Dezentrale Überwachung der Informationssicherheit                     A-960/1 oder Datenträgern auf dienstlich genutzten APC ist in jedem Fall dann gegeben, wenn diese etwa durch ein persönliches Passwort des IT-Anwenders bzw. der IT-Anwenderin gegen Zugriffe Dritter (ausgenommen Zugriffsrechte von Systemadministratoren) geschützt sind. Weiter besteht ein rechtlich schützenswerter Gewahrsam, wenn die Nutzung des APC mit Genehmigung des Dienstherrn für die Tätigkeit in einer Funktion erfolgt, deren Inhalte einem besonderen Schutz unterliegen und an deren Geheimhaltung auch gegenüber dem Dienstherrn ein berechtigtes Interesse besteht (z. B. Nutzung für vertrauliche Angelegenheiten der Personalvertretung). Liegt eine Einwilligung des IT-Anwenders bzw. der IT-Anwenderin zur Einsichtnahme in diesen Fällen nicht vor, bedarf die Einsichtnahme bzw. die Durchsuchung grundsätzlich einer richterlichen Anordnung. Bei Verdacht auf eine Straftat / ein Dienstvergehen ist vor weiteren Maßnahmen zur Durchsuchung, st Sicherstellung bzw. Beschlagnahme der bzw. die Disziplinarvorgesetzte zu informieren. Zum weiteren en sd Vorgehen für eine Durchsuchung ist die Arbeitshilfe „Rechtliche Aspekte für die Durchsuchung von IT“ i ng zur A-960/5 „Behandlung von Informationssicherheitsvorkommnissen und Unterstützung von ru de disziplinaren und strafrechtlichen Ermittlungen“, Abschnitt 4.1, Nr. 7 (siehe Bezug Anlage 11.15 Än (lfdNr. 59)) zu beachten. Zur Tatort- und Beweismittelsicherung ist der Leitfaden „Beweisermittlung / - m de sicherung“ zur A-960/5 „Behandlung von Informationssicherheitsvorkommnissen und Unterstützung ht von disziplinaren und strafrechtlichen Ermittlungen“, Abschnitt 4.2, Nr. 3 (siehe Bezug Anlage 11.15 ic tn (lfdNr. 59)) zu beachten. Zur Unterstützung von disziplinaren und strafrechtlichen Ermittlungen ist die eg rli A-960/5 „Behandlung von Informationssicherheitsvorkommnissen und Unterstützung von disziplinaren te un und strafrechtlichen Ermittlungen“, Abschnitt 3 (siehe Bezug Anlage 11.15 (lfdNr. 59)) zu beachten. k 706. uc Der bzw. die Verantwortliche für die InfoSichh im überprüften Anwendungsbereich (siehe Nr. dr us 402) veranlasst die notwendigen Maßnahmen zur Abstellung von Mängeln, die im Rahmen der rA Überwachungsmaßnahmen bekannt geworden sind. se ie 707.    Erkenntnisse von grundsätzlicher und / oder übergreifender Bedeutung sind auf dem D Dienstweg unter Beteiligung des bzw. der betroffenen ISBOrgBer / ISBEinsatz an den CISOBw zu melden und von diesem bzw. dieser bei Bedarf dem bzw. der CISO Ressort im BMVg zu melden. 708.    ISBDSt / ISB i.E., SichhBeauftr und ADSB unterrichten sich rechtzeitig gegenseitig über ihre geplanten Prüfungen / Kontrollen. Die jeweiligen Prüfungen sollen gemeinsam durchgeführt werden. 709.    Wenn aufgrund festgestellter InfoSichh-Mängel ein Hinweis auf extremistische / terroristische Bestrebungen oder sicherheitsgefährdende oder geheimdienstliche Tätigkeiten vorliegt, ist der MAD unverzüglich über den bzw. die SichhBeauftr einzuschalten (siehe auch Nr. 821f.). Seite 97 Stand: März 2019

A-960/1                    Dezentrale Überwachung der Informationssicherheit 7.2        Informationssicherheitsinspektionen 7.2.1      Allgemeines 710.       InfoSichhIn sind regelmäßige oder anlassbezogene (z. B. vor Beginn eines Einsatzes oder bei Häufung von InfoSichhVork in einer DSt) Überprüfungsmaßnahmen, die auf der Grundlage aller in den jeweiligen Anwendungsbereichen (siehe Nr. 402) umzusetzenden und im jeweiligen InfoSichhK (siehe Abschnitt 6.3) dokumentierten InfoSichh-Maßnahmen und zur Überprüfung der Einhaltung der Regelungen zur InfoSichh bzw. zur Kryptosicherheit durchgeführt werden. Sie geben einen Überblick zum Umsetzungsstand von InfoSichh-Maßnahmen und über die Einhaltung der Vorschriften zur InfoSichh im jeweiligen Anwendungsbereich. 711.       Für die Durchführung von InfoSichhIn gilt: st • Anwendungsbereiche D, E und Ü (vgl. Nr. 402): en sd i + Für InfoSichh-Maßnahmen, die in der DSt / dem EinsKtgt gemäß InfoSichhKDSt, InfoSichhKFW ng ru bzw. InfoSichhBef (auch auf Grund von Vorgaben anderer InfoSichhK wie z.B. InfoSichhKProj) de Än umzusetzen sind, sind diese Maßnahmen auf Umsetzung zu prüfen und dazu die Prüffragen aus m dem zentralen Prüfkatalog für InfoSichhIn (siehe Nr. 338) zu Grunde zu legen. de + Muss die DSt / das EinsKtgt darüber hinaus InfoSichh-Maßnahmen umsetzen für die keine ht ic Prüffragen verankert sind (z. B. für höheren Schutzbedarf als „normal“ gemäß Anlage 11.3), sind tn diese ebenfalls auf Umsetzung zu prüfen. eg rli te • Anwendungsbereiche F, W, P, V, O und S (vgl. Nr. 402): un k + Für InfoSichh-Maßnahmen, die das Projekt bzw. das Vorhaben gemäß InfoSichhKProj bzw. uc dr InfoSichhKFW umzusetzen hat, sind diese Maßnahmen auf Umsetzung zu prüfen und dazu die us rA Prüffragen aus dem zentralen Prüfkatalog für InfoSichhIn (siehe Nr. 338) zu Grunde zu legen. se + Muss das Projekt bzw. das Vorhaben darüber hinaus InfoSichh-Maßnahmen umsetzen für die ie D keine Prüffragen verankert sind (z. B. für höheren Schutzbedarf als „normal“ gemäß Anlage 11.3), sind diese ebenfalls auf Umsetzung zu prüfen. 7.2.2      Zuständigkeiten 712.       InfoSichhIn führen durch: • die Regionalzentren des ZCSBw in allen Anwendungsbereichen (siehe Nr. 402) dieser Zentralen Dienstvorschrift (mit Ausnahme der folgenden Strichaufzählungen), in den EinsKtgt und EinsStO unter Beteiligung des ISBEinsatz, • der bzw. die ISBBMVg im BMVg, • der bzw. die ISBMAD in den Dienststellen des MAD, Seite 98 Stand: März 2019

Dezentrale Überwachung der Informationssicherheit                      A-960/1 • der bzw. die ISBEinsatzSpezKr in Einsätzen von SpezKr der Bw im Ausland in Abstimmung mit ZCSBw sowie • der bzw. die ISBGBW oder von ihm bzw. ihr beauftragte Dritte in den Unternehmen der geheimschutzbetreuten Wirtschaft, die Kryptogeräte der Bw nutzen. 713.      Die Befugnis zur Veranlassung oder Durchführung von InfoSichhIn haben zusätzlich zu den Durchführenden gem. Nr. 712 jederzeit der bzw. die • CISO Ressort in allen Anwendungsbereichen (siehe Nr. 402) dieser Zentralen Dienstvorschrift sowie im BMVg, • CISOBw in allen Anwendungsbereichen (siehe Nr. 402) dieser Zentralen Dienstvorschrift, • CISO Rüstung in den Anwendungsbereichen P und S (siehe Abschnitte 4.4 und 4.7) in Abstimmung mit dem ZCSBw, st • CISO Infrastruktur im Anwendungsbereich V (siehe Abschnitt 4.5) in Abstimmung mit dem ZCSBw en sd i sowie ng • ISBEinsatz im Anwendungsbereich E (siehe Abschnitt 4.9) für alle DEU EinsKtgt unter Beachtung ru de der Nr. 312.                                              Än m 7.2.3                                                 de Dokumentation / Informationssicherheitsinspektionsbericht ht 714. ic Das Ergebnis durchgeführter InfoSichhIn ist in einem Informationssicherheitsinspektions- tn eg bericht (InfoSichhInB) durch den Inspizierenden bzw. die Inspizierende zu dokumentieren und nach rli te dessen Fertigstellung gemäß Verteiler zu übergeben bzw. zu übersenden. un 715.                                k Ist akkreditierte IT (vgl. Nr. 520) betroffen, ist die DEUmilSAA an der Meldung zu beteiligen. uc dr 716.      Werden Mängel im Zusammenhang mit dem Schutz von PersDat festgestellt, ist der bzw. die us rA für den jeweiligen Anwendungsbereich (siehe Nr. 402) zuständige ADSB zu informieren, der bzw. die se ggf. weitere in seinem bzw. ihrem Zuständigkeitsbereich liegende Maßnahmen ergreift. ie D Werden Mängel im Zusammenhang mit dem Schutz von VS festgestellt, ist der bzw. die für den jeweiligen Anwendungsbereich (siehe Nr. 402) zuständige SichhBeauftr zu informieren, der bzw. die ggf. weitere in seinem bzw. ihrem Zuständigkeitsbereich liegende Maßnahmen ergreift. 717.      Der InfoSichhInB muss Aussagen zur Gesamtbewertung der InfoSichh im geprüften Anwendungsbereich enthalten und ist wie folgt zu gliedern: 1. Allgemeines (geprüfter Anwendungsbereich, der bzw. die für die InfoSichh im Anwendungsbereich Verantwortliche, Datum und Anlass der Inspektion, Datum und Durchführender bzw. Durchführende der letzten Inspektion, Kryptomittel (falls vorhanden), Anlagen), 2. Bewertung(en) der InfoSichh, Kryptosicherheit (falls zutreffend), 3. Abschlussbesprechung, 4. Berichte des bzw. der für die InfoSichh im Anwendungsbereich Verantwortlichen, Seite 99 Stand: März 2019

A-960/1                     Dezentrale Überwachung der Informationssicherheit 5. Wesentliche Feststellungen sowie 6. Folgerungen und Vorschläge. Muster für InfoSichhInB (mit und ohne Kryptomittel) finden sich in Anlage 11.8.3.1 und 11.8.3.2. Wird im Rahmen der InfoSichhIn nur die Kryptosicherheit geprüft (siehe Nr. 722), ist Anlage 11.8.3.1 zu nutzen. 718.        Der Bericht sowie die Dokumentation der ggf. erforderlichen Mängelbeseitigung sind zur InfoSichhDok des Anwendungsbereiches (siehe Abschnitte 6.1.1) zu nehmen. Daneben ist die Dokumentation der Mängelbeseitigung in Form eines Abschlussberichtes auf dem Dienstweg an die prüfende Instanz zu senden. 719.        Erkennt der bzw. die Inspizierende mögliche InfoSichhVork (siehe Abschnitt 8.2), teilt er diese unverzüglich dem zuständigen bzw. der zuständigen ISB der inspizierten Stelle und CSOCBw (Hotline st 90-11111) zur weiteren Bewertung mit.                                          en sd i 720.                                                                        ng Die Beteiligung des MAD gemäß Nr. 709 ist durch die inspizierte Stelle zu prüfen. ru de 7.2.4       Zeitintervalle                                       Än m 721.        Die Zeitintervalle der InfoSichhIn ergeben sich aus der Schutzbedarfskategorie (siehe de ht Abschnitt 2.1.4, Abb. 3) bezogen auf die Vertraulichkeit der mit der IT zu verarbeitenden/übertragenden ic tn Informationen bzw. aus einsatzrelevanten Anforderungen. Folgende Richtwerte gelten für eg rli • Schutzbedarf der Vertraulichkeit normal oder hoch:             3 Jahre, te un • Schutzbedarf der Vertraulichkeit sehr hoch:                    2 Jahre und k • EinsKtgt / EinsStO                   uc                        je Ktgt mindestens einmal. dr 722. us Kryptoverwaltungen einer DSt / eines EinsKtgt sind im Rahmen von InfoSichhIn             111 einmal rA jährlich nach den Vorgaben der Zentralen Dienstvorschrift A-961/1 VS-NfD „Kryptosicherheit in der se ie Bundeswehr“, Abschnitt 9.11.10 (siehe Bezug Anlage 11.15 (lfdNr. 20)) zu inspizieren (dies gilt auch D für InfoSichhIn in der geheimschutzbetreuten Wirtschaft durch den bzw. die ISBGBW). 723.        Für IT, mit der NATO SECRET bzw. SECRET UE / EU SECRET eingestufte Informationen verarbeitet / übertragen wird, kann die DEUmilSAA im Rahmen der Akkreditierung (siehe Abschnitt 5.5) in Übereinstimmung mit den Vorgaben der NATO bzw. der EU abweichende Richtwerte festlegen. 112 724.        Eine im Einzelfall vorzunehmende notwendige Verschiebung von Inspektionen                außerhalb der vorgegebenen Zeitintervalle ist zu beantragen. Die Beantragung sowie Genehmigung wird durch CISOBw geregelt. Die Entscheidung auf Verschiebung ist immer als Einzelfall unter Anlegung eines strengen Maßstabes zu bewerten. 111   in diesem Falle als Kryptosicherheitsinspektion 112   z.B. kurzfristige Beorderung der DSt in den Einatz bzw. Übung, Auslagerung von Kryptomaterial im Rahmen von Instandsetzungen Seite 100 Stand: März 2019

Dezentrale Überwachung der Informationssicherheit                      A-960/1 7.3         Informationssicherheitskontrollen 7.3.1       Allgemeines 725.        InfoSichhKtr sind Überwachungsmaßnahmen, die insbesondere bei den IT-Anwendern und Administratoren innerhalb einer DSt / eines EinsKtgt bzw. einer IT-Btrb(Fü)Einr unregelmäßig erfolgen 113 müssen       . Dazu zählen auch Kontrollen zur Überwachung der ordnungsgemäßen Behandlung von Kryptomitteln im Rahmen der Kryptoverwaltung und des Kryptobetriebes in der Bw und in der geheimschutzbetreuten Wirtschaft. 726.        Im Rahmen der InfoSichhKtr ist durch den bzw. die ISBDSt / ISB i.E. das Kryptotagebuch (wenn Kryptomittel vorhanden sind) mindestens einmal jährlich nach den Vorgaben der Zentralen Dienstvorschrift A-961/1 VS-NfD „Kryptosicherheit in der Bundeswehr“, Abschnitt 9.11.10 (siehe Bezug st Anlage 11.15 (lfdNr. 20)) zu überprüfen, insbesondere „Löschungen“ sind durch ihn bzw. sie zu prüfen en und gelten erst nach Prüfung als abgeschlossen. sd i ng ru 7.3.2       Zuständigkeiten (D, E, O)                            de Än 727.        InfoSichhKtr sind durch den bzw. die ISBOrgBer / ISBDSt / ISB i.E., ISBGBW bzw. jeden m de ISBBtrb grundsätzlich eigenständig im Zuständigkeitsbereich sowie durch den bzw. die ISBProj für den ht ic Anwendungsfall „IT-Betrieb und Aufgabenübernahme durch Dritte“ (O) durchzuführen. In besonderen tn Fällen sind sie auf Anweisung CISO Ressort, CISOBw, des ZCSBw, der ISBOrgBer, der vorgesetzten eg rli DSt oder des bzw. der ISBBMVg bzw. ISBMAD durchzuführen. te un k 7.3.3       Dokumentation (D, E, O)  uc dr 728.                           us Die Ergebnisse der InfoSichhKtr sind in einem formlosen Bericht festzuhalten und dem bzw. rA der DStLtr / KtgtFhr bzw. Ltr NDA Germany sowie für den Anwendungsfall „IT-Betrieb und se ie Aufgabenübernahme durch Dritte“ (O) dem bzw. der ProjLtr vorzulegen. Sie sind zur InfoSichhDok D (siehe Abschnitt 6.1.1 bzw. 6.1.2) zu nehmen. Der Bericht ist bis zur vollständigen Abstellung ggf. festgestellter Mängel, mindestens jedoch bis zur nächsten InfoSichhIn aufzubewahren. 729.        Die Beteiligung des MAD gemäß Nr. 709 ist durch die kontrollierte Stelle zu prüfen. 7.4         Informationssicherheitsprüfungen 7.4.1       Allgemeines 730.        InfoSichhPrfg   dienen   der   Aufklärung    von   InfoSichh-Verstößen     und   -Lücken    (zur Begriffsbestimmung siehe Nrn. 806 und 807). Näheres zu InfoSichhPrfg zur Aufklärung von InfoSichh- 113   Zur Unterscheidung der Dienstaufsicht von der Durchsuchung und weiteren rechtlichen Aspekten siehe Nr. 705 und die dort aufgeführten Verweise auf die A-960/5 einschließlich Arbeitshilfen und Leitfäden. Seite 101 Stand: März 2019

A-960/1                   Dezentrale Überwachung der Informationssicherheit Verstößen regeln Abschnitt 8 und die A-960/5 „Behandlung von Informationssicherheitsvorkommnissen und Unterstützung von disziplinaren und strafrechtlichen Ermittlungen“ (siehe Bezug Anlage 11.15 (lfdNr. 59)). 7.4.2     Zuständigkeiten 731.      Die Entscheidung zur Durchführung einer InfoSichhPrfg trifft der zuständige Rollenträger bzw. die zuständige Rollenträgerin (z.B. DStLtr / KtgtFhr / Kdr EinsStO / Ltr IPT / ProjLtr) für seinen bzw. ihren nachgeordneten Bereich auf Empfehlung des bzw. der jeweils zuständigen ISB oder auf Veranlassung durch den bzw. die CISO Ressort, CISOBw oder das ZCSBw. 732.      InfoSichhPrfg sind von der Prüforganisation des ZCSBw (die Incident Response Teams im CSOCBw, alle Regionalzentren (vgl. Nr. 340) und alle Schwachstellenanalyse-Teams) durchzuführen. st 733.      Werden im Rahmen einer InfoSichhPrfg anlassbezogene Ermittlungen (Verdacht auf en missbräuchliche    oder   unerlaubte   Nutzung    von   IT) sd erforderlich,i  ist   die   Beteiligung   der ng Personalvertretung zu prüfen (gemäß Rahmendienstvereinbarung über  ru                die Protokollierung de informationstechnischer Systeme, siehe Bezug Anlage 11.15 (lfdNr. 40), dort § 7). Än m 7.4.3     Dokumentation                                 de ht 734.                                                ic Der bzw. die Prüfende hat das Ergebnis der InfoSichhPrfg in einem formlosen Bericht zu tn eg dokumentieren und dem bzw. der betroffenen Verantwortlichen im Anwendungsberich (z. B. rli DStLtr / KtgtFhr / Kdr EinsStO, ProjLtr) sowie Anordnenden vorzulegen. Mängel in der InfoSichh sind te un zu erläutern. Der bzw. die Prüfende schlägt Maßnahmen zur Abstellung der Mängel vor. Das Ergebnis k uc sowie die Dokumentation der Mängelbeseitigung sind zur InfoSichhDok (siehe Abschnitt 6.1.1 bzw. dr us 6.1.2) zu nehmen. Der Bericht ist bis zur vollständigen Abstellung ggf. festgestellter Mängel rA aufzubewahren.            se ie 735.      Die Beteiligung des MAD gemäß Nr. 709 ist durch die geprüfte Stelle zu prüfen. D Seite 102 Stand: März 2019

Meldewesen für und Behandlung von                           A-960/1 Informationssicherheitsvorkommnissen 8           Meldewesen für und Behandlung von Informations- sicherheitsvorkommnissen 8.1         Allgemeines 801.        In diesem Abschnitt werden das „Aufgaben- und fachbezogene Meldewesen“ gemäß Zentraler Dienstvorschrift A-200/5 „Meldewesen der Bundeswehr“ (siehe Bezug Anlage 11.15 (lfdNr. 17)) für spezifische Sachverhalte der InfoSichh sowie Grundsätze zu Aufgaben und Zuständigkeiten bei der Behandlung         von     InfoSichhVork      geregelt.    Da     bei   Informationssicherheitsvorkommnissen (InfoSichhVork) häufig personenbezogene Daten betroffen sind, ist stets zu prüfen, ob ein meldepflichtiger Datenschutzverstoß vorliegt und der bzw. die zuständige ADSB umgehend zu st informieren ist.                                                                 en sd i 802.        InfoSichhVork sind durch die jeweils zuständigen Rollenträgerinnen und Rollenträger der ng ru Anwendungsbereiche (siehe Abschnitt 4) nach den Grundsätzen dieses Abschnittes sowie nach den de Vorgaben der Zentralen Dienstvorschrift A-960/5 „Behandlung von Informationssicherheits- Än m vorkommnissen und Unterstützung von disziplinaren und strafrechtlichen Ermittlungen“ (siehe Bezug 114 de Anlage 11.15 (lfdNr. 59))           zu behandeln.         ht ic tn Die A-960/5 regelt die Behandlung von InfoSichhVork im Detail, gibt Hilfestellung hinsichtlich der eg richtigen Reaktion bei InfoSichhVork und regelt die Unterstützung von disziplinaren und strafrechtlichen rli Ermittlungen. te un k InfoSichhVork können durch zu späte oder falsche Reaktionen kritisch werden. Daher ist es wichtig, uc dr frühzeitig und umfassend zu melden und sich im Zweifelsfall vor weiteren Maßnahmen durch CSOCBw us rA beraten zu lassen. Dies trägt entscheidend zu einem vollständigen InfoSichh-Lagebild und einer se Schadensminimierung im GB BMVg bei. Sofern bei der Bewertung des InfoSichhVork ein hohes ie D Sicherheitsrisiko identifiziert wird, ist die A-960/15 „IT-Krisenmanagement in der Bundeswehr“ (siehe Bezug Anlage 11.15 (lfdNr. 47)) anzuwenden. 803.        Die Behandlung von InfoSichhVork ist regelmäßig mit der zuständigen IT-Btrb(Fü)Einr hinsichtlich Maßnahmen zur Wiederherstellung und zum Wiederanlauf zu üben. Der Umfang sollte so gewählt und mit der IT-Btrb(Fü)Einr abgestimmt werden, dass Auswirkungen auf den laufenden IT- Betrieb begrenzt bleiben. 804.        Eine Kommunikation mit der Presse bzw. Öffentlichkeit zu InfoSichhVork erfolgt ausschließlich durch CISOBw in Abstimmung mit dem jeweils zuständigen PIZ. 114   Verweis ist vorläufig, da sich die ZDv A-960/5 in der Überarbeitung befindet. Seite 103 Stand: März 2019

A-960/1                          Meldewesen für und Behandlung von Informationssicherheitsvorkommnissen 805.      Die Dokumentation zu abgeschlossenen InfoSichhVork ist drei Jahre aufzubewahren. Die Frist beginnt am Ende des laufenden Kalenderjahres. 8.2       Begriffsbestimmungen 806.      Eine Informationssicherheitslücke liegt vor bei drohendem Verlust mindestens eines Grundwertes der Informationssicherheit (siehe Nr. 111) oder eines Gewährleistungszieles (siehe Nr. 112) durch unzureichende Umsetzung bestehender Vorgaben und Maßnahmen der InfoSichh oder dem Bekanntwerden einer neuen Gefährdung (siehe Nr. 115), der nicht zeitnah mit angemessenen InfoSichh-Maßnahmen begegnet werden kann. 807.      Ein Informationssicherheitsverstoß liegt vor bei eingetretenem und vermutetem Verlust mindestens     eines   Grundwertes     der    Informationssicherheit   (siehe   Nr. st    111)   oder   eines Gewährleistungszieles (siehe Nr. 112). en sd i 808.                                                                   ng Ein Sicherheitsvorkommnis im Kryptowesen liegt vor, wenn durch Nichtbeachtung von ru Vorgaben der Kryptosicherheit (A-961/1 VS-NfD „Kryptosicherheit in der Bundeswehr“, (siehe Bezug de Än Anlage 11.15 (lfdNr. 20))) die Kryptosicherheit beeinträchtigt oder gefährdet ist. m 809.                                                     de Ein InfoSichhVork liegt vor, wenn die InfoSichh durch ht • eine Informationssicherheitslücke, ic tn • einen Informationssicherheitsverstoß oder     eg rli • ein Sicherheitsvorkommnis im Kryptowesen   te un beeinträchtigt bzw. gefährdet wird. k uc dr Details zur Einordnung von InfoSichhVork sind der Arbeitshilfe „Kategorien und Anwendungsfälle für us rA InfoSichhVork“ in der A-960/5 „Behandlung von Informationssicherheitsvorkommnissen und se Unterstützung von disziplinaren und strafrechtlichen Ermittlungen“, Abschnitt 4.1, Nr. 3. zu entnehmen ie D (siehe Bezug Anlage 11.15 (lfdNr. 59)). 810.      Sicherheitsvorkommnisse im Kryptowesen (gemäß Zentraler Dienstvorschrift A-961/1 VS-NfD „Kryptosicherheit in der Bundeswehr“, Abschnitt 7) sind mit den dann notwendigen Meldungen (einschließlich Benachrichtigung per E-Mail) abschließend in der A-961/1 VS-NfD „Kryptosicherheit in der Bundeswehr“ geregelt. Sofortmeldung oder Abschlussbericht gemäß Abschnitt 8.4 entfallen daher bei Sicherheitsvorkommnissen im Kryptowesen. 8.3       Aufgaben und Zuständigkeiten 811.      Alle Betreiber und Nutzer von IT im GB BMVg sowie Vertragspartner der Bw sollen Verdachtsmomente auf ein InfoSichhVork bzw. entsprechende auffällige Ereignisse unverzüglich dem bzw. der Zuständigen für die Bearbeitung von InfoSichhVork im jeweiligen Anwendungsbereich (siehe Seite 104 Stand: März 2019

Meldewesen für und Behandlung von                                A-960/1 Informationssicherheitsvorkommnissen Nr. 402) melden. Dies ist in der Regel der bzw. die bestellte ISB (z. B. ISBDSt / ISB i.E. / ISBProj, ISBFW). Falls kein bzw. keine ISB bestellt wurde, ist an den Verantwortlichen bzw. die Verantwortliche für die InfoSichh im jeweiligen Anwendungsbereich zu melden, der dann die im Folgenden beschriebenen Tätigkeiten eines ISB bezüglich der weiteren Bearbeitung übernimmt. Sind die o.g. Rollenträgerinnen und Rollenträger nicht verfügbar bzw. nicht unmittelbar erreichbar, ist 115 ausnahmsweise direkt an CSOCBw                     zu melden. CSOCBw hat zur Umsetzung seiner Zuständigkeiten bei der Behandlung von InfoSichhVork eine fachliche Weisungsbefugnis gegenüber den beteiligten 116 Stellen in der Bw        . 117 812.        Der bzw. die zuständige ISB • prüft unverzüglich, ob es sich bei dem gemeldeten Verdachtsmoment bzw. Ereignis tatsächlich um ein InfoSichhVork oder ein anderes gemäß Abschnitt 8.5 „Weitere Meldungen“ meldepflichtiges st en Ereignis / Vorkommnis handelt.                                            sd i • nutzt dabei und für die weitere Behandlung von InfoSichhVork bei Bedarf die fachliche Beratung ng ru durch CSOCBw.                                                      de Än • beachtet beim weiteren Vorgehen die detaillierten Vorgaben der A-960/5 „Behandlung von m Informationssicherheitsvorkommnissen und Unterstützung von disziplinaren und strafrechtlichen de Ermittlungen“ (siehe Bezug Anlage 11.15 (lfdNr. 59)).  ht ic • meldet umgehend dem bzw. der Verantwortlichen für die InfoSichh im Anwendungsbereich (i.d.R. tn eg der bzw. die DStLtr / KtgtFhr / ProjLtr, siehe Nr. 402) und holt bei allen weiteren Aktivitäten zur rli te Behandlung des InfoSichhVork im notwendigen Umfang die Entscheidung des bzw. der un Verantwortlichen für die InfoSichh im jeweiligen Anwendungsbereich ein. uc k • veranlasst für ein erkanntes bzw. vermutetes InfoSichhVork das Absetzen einer Sofortmeldung dr us (siehe    Abschnitt         8.4) rA          innerhalb      der     in    der    A-960/5      „Behandlung      von se Informationssicherheitsvorkommnissen und Unterstützung von disziplinaren und strafrechtlichen ie D Ermittlungen“ (siehe Bezug Anlage 11.15 (lfdNr. 59)) genannten Fristen (in Abhängigkeit von der Stufe des InfoSichhVork spätestens am nächsten Tag). • veranlasst       für       InfoSichhVork     gemäß      A-960/5    „Behandlung     von   Informationssicherheits- vorkommnissen und Unterstützung von disziplinaren und strafrechtlichen Ermittlungen“ (siehe Bezug Anlage 11.15 (lfdNr. 59)) Sofortmaßnahmen bzw. setzt angewiesene Maßnahmen des CSOCBw um (ist ein Projekt betroffen, so ist der bzw. die zuständige Ltr IPT / ProjLtr zu beteiligen). • veranlasst die Umsetzung der weiteren Maßnahmen zur Behandlung des InfoSichhVork gemäß A- 960/5, Abschnitt 2.3.1. 115   Tel: 90-11111 bzw. 02251-953-3105; Mail: CSOCBw@bundeswehr.org 116   Mit Ausnahme von CISO Ressort / BMVg CIT II 2 und CISOBw. 117   Ist kein bzw. keine ISB bestellt, übernimmt der bzw. die Verantwortliche für die InfoSichh im jeweiligen Anwendungsbereich (siehe Nr. 402) diese Aufgaben. Seite 105 Stand: März 2019

A-960/1                                       Meldewesen für und Behandlung von Informationssicherheitsvorkommnissen • schlägt bei Bedarf zur weiteren Aufklärung eines InfoSichhVork dem bzw. der Verantwortlichen für die InfoSichh im jeweiligen Anwendungsbereich (siehe Nr. 402) die Durchführung einer InfoSichhPrfg (siehe Abschnitt 7.4) vor. • beteiligt den zuständigen bzw. die zuständige ADSB, wenn PersDat betroffen sind. • beteiligt den bzw. die SichhBeauftr, wenn der Schutz von VS betroffen ist bzw. ein Hinweis auf extremistische / terroristische Bestrebungen oder sicherheitsgefährdende oder geheimdienstliche Tätigkeiten vorliegt (siehe dazu Abschnitt 8.6). Wird der bzw. die SichhBeauftr eingeschaltet und ergibt dessen / deren Prüfung, dass das Ereignis als Sicherheitsvorkommnis gemäß Zentraler Dienstvorschrift A-1130/1 VS-NfD „Militärische Sicherheit in der Bundeswehr – Militärische 118 Sicherheit“         (siehe Bezug Anlage 11.15 (lfdNr. 14)) zu qualifizieren ist, übernimmt der bzw. die SichhBeauftr die Federführung für das Vorkommnis und die weitere Bearbeitung. st • beteiligt den bzw. die SichhBeauftr der DSt, wenn sich aus dem InfoSichhVork Hinweise auf ein en Sicherheitsrisiko     119 (siehe Bezug Anlage 11.15 (lfdNr. 16)) ergeben.      sd i ng • veranlasst bei Verdacht einer Straftat oder eines Dienstvergehens unverzüglich eine Meldung an ru de den zuständigen Disziplinarvorgesetzten bzw. die zuständige Disziplinarvorgesetzte           120 (für Soldaten Än bzw. Soldatinnen), an den zuständigen Dienstvorgesetzten bzw. die zuständige Dienstvorgesetzte m de (für Beamte bzw. Beamtinnen) oder an die zuständige Personalführung (für Tarifbschäftigte). Das ht Ergebnis der Prüfungen und ggf. die Meldung an den bzw. die Disziplinarvorgesetzte(n) ist zu ic tn dokumentieren und bei der DSt / im EinsKtgt zur InfoSichhDok (siehe Abschnitt 6.1.1) zu nehmen. eg rli • führt eine Übersicht über alle gemeldeten InfoSichhVork in der InfoSichhDok der DSt bzw. des te EinsKtgt (siehe Abschnitt 6.1.1).             un k uc 813.        Der      bzw.         die   Verantwortliche dr          für   die   InfoSichh   im    Anwendungsbereich      (i.d.R. DStLtr / KtgtFhr / ProjLtr) us rA se • übernimmt die Aufgaben des bzw. der ISB, wenn er bzw. sie keinen bzw. keine ISB bestellt hat. ie D • ist verantwortlich für die unverzügliche und umfassende Meldung und weitere Behandlung der InfoSichhVork in seinem bzw. ihrem Zuständigkeitsbereich. 118   Die Meldung eines erkannten Sicherheitsvorkommnisses erfolgt nach den Vorgaben des Zentralerlasses B- 1130/32 VS-NfD „Melde-, Berichts- und Informationswege zur Erstellung der Militärischen Sicherheitslage der Bundeswehr“ (vgl. Nr. 820). 119   ZDv A-1130/3 „Militärische Sicherheit in der Bundeswehr – Personeller Geheim- und Sabotageschutz“, Nr. 2408: Ein Sicherheitsrisiko liegt vor, wenn tatsächliche Anhaltspunkte (1) Zweifel an der Zuverlässigkeit des Betroffenen bei der Wahrnehmung einer sicherheitsempfindlichen Tätigkeit begründen) oder (2) eine besondere Gefährdung durch Anbahnungs- und Werbungsversuche fremder Nachrichtendienste, insbesondere die Besorgnis der Erpressbarkeit, begründen) oder (3) Zweifel am Bekenntnis des Betroffenen zur freiheitlichen demokratischen Grundordnung im Sinne des Grundgesetzes oder am jederzeitigen Eintreten für deren Erhaltung begründen). 120   Die endgültige Bewertung, ob ein Verdacht nach § 32 Absatz 1 der Wehrdisziplinarordnung vorliegt, sowie die ggf. anschließende Aufnahme disziplinarer Ermittlungen obliegt dem bzw. der zuständigen Disziplinarvorgesetzten. Seite 106 Stand: März 2019