigungsverfahren von IT unter Leitung der i ng zuständigen Akkreditierungsstelle verstanden.                          ru de 520.       Eine Akkreditierung im GB BMVg ist grundsätzlich für sämtliche IT durchzuführen, mindestens Än jedoch für jede IT, die                                       m de • Informationen der Einstufung „VS-NUR FÜR DEN DIENSTGEBRAUCH“ oder höher sowie ic ht tn vergleichbare NATO- / EU-Einstufungen bzw. Einstufungen anderer Nationen, sonstiger eg      83 überstaatlicher Organisationen oder „MISSION“ , rli te • PersDat SB 3      84 und / oder        un • SSI mit einem sehr hohen Schutzbedarf der Vertraulichkeit k uc dr verarbeitet und / oder überträgt.us rA 521.       Die Akkreditierung betrifft die folgenden Anwendungsbereiche gemäß Abschnitt 4: se ie • Wehrtechnische Forschung & Technologie sowie sonstige Forschungsvorhaben, Erprobungen, D Truppenversuche und Wehrtechnische Aufträge (siehe Nr. 409), • Projekte nach CPM gemäß Nr. 424 und 429, • Infrastruktur- / Baumaßnahmen bzw. sonstige Vorhaben mit IT-Anteil gemäß Nr. 435 i.V.m. Nrn. 424 und 429, • IT-Betrieb und Aufgabenübernahme durch Dritte gemäß Nr. 438 bzw. 444, • Sofortinitiativen für den Einsatz (FFF(S)) gemäß Nr. 444 ausschließlich im Rahmen der nachträglichen Erstellung des endgültigen InfoSichhKProj, 83   „MISSION“ ist der Platzhalter für eine spätere konkrete Benennung und setzt eine sog. Security Policy für den beabsichtigten Einsatz voraus. Insofern ist z.B. MISSION SECRET keine gültige Einstufung, sondern z. B. NATO / ISAF SECRET oder NATO SECRET Releasable to ISAF. 84   Für Medizinprodukte, die nach Erlass dieser Vorschrift beschafft und installiert werden. Seite 67 Stand: März 2019

A-960/1                              Informationssicherheitsverfahren • DSt, sofern dort IT gemäß Nr. 451 zum Einsatz kommt, • EinsKtgt und EinsStO im Rahmen einer Einzelfallentscheidung auf Basis einer Risikobewertung gemäß Nr. 458 und 462 und • Übungen gemäß Nr. 468 und 645. Umfang und Tiefe der Akkreditierungsprüfung (siehe Abschnitt 5.5.5) werden durch die Akkreditierungsstelle festgelegt. 522.       Der   Prozess     der    Akkreditierung       endet   bei   positivem   Abschluss   mit    einer 85 Akkreditierungsbescheinigung gemäß Anlage 11.8.7. Diese ist grundsätzlich drei Jahre                 gültig. Ausnahmen sind mit der DEUmilSAA abzustimmen. Sie gilt • für eine festgelegte Einsatzumgebung ,      86 • für eine festgelegte technische Konfiguration,                                   st en • für eine definierte Informationsstruktur (siehe Abschnitt 2.1) und        sd i • bis zu einem eventuellen Entzug durch die zuständige Akkreditierungsstelle (siehe Nr. 552). ng ru 523.                                                                   de Die nationale Methodik und Systematik des Akkreditierungsprozesses entspricht der Än Vorgehensweise der NATO / EU. Hierdurch wird erreicht, dass die Ergebnisse der nationalen m de Akkreditierung auch im Bündniskontext und multinational anerkannt bzw. eingebracht werden können. ht ic 5.5.2      Zuständigkeiten                           tn eg 524.                                               rli Verantwortlich für die Akkreditierung von IT in der Bundesrepublik Deutschland ist als oberste te un nationale Security Accreditation Authority (SAA) und National Security Authority (NSA) das k uc Bundesministerium des Innern (BMI). Ausführendes Organ des BMI für diese Aufgabe ist das dr Bundesamt für Sicherheit in der Informationstechnik (BSI). us rA 525.       In Deutschland hat das BMI als nationale SAA die Aufgabe für alle Akkreditierungs- se ie angelegenheiten im GB BMVg auf die DEUmilSAA übertragen (siehe Bezug Anlage 11.15 (lfdNr. 39)). D 526.       Die DEUmilSAA ist für die Akkreditierung der IT gemäß Nr. 520 zuständig. 527.       Multinationale IT fällt in den Verantwortungsbereich der SAAs mehrerer Nationen oder multinationaler Organisationen. In diesem Fall vertritt die DEUmilSAA die nationalen Interessen ggf. 87 mit Unterstützung der Regionalzentren         des ZCSBw. Die Vorgehensweise zur Akkreditierung multinationaler Anbindungen wird einvernehmlich zwischen den SAAs der beteiligten Nationen und multinationalen Organisationen geregelt. 85   Für Medinzinprodukte 5 Jahre 86   Hierunter werden auch verlegbare Systeme verstanden, deren Umgebung in einem festgelegten Rahmen wechselt. 87   Dies betrifft die Sachgebiete "Unterstützung DEUmilSAA Nord bzw. West" der RegZ NORD bzw. WEST. Seite 68 Stand: März 2019

Informationssicherheitsverfahren                            A-960/1 5.5.3   Aufgaben der Deutschen militärischen Security Accreditation Authority 528.    Die DEUmilSAA erfüllt im Rahmen der Akkreditierung folgende Aufgaben: • Durchführen von Akkreditierungen und Re-Akkreditierungen. • Mitwirken beim Abschluss von Akkreditierungsvereinbarungen mit internationalen Partnern. • Prüfen der Umsetzung von mit internationalen Partnern getroffenen Akkreditierungsvereinbarungen. • Mitwirken bei der Harmonisierung nationaler und multinationaler Regelungen zur Akkreditierung von IT. • Vertreten der deutschen Position in internationalen / multinationalen Gremien zur Akkreditierung (Security Accreditation Boards). • Zusammenarbeiten mit SAAs anderer Nationen / überstaatlicher Organisationen bei + externen Anbindungen und                                              st + IT im Verantwortungsbereich mehrerer SAA. en sd i • Beraten in allen Phasen des CPM von Projekten, Vorhaben und Dienststellen hinsichtlich der ng ru anzuwendenden nationalen und multinationalen Regelungen in Bezug auf Akkreditierungen. de • Prüfen und Mitzeichnen aller InfoSichhKProj, aller InfoSichhKFW und von InfoSichhBef gemäß Nr. Än 645 (vergleiche Abschnitt 6.3.1).                    m de • Erstellen von Akkreditierungsbescheinigungen.   ht ic • Weiterleiten internationaler Akkreditierungsbescheinigungen. tn eg 529.                                     rli Die DEUmilSAA ist jederzeit berechtigt, Einsicht in die für ihre Aufgabenerfüllung relevanten te InfoSichh-Dokumente zu nehmen.        un k uc 5.5.4   Beantragung einer Akkreditierung dr us 530.                    rA Der bzw. die Verantwortliche für die IT (z. B. Ltr IPT, ProjLtr, Übungsleitende bzw. -leitender, se DStLtr) beantragt die Akkreditierung (bzw. die Re-Akkreditierung gemäß Abschnitt 5.5.8) zeitgerecht ie D vor der Nutzung bzw. Inbetriebnahme bei der DEUmilSAA. Er bzw. sie informiert darüber den CISO Rüstung bzw. wenn es sich um IT aus Infrastrukturmitteln handelt den CISO Infrastruktur. 5.5.5   Durchführung der Akkreditierung 531.    Die Federführung für die Durchführung einer Akkreditierung liegt bei der DEUmilSAA. Diese trifft die Entscheidung über Umfang, Tiefe und Ablauf der Prüfung auf Basis nationaler und internationaler Vorgaben zur Akkreditierung. 532.    Der Akkreditierungsprozess besteht aus folgenden Schritten: • Prüfung der InfoSichhDok durch die DEUmilSAA (weitere Vorgaben zur InfoSichhDok sind dem Abschnitt 5.5.6 zu entnehmen), Seite 69 Stand: März 2019

A-960/1                                 Informationssicherheitsverfahren • Überprüfung der in der InfoSichhDok beschriebenen InfoSichh-Maßnahmen auf ihre Umsetzung in der IT (die möglichen Ergebnisse sind dem Abschnitt 5.5.7 zu entnehmen) und • Ausstellung einer Akkreditierungsbescheinigung gemäß Anlage 11.8.7 bzw. eines sogenannten „Statement of Compliance (SoC)“ gemäß Nr. 544 nach erfolgreich abgeschlossener Prüfung durch die DEUmilSAA. 533.       Die Akkreditierungsprüfung erfolgt auf Basis eines vom Verantwortlichen für die IT vorzulegenden       und    von    der   DEUmilSAA       zu   genehmigenden       Akkreditierungsplanes.    Die Akkreditierungsprüfung       beinhaltet    die    Mitzeichnung    des   entsprechenden       InfoSichhK   bzw. InfoSichhBef. Bei der Akkreditierung von IT gemäß Nr. 451 sind die im InfoSichhKDSt beschriebenen InfoSichh-Maßnahmen Gegenstand der Überprüfung. 534.       Der bzw. die Verantwortliche für die IT koordiniert zeitgerecht mit der DEUmilSAA den st Zeitraum der Prüfung. Die Durchführung der Prüfung erfolgt unter der Leitung der DEUmilSAA. Je nach en sd Umfang und Tiefe der Prüfung wird die DEUmilSAA unterstützt durch ein Prüfteam des ZCSBw, das i ng PZITSichhBw oder eine andere geeignete Institution.                      ru de 535.       Nach erfolgreich abgeschlossener Prüfung durch die DEUmilSAA erfolgt die Ausstellung einer Än m Akkreditierungsbescheinigung gemäß Anlage 11.8.7 bzw. eines sogenannten „Statement of 88 de Compliance (SoC) “ gemäß Nr. 544. Die möglichen Ergebnisse einer Akkreditierungsprüfung sind dem ht Abschnitt 5.5.7 zu entnehmen. ic tn eg 5.5.6      Dokumentation rli te un Allgemeines k uc dr 536.                               us Voraussetzung einer erfolgreichen Akkreditierung von IT ist das bzw. der durch die rA DEUmilSAA mitgezeichnete InfoSichhK bzw. InfoSichhBef (siehe Abschnitt 6.3) und der Nachweis der se ie Umsetzung der darin beschriebenen InfoSichh-Maßnahmen. D 537.       Bei der Dokumentation von NATO- / EU- oder multinationaler IT sind grundsätzlich die nachfolgend aufgeführten, von der NATO / EU gemäß NATO „INFOSEC Management Directive for Communication and Information Systems (CIS)“ (siehe Bezug Anlage 11.15 (lfdNr. 31), dort Abschnitt IV) multinational geforderten Dokumente in englischer Sprache zu erstellen. Dokumente für IT der Bw, mit denen Informationen mit NATO-Einstufung verarbeitet bzw. übertragen wird, können in Englisch oder Deutsch erstellt werden. Einzelheiten sind systembezogen mit der DEUmilSAA abzusprechen. 88   Bestätigung der Einhaltung der Vorgaben der internationalen Organisation in der nationalen IT. Seite 70 Stand: März 2019

Informationssicherheitsverfahren                                  A-960/1 Community Security Requirement Statement (CSRS) 538.      Ein CSRS wird zur Beschreibung von IT benötigt, das sich auf mehrere, örtlich getrennte Teilsysteme (z. B. ein WAN) erstreckt. Die InfoSichh der einzelnen Teile wird jeweils in einem SSRS (siehe Nr. 539) beschrieben. System-Specific Security Requirement Statement (SSRS) 539.      Das SSRS beschreibt die InfoSichh der zu akkreditierenden IT. Es beschreibt das System allgemein,    die    InfoSichh-Anforderungen,     Sicherheitsumgebung         (das   IT-Umfeld),     InfoSichh- Maßnahmen sowie die Administration der InfoSichh. System Interconnection Security Requirement Statement (SISRS) 540. st Das SISRS beschreibt die InfoSichh der Verbindung zweier Systeme. Es wird erforderlich, en sd wenn die Beschreibung der InfoSichh der Systeme nicht im CSRS oder SSRS enthalten ist, z. B. bei i ng Anbindung nach erfolgter Akkreditierung. Es enthält grundsätzlich die gleichen Angaben wie ein SSRS ru (siehe Nr. 539).                                                 de Än Security Operating Procedures (SecOps)            m de 541. ht Die SecOps sind eine Beschreibung aller umgesetzten InfoSichh-Maßnahmen. Sie können ic tn unverändert zum InfoSichhKDSt genommen werden, es bedarf keiner Übersetzung. eg rli te Security Test & Evaluation Plan (ST&E Plan) un k 542.      Der ST&E Plan beinhaltet die erforderlichen Prüfmaßnahmen, die zum Nachweis der uc dr Umsetzung der InfoSichh-Maßnahmen durchzuführen sind. Hierzu gehört die Überprüfung der us rA personellen, infrastrukturellen, organisatorischen und technischen InfoSichh-Maßnahmen (einschl. der Maßnahmen          zur se Abstrahlsicherheit    gemäß      Zentraler   Dienstvorschrift     A-962/1     VS-NfD ie D „Abstrahlsicherheit“ (siehe Bezug Anlage 11.15 (lfdNr. 21)). 5.5.7     Mögliche Ergebnisse einer Akkreditierung Vollständige Akkreditierung (ATO = Approval to Operate) 543.      Werden bei der Prüfung keine oder nur geringfügige Mängel bzgl. der InfoSichh festgestellt, so     dass   ausschließlich    tolerierbare    Risiken    verbleiben,   erstellt    die   DEUmilSAA      eine Akkreditierungsbescheinigung über eine vollständige Akkreditierung an den Verantwortlichen bzw. die Verantwortliche für die IT (z. B. Ltr IPT / ProjLtr). Diese ist in der Regel maximal drei Jahre gültig. 544.      Soll nationale IT an internationale IT angeschlossen werden, erstellt die DEUmilSAA gleichzeitig ein sogenanntes SoC, welches die Einhaltung der Vorgaben der internationalen Organisation in der nationalen IT bestätigt. Seite 71 Stand: März 2019

A-960/1                              Informationssicherheitsverfahren Eingeschränkte Akkreditierung (IATO = Interim Approval to Operate) 545.       Werden bei der Prüfung Mängel bzgl. der InfoSichh festgestellt, die zu Risiken führen, die nur temporär aber nicht dauerhaft tolerierbar sind, kann die DEUmilSAA nur eine eingeschränkte, mit Auflagen versehene Akkreditierung ausstellen (Interim Approval to Operate, IATO). 546.       Die Gültigkeit einer IATO wird durch die DEUmilSAA festgelegt. Sie beträgt maximal zwölf Monate und ist einmal um maximal zwölf Monate verlängerbar. Eine weitere Verlängerung der IATO durch die DEUmilSAA ist nur in Einzelfällen und nur mit Zustimmung des bzw. der CISOBw möglich. Innerhalb der Laufzeit dieser zweiten Verlängerung muss durch eine erneute Prüfung eine vollständige Akkreditierung erreicht werden, ansonsten ist gemäß Nr. 547 zu verfahren. Der Weiterbetrieb ohne eine Akkreditierung bzw. IATO durch die DEUmilSAA stellt ein InfoSichhVork dar (siehe Abschnitt 8). Keine Akkreditierung                                                  st en 547. sd i Werden bei der Prüfung Mängel bzgl. der InfoSichh festgestellt, die zu nicht tolerierbaren ng Risiken führen, wird keine Akkreditierung ausgesprochen. Im Prüfbericht werden nach Möglichkeit ru de neben der Beschreibung der Mängel auch Vorschläge zu deren Abstellung aufgezeigt. Än m Genehmigung zum Testen (AfT = Approval for Testing) de ht 548.                                                   ic Im Verlauf des Akkreditierungsprozesses kann die DEUmilSAA auf Anfrage eine tn Genehmigung zum Testen (Approval for Testing, AfT) von IT erteilen. Ein AfT kann erforderlich sein, eg rli wenn z. B. die noch nicht akkreditierte IT in Anbindung an bereits akkreditierte IT getestet werden soll. te un 549.       Ein AfT ist zeitlich auf ein Minimum zu beschränken und ist grundsätzlich nur für zu k uc verarbeitende / übertragende Informationen bis zur Einstufung VS-NfD (bzw. vergleichbar) zulässig. In dr us begründeten Ausnahmefällen können nach Genehmigung der DEUmilSAA auch Informationen mit rA höheren Geheimhaltungsgraden verarbeitet und / oder übertragen werden. se ie D 5.5.8      Re-Akkreditierung 550.       Eine Re-Akkreditierung wird erforderlich bei • Änderung der Informationsstruktur (siehe Abschnitt 2.1), die eine Änderung der InfoSichh- Maßnahmen erforderlich macht, • wesentlichen Änderungen in den InfoSichh-Anforderungen, die durch die umgesetzten InfoSichh- Maßnahmen nicht erfüllt werden, • Änderung der Einsatzumgebung, z.B. aufgrund gravierender Änderungen der betrieblichen Umgebung bzw. des IT-Umfeldes, • Änderung       der   technischen    Konfiguration,      z.   B.   bei   gravierenden   Änderungen   der systemspezifischen Hardware oder Software (Betriebssoftware, InfoSichh-Software), • neuen externen Anbindungen, Seite 72 Stand: März 2019

Informationssicherheitsverfahren                             A-960/1 • Auftreten einer gravierenden InfoSichh-Lücke     89 (siehe Nr. 818), • gravierenden Änderungen der systemspezifischen Hardware oder Software (Betriebssoftware, InfoSichh-Software), • gravierenden Änderungen der betrieblichen Umgebung bzw. des IT-Umfeldes, • negativen Erkenntnissen aus einer InfoSichhIn bezogen auf das akkreditierte System (siehe Nr. 715), • Ablauf der Gültigkeit der Akkreditierungsbescheinigung sowie • Entzug durch die DEUmilSAA (siehe Abschnitt 5.5.9). 551.       Die verantwortlichen Rollenträgerinnen und Rollenträger in den Anwendungsbereichen (z.B. ProjLtr / DStLtr) melden Änderungen unter Vorlage des aktualisierten InfoSichhK zeitgerecht an die DEUmilSAA. Diese prüft die Dokumentation und entscheidet, ob und in welchem Umfang eine Re- st Akkreditierung erforderlich ist. Die in Nutzung befindliche akkreditierte IT kann grundsätzlich in en sd Abstimmung mit der DEUmilSAA (siehe hierzu auch Abschnitt 5.5.9) bis zum Abschluss der Re- i Akkreditierung weiter betrieben werden. ng ru de 5.5.9      Entzug der Akkreditierung                           Än m 552.                                                     de In folgenden Fällen kann die Akkreditierung durch die DEUmilSAA entzogen werden: ht ic • bei nicht tolerierbaren Risiken der InfoSichh und / oder tn eg • nach einem schwerwiegenden InfoSichhVork (Meldung gemäß Abschnitt 8.4) und Bewertung durch rli die DEUmilSAA und / oder             te un • nach entsprechender Intervention eines beteiligten Bündnispartners (z. B. Entzug der Akkreditierung k uc durch einen Bündnispartner).dr us 553.                        rA Die betroffene IT darf dann grundsätzlich nicht weiter betrieben werden. Der CISOBw ist zu beteiligen.              se ie D Sofern hierdurch Kernführungsfähigkeiten der Bw bzw. einsatzrelevante IT betroffen sind, greifen die Prozesse gemäß A-960/15 „IT-Krisenmanagement in der Bundeswehr“ (siehe Bezug Anlage 11.15 (lfdNr. 47)). 89   D. h. die Vertraulichkeit von Informationen der Einstufung VS - VERTRAULICH oder höher, einschließlich vergleichbarer NATO- / EU-Einstufungen bzw. Einstufungen anderer Nationen, sonstiger überstaatlicher Organisationen oder „MISSION“) ist gefährdet. Im Rahmen des IT-Grundschutzes und der Miltärischen Sicherheit wird der Begriff Sicherheitslücke genutzt. Seite 73 Stand: März 2019

A-960/1                             Informationssicherheitsverfahren 5.6        Freigabe zur Nutzung 5.6.1      Allgemeines 554.       Jede IT (zur Begriffsbestimmung „Informationstechnik“ siehe Anlage 11.11) ist aus Sicht der InfoSichh freizugeben. Diese Freigabe erteilt • vor der ersten Nutzung der bzw. die Ltr IPT / ProjLtr oder der bzw. die Verantwortliche für die Infra- Maßnahme oder der bzw. die Verantwortliche von Vorhaben der Wehrtechnischen Forschung & Technologie sowie sonstiger         Forschungsvorhaben,       Erprobungen, Truppenversuchen und Wehrtechnischen Aufträgen bzw. Vorhaben der WissUstg NT für die gesamte IT des Projektes / Vorhabens (verfahrensbezogene Freigabe gemäß Abschnitt 5.6.2) und im Anschluss • vor der ersten Nutzung für die IT seines bzw. ihres Zuständigkeitsbereiches der bzw. die DStLtr oder st en der bzw. die KtgtFhr ggf. in Abstimmung mit dem bzw. der Ltr der zuständigen IT-Btrb(Fü)Einr (operationelle Freigabe gemäß Abschnitt 5.6.3) und sd i ng • in der Nutzung der bzw. die zuständige Ltr IPT / ProjLtr (Freigabe in der Nutzung) nach Vorliegen ru de der Gründe gemäß Abschnitt 5.6.4                              Än mit dem Musterformular aus der Anlage 11.8.1.              m de 555. ht Mit diesen Freigaben wird bestätigt, dass die IT selbst sowie das IT-Umfeld die geforderten ic tn InfoSichh-bezogenen Eigenschaften aufweist, d. h. alle im jeweiligen InfoSichhKProj bzw. eg InfoSichhKFW geforderten InfoSichh-Maßnahmen wurden durch die zuständigen Rollenträgerinnen rli te und Rollenträger umgesetzt.              un k 556.                                uc Verantwortlich für die Umsetzung der dr us • technischen InfoSichh-Maßnahmen ist der bzw. die Ltr IPT / ProjLtr oder der bzw. die rA Verantwortliche für die Infra-Maßnahme oder der bzw. die Verantwortliche von Vorhaben der se ie Wehrtechnischen Forschung & Technologie sowie sonstiger Forschungsvorhaben, Erprobungen, D Truppenversuchen und Wehrtechnischen Aufträgen bzw. Vorhaben der WissUstg NT und • personellen, organisatorischen und infrastrukturellen InfoSichh-Maßnahmen ist der bzw. die DStLtr / KtgtFhr jeweils für den Anteil der in seinem / ihrem Zuständigkeitsbereich genutzten IT. 557.       Freigaben sind durch die zuständigen Rollenträgerinnen und Rollenträger grundsätzlich unbefristet zu erteilen. Unter bestimmten Voraussetzungen kann eine vorläufige Freigabe erteilt werden (siehe Abschnitt 5.6.5). Ohne Freigabe darf IT nicht betrieben werden. 558.       Soll die IT als Ganzes oder in Teilbereichen nicht mehr genutzt werden, sind die jeweiligen Freigaben durch die zuständigen Rollenträgerinnen und Rollenträger (siehe Nr. 554) aufzuheben. 559.       Wird während der Nutzung von IT festgestellt, dass • geforderte InfoSichh-Maßnahmen nicht umgesetzt sind oder Seite 74 Stand: März 2019