{ "label": "TKG-SiKa2.0", "language": "DE", "uuid": "3547ca1d-abbf-42e3-8a43-b5afbee19595", "values": [ { "category": "2.1 Routing und Protokolle", "code": "SK2.1x", "label": "Es ist immer von verschiedenen Optionen immer die am sichersten einzusch\u00e4tzende L\u00f6sung von Standards und Protokollen zu implementieren", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e100", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12500" }, { "category": "2.1.1 Verschl\u00fcsselungstechnik", "code": "SK2.1.1.1x", "label": "Der TK-Anbieter muss an sicherheitsrelevanten Stellen eine Verschl\u00fcsselung von Daten nach Stand der Technik vornehmen oder des Transportweges (z.B. \u00fcber TLS). -> technische Richtlinie TR-02102", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e101", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12501" }, { "category": "2.1.1 Verschl\u00fcsselungstechnik", "code": "SK2.1.1.2x", "label": "Passw\u00f6rter m\u00fcssen nach aktuellem Stand der Technik zumindest gehasht und mit einem Salt versehen und gespeichert werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e102", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12502" }, { "category": "2.1.2 Schutz vor DoS/DDoS-Angriffen", "code": "SK2.1.2x", "label": "Der TK-Anbieter Ma\u00dfnahmen zur Abwehr (Mitigation) von DoS/DDoS-Angriffen zu treffen. ", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e103", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12503" }, { "category": "2.1.2.1 Resilienz der Infrastruktur gegen DoS- / DDoS-Angriffe", "code": "SK2.1.2.1x", "label": "Die Kapazit\u00e4ten von Systemen, die im Fokus von DDoS-Angriffen stehen k\u00f6nnten, m\u00fcssen so ausgelegt werden, dass ihre Funktionsf\u00e4higkeit auch bei einer mittelschweren Attacke ohne weitere Ma\u00dfnahmen weiterhin gew\u00e4hrleistet ist.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e104", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12504" }, { "category": "2.1.2.2 Schutz vor IP-Spoofing", "code": "SK2.1.2.2x", "label": "Das F\u00e4lschen von Absenderadressen muss verhindert oder erschwert werden. Die Anforderungen aus den IETF-RFCs RFC2827 und RFC3704 sind umzusetzen (Ingress filter/BCP38) .", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e105", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12505" }, { "category": "2.1.2.3 Deaktivieren nicht genutzter Dienste - eigene Systeme", "code": "SK2.1.2.3.1", "label": "Eigene Server sollten gegen Missbrauch absichert werden, indem z.B. nicht ben\u00f6tigte Dienste deaktiviert werden", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e106", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12506" }, { "category": "2.1.2.3 Deaktivieren nicht genutzter Dienste - Kunden", "code": "SK2.1.2.3.2", "label": "Kunden sollten auf offene Ports und erreichbare Dienste (selbst ermittelt oder auf Basis externer Quellen), von denen Gefahr ausgeht, hingewiesen werden", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e107", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12507" }, { "category": "2.1.2.4 Schutz betrieblich erforderlicher Dienste", "code": "SK2.1.2.4x", "label": "F\u00fcr den Netzbetrieb erforderliche Dienste m\u00fcssen durch geeignete Ma\u00dfnahmen (z.B. ACLs) und Komponenten (z.B. Paketfilter) vor DoS-/DDoS-Angriffen gesch\u00fctzt werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e108", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12508" }, { "category": "2.1.2.5 Detektion von Botnetzen", "code": "SK2.1.2.5x", "label": "Man muss unter Beachtung der Ma\u00dfgaben in \u00a7 100 Abs. 1 TKG (Nutzung von Steuerdaten,Verkehrdaten), eine geeignete Sensorik betreiben, um Botnetze zu detektieren. Datenschutzrechtliche Schutzvorschriften wie die unverz\u00fcgliche L\u00f6schung aufgezeichneter Daten und die Information des betrieblichen Datenschutzbeauftragten sind zu beachten, vgl. \u00a7 100 Abs. 2 TKG.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e109", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12509" }, { "category": "2.1.3 Gleichbehandlungsgrundsatz", "code": "SK2.1.3.1x", "label": "Datenpakete von und an Kunden muss der TK-Anbieter unver\u00e4ndert und gleichberechtigt \u00fcbertragen, unabh\u00e4ngig davon, woher diese stammen oder welche Anwendungen die Pakete generiert haben. Ausgenommen hiervon ist der VOIP-Dienst.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e110", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12510" }, { "category": "2.1.4 Inter-Domain-Routing", "code": "SK2.1.4.1x", "label": " Ma\u00dfnahmen zur Verhinderung der Manipulation von BGP-Routen sind zu treffen, beispielsweise die Verwendung von RPKI ", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e111", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12511" }, { "category": "2.2 Beobachtung, Berichterstattung und Kooperation", "code": "SK2.2.1", "label": "Verkehrsdaten sollten im Rahmen der gesetzlichen M\u00f6glichkeiten (DSGVO, TKG100 Abs1 und \u00a7 109a Abs. 4 - 6 TKG) und soweit dies f\u00fcr die Erbringung des jeweiligen Dienstes erforderlich ist, regelm\u00e4\u00dfig auf Auff\u00e4lligkeiten hin beobachtet werden. Bei festgestellten Unregelm\u00e4\u00dfigkeiten sind geeignete Ma\u00dfnahmen zum Schutz zu ergreifen (z.B. Netzverkehr unterbinden, Verkehr zu St\u00f6rern einschr\u00e4nken oder unterbinden).", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e112", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12512" }, { "category": "2.2.1 Implementierung einer Monitoring-Infrastruktur", "code": "SK2.2.1.1x", "label": "Eine geeignete Monitoring Infrastruktur (MI) muss vorgehalten werden. Diese sollte dazu in der Lage sein, fortw\u00e4hrend Bedrohungen zu identifizieren und zu vermeiden. Die MI muss alle f\u00fcr den Betrieb des Netzwerkes wesentlichen Komponenten erfassen sowie auch Komponenten, die personenbezogene Daten (z.B. Nutzerkennungen) an externe Vertragspartner \u00fcbermitteln, etwa im Kontext von netzwerk\u00fcbergreifender Signalisierung. Als f\u00fcr das Sicherheitsmonitoring geeignete Datenquellen kommen u.a. m\u00f6glicherweise BGP-Router, Server f\u00fcr DNS, E-Mail, HTTP(S), SIP(S), SSH, IPsec in Betracht.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e113", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12513" }, { "category": "2.2.1 Implementierung einer Monitoring-Infrastruktur", "code": "SK2.2.1.2x", "label": "Eine geeignete MI muss ferner f\u00fcr eingetretene St\u00f6rungen geeignete Beseitigungsma\u00dfnahmen vorsehen. Die vorgesehenen Ma\u00dfnahmen sollten tats\u00e4chlich und ggf. auch unter Zeitdruck umsetzbar sein.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e114", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12514" }, { "category": "2.2.1.2 Implementierung einer Monitoring-Infrastruktur", "code": "SK2.2.1.2.1x", "label": "Die f\u00fcr ein Monitoring eingesetzten Tools m\u00fcssen geeignete Parameter bzw. Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e115", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12515" }, { "category": "2.2.1.2 Implementierung einer Monitoring-Infrastruktur", "code": "SK2.2.1.2.2", "label": "Die Arbeitsweise, das Zusammenspiel der Monitoring Tools und eine ggf. vorgenommene Verarbeitung der Daten sollte im Sicherheitskonzept dokumentiert werden. Ebenfalls dokumentiert werden sollten Schwellwerte und \u00e4hnliche Parameter, die zur Justierung der MI (z.B. H\u00e4ufigkeit von Einzelereignissen bis ein Alarm ausgel\u00f6st wird, Justierung des Verh\u00e4ltnisses von True Positives zu False Negatives) genutzt werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e116", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12516" }, { "category": "2.2.1.2 Implementierung einer Monitoring-Infrastruktur", "code": "SK2.2.1.2.3x", "label": "Es ist ferner zu dokumentieren, wie mit erkannten Auff\u00e4lligkeiten umgegangen wird. Es ist zu kennzeichnen, welche Ma\u00dfnahmen von der MI automatisch eingeleitet werden, und welche einen Alarm ausl\u00f6sen, der eine manuelle Intervention nach sich zieht.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e117", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12517" }, { "category": "2.2.1.2 Implementierung einer Monitoring-Infrastruktur", "code": "SK2.2.1.2.4", "label": "Die MI sollte daneben eine einzelfallunabh\u00e4ngige Statistik generieren, welche eine Identifizierung eines bestimmten Gefahrenbildes oder Modus Operandi erm\u00f6glicht. Kommen bin\u00e4re Klassifikatoren zum Einsatz, so sollten diese mittels einer gemeinsamen Betrachtung der Eckdaten (TPR, FPR, TNR, FNR) und einer geeigneten Darstellung (z.B. ROC-Kurve) bewertet werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e118", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12518" }, { "category": "2.2.1 Implementierung einer Monitoring-Infrastruktur", "code": "SK2.2.1.3x", "label": "Signifikante Abweichungen vom normalen Netzbetrieb (z.B. ungew\u00f6hnliche Datenfl\u00fcsse, untypische Datenpakete auf bestimmten Ports, auff\u00e4lliges Verhalten kritischer Netzkomponenten usw.) m\u00fcssen permanent registriert, analysiert und dokumentiert werden. Dabei ist darauf zu achten, dass die Daten nur f\u00fcr den erforderlichen Zeitraum gespeichert werden. Sofern keine konkreten Anhaltspunkte f\u00fcr Angriffe oder Fehler vorliegen, sind die Daten nach sp\u00e4testens 7 Tagen zu anonymisieren (z.B. durch Erstellen von statistischen Auswertungen) oder zu l\u00f6schen.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e119", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12519" }, { "category": "2.2.1.3 Weiterentwicklung MI", "code": "SK2.2.1.3.1", "label": "Die von der MI generierten Daten sollten zur Optimierung des Verh\u00e4ltnisses von True Positives und False Negatives regelm\u00e4\u00dfig einem Review unterworfen werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e120", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12520" }, { "category": "2.2.1.3 Weiterentwicklung MI", "code": "SK2.2.1.3.2", "label": "Zur Identifizierung von False Negatives sollten erg\u00e4nzend externe Datenquellen verwandt werden. Auch in diesen F\u00e4llen sollten die zur Optimierung ergriffenen Ma\u00dfnahmen (z.B. Justierung von Schwellwerten; die Erfassung weiterer Parameter; der Einsatz weiterer oder die Abschaltung von nicht mehr zielf\u00fchrenden Monitoring Tools) und etwaige \u00c4nderungen der MI dokumentiert werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e121", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12521" }, { "category": "2.2.1.3 Weiterentwicklung MI", "code": "SK2.2.1.3.3x", "label": "Eine MI muss rechtlich zul\u00e4ssig und datenschutzkonform sein. Aus telekommunikationsrechtlicher Sicht orientiert sich die rechtliche Zul\u00e4ssigkeit einer MI an \u00a7 100 Abs. 1 und 2 TKG", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e122", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12522" }, { "category": "2.2 Beobachtung, Berichterstattung und Kooperation", "code": "SK2.2.2", "label": "Es sollten Ma\u00dfnahmen umgesetzt werden, um ungew\u00fcnschte Ver\u00e4nderungen durch Hersteller, Management-Dienstleister oder staatliche Akteure (z.B. aus den Herstellerl\u00e4ndern) detektieren bzw. ausschlie\u00dfen", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e123", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12523" }, { "category": "2.2.2 Aufzeichnung / Protokollierung von Management-Aktivit\u00e4ten", "code": "SK2.2.2.1x", "label": "S\u00e4mtliche Management-Aktivit\u00e4ten an Netzkomponenten m\u00fcssen protokolliert und entsprechend ihrer Bedeutung f\u00fcr die Sicherheit der Gesamtinfrastruktur \u00fcber einen hinreichend langen Zeitraum archiviert werden, um m\u00f6gliche Sicherheitsvorf\u00e4lle auch im Nachhinein rekonstruieren zu k\u00f6nnen.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e124", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12524" }, { "category": "2.2.3 Protokollierung der Konfigurationsdateien", "code": "SK2.2.3.1", "label": "Die Soll-Konfiguration einer jeden Netzkomponente sollten dokumentiert und gegen unbefugten Zugriff gesch\u00fctzt abgespeichert werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e125", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12525" }, { "category": "2.2.4 Soll- / Ist-Abgleich der Komponenten", "code": "SK2.2.4.1", "label": "Hinreichend h\u00e4ufig sollten Revisionen der Netzinfrastruktur durchgef\u00fchrt werden, die u.a. einen Soll-Ist-Abgleich der aktuellen Konfigurationsdateien s\u00e4mtlicher Netzkomponenten mit den gem\u00e4\u00df 2.2.3 archivierten Referenzdateien umfassen.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e126", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12526" }, { "category": "2.2.5 Verhaltenspr\u00fcfung der Komponenten", "code": "SK2.2.5.1", "label": "\u00dcber den Soll-Ist-Vergleich der Konfigurationsdateien hinaus sollte regelm\u00e4\u00dfig ein Vergleich des tats\u00e4chlichen mit dem vorgesehen Verhalten einzelner Komponenten durchgef\u00fchrt werden. Dazu sollen Test Cases definiert werden, in denen das konforme Verhalten beschrieben ist.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e127", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12527" }, { "category": "2.2.6 Identifizierung infizierter Systeme und Aufkl\u00e4rung des Kunden \u00fcber Bedrohungen bei erkannter Infektion", "code": "SK2.2.6.1", "label": "Zus\u00e4tzlich zu den genannten Vorkehrungen zum eigenen Schutz sollten TK-Anbieter das Netz auch im Hinblick auf infizierte Systeme von Kunden beobachten.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e128", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12528" }, { "category": "2.2.6 Identifizierung infizierter Systeme und Aufkl\u00e4rung des Kunden \u00fcber Bedrohungen bei erkannter Infektion", "code": "SK2.2.6.2x", "label": "Werden dem TK-Anbieter St\u00f6rungen bekannt, die von Datenverarbeitungssystemen der Nutzer ausgehen, ist er nach TKG \u00a7109a Abs. 4 zur unverz\u00fcglichen Benachrichtigung der Nutzer verpflichtet, soweit dies technisch m\u00f6glich und zumutbar ist. Auch hat er in diesem Fall die Nutzer auf angemessene, wirksame und zug\u00e4ngliche technische Mittel hinzuweisen, mit denen sie diese St\u00f6rungen erkennen und beseitigen k\u00f6nnen. Die gesetzlichen Meldepflichten (siehe Katalog Kap. 3.5.3) sind zu beachten.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e129", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12529" }, { "category": "2.2.7 Kooperationen bei TK-anbieter\u00fcbergreifenden St\u00f6rungen", "code": "SK2.2.7.1", "label": "Treten St\u00f6rungen auf, von denen mehrere TK-Anbieter betroffen sein k\u00f6nnten, beispielsweise aufgrund von DDoS-Angriffen (siehe hierzu auch 2.1.2.), ist eine TK-Anbieter \u00fcbergreifende Zusammenarbeit notwendig. Diese sollte auch einen provider\u00fcbergreifenden Austausch zu infizierten Ger\u00e4ten umfassen.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e130", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12530" }, { "category": "2.2.7 Kooperationen bei TK-anbieter\u00fcbergreifenden St\u00f6rungen", "code": "SK2.2.7.2x", "label": "Hierzu m\u00fcssen Ansprechpartner und Vorgehensweisen im Vorfeld untereinander abgestimmt werden. Dazu z\u00e4hlt auch die Benennung eines mindestens zu den B\u00fcro-Arbeitszeiten reaktionsf\u00e4higen Abuse-Kontaktes, \u00fcber den eingehende Meldungen (ggf. automatisiert) bearbeitet werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e131", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12531" }, { "category": "2.2.7 Kooperationen bei TK-anbieter\u00fcbergreifenden St\u00f6rungen", "code": "SK2.2.7.3x", "label": "Es liegt in der Verantwortung des TK-Anbieters, vernetzte Anbieter zu kontaktieren, um die entsprechenden Kontaktpersonen zu ermitteln. Letztere haben den ersten TK-Anbieter im Gegenzug unverz\u00fcglich \u00fcber \u00c4nderungen zu informieren. Es muss stets sichergestellt sein, dass im Notfall ein direkter und unverz\u00fcglicher Kontakt unter den TK-Anbietern m\u00f6glich ist.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e132", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12532" }, { "category": "2.2.8 Kooperation mit Anti-Malware-Herstellern", "code": "SK2.2.8.1", "label": "Mithilfe der umgehenden Weiterleitung von Malware-Samples an AV-Hersteller sollten diese bei der zeitnahen Verbesserung von Detektionsma\u00dfnahmen unterst\u00fctzt werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e133", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12533" }, { "category": "3.1 Allgemeine Sicherheitsvorkehrungen", "code": "SK3.1", "label": "Neben der Authentisierung mit Hilfe von Benutzername und Passwort sollten, wenn technisch m\u00f6glich, den Kunden st\u00e4rkere Authentifizierungsverfahren wie beispielsweise kryptographische Authentifizierungsverfahren oder Verfahren der Zwei-FaktorAuthentifizierung (Besitz und Wissen) angeboten werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e134", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12534" }, { "category": "3.1.1 Organisations- und Risikomanagement ", "code": "SK3.1.1.1x", "label": "verbindliches Verfahren, um Risiken f\u00fcr Netzwerke, Dienste und die Verarbeitung personenbezogener Daten zu erkennen", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e135", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12535" }, { "category": "3.1.1 Organisations- und Risikomanagement ", "code": "SK3.1.1.2x", "label": "Dokumentation der Risiken und Kontrolle der Restrisiken", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e136", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12536" }, { "category": "3.1.2 Sicherheitsrollen und Verantwortlichkeiten", "code": "SK3.1.2.1x", "label": "Benennung des Sicherheitsbeauftragten nach \u00a7 109 Abs. 4 TKG.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e137", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12537" }, { "category": "3.1.2 Sicherheitsrollen und Verantwortlichkeiten", "code": "SK3.1.2.2x", "label": "F\u00fcr die Sicherheit von Informationen, Gesch\u00e4ftsprozessen, Anwendungen, Aufgaben und Regelungen ist eine personelle Verantwortlichkeit festzulegen. Bei der Vergabe der jeweiligen Sicherheitsrollen kann ein Ernennungsakt Klarheit, Transparenz und \u00d6ffentlichkeit verschaffen.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e138", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12538" }, { "category": "3.1.2 Sicherheitsrollen und Verantwortlichkeiten", "code": "SK3.1.2.3x", "label": "Es sind alle Mitarbeiter \u00fcber diese Verantwortlichkeiten in geeigneter Weise zu informieren", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e139", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12539" }, { "category": "3.1.2 Sicherheitsrollen und Verantwortlichkeiten", "code": "SK3.1.2.4x", "label": " Die f\u00fcr Sicherheitsvorf\u00e4lle zust\u00e4ndigen Personen m\u00fcssen in der Wahrnehmung ihrer Rollen erreichbar sein.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e140", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12540" }, { "category": "3.1.2 Sicherheitsrollen und Verantwortlichkeiten", "code": "SK3.1.2.5", "label": "regelm\u00e4\u00dfige Schulung des benannten Personals", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e141", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12541" }, { "category": "3.1.3 Lieferantenmanagement", "code": "SK3.1.3.1x", "label": "initiale und regelm\u00e4ssige Pr\u00fcfung und Bewertung der Zuverl\u00e4ssigkeit, Vertrauensw\u00fcrdigkeit und Qualit\u00e4t des Erf\u00fcllungsgehilfen oder Lieferanten", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e142", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12542" }, { "category": "3.1.3 Lieferantenmanagement", "code": "SK3.1.3.2x", "label": "Abh\u00e4ngigkeiten von Dritten darf die Sicherheit von Netzwerken oder Dienstleistungen sowie personenbezogener Daten nicht beeintr\u00e4chtigen", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e143", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12543" }, { "category": "3.1.3 Lieferantenmanagement", "code": "SK3.1.3.3x", "label": "Sicherheitsanforderungen m\u00fcssen in die vertragliche Grundlage mit Anbietern aufgenommen werden", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e144", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12544" }, { "category": "3.1.3 Lieferantenmanagement", "code": "SK3.1.3.4x", "label": "Das datenschutzrechtlich konforme Handeln der Dritten ist sicherzustellen", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e145", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12545" }, { "category": "3.1.3 Lieferantenmanagement", "code": "SK3.1.3.5x", "label": "Bei Auftragsverarbeitung sind au\u00dferdem die Regelungen des Art. 28 DSGVO zu beachten", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e146", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12546" }, { "category": "3.1.3 Lieferantenmanagement", "code": "SK3.1.3.6x", "label": "Sicherheitsanforderungen m\u00fcssen nicht nur festgelegt und aktualisiert, sondern auch deren Einhaltung regelm\u00e4\u00dfig (ADV) \u00fcberpr\u00fcft werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e147", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12547" }, { "category": "3.2.1 Neukundeninformation", "code": "SK3.2.1.1", "label": "Neukunden sollten schriftlich mit Informationen zu Risiken im Internet, bestehenden Schutzm\u00f6glichkeiten sowie Hinweisen zu Entfernungsm\u00f6glichkeiten von Schadsoftware versorgt werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e148", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12548" }, { "category": "3.2.1 Sicherheits\u00fcberpr\u00fcfung (Personal intern und extern)", "code": "SK3.2.1.2", "label": "angemessene Sicherheits\u00fcberpr\u00fcfung und Dokumentation der eingesetzten Pr\u00fcfungsmodalit\u00e4t (vor Personaleinsatz)", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e149", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12549" }, { "category": "3.2.1 Sicherheits\u00fcberpr\u00fcfung (Personal intern und extern)", "code": "SK3.2.1.3x", "label": "Vorlage des Personalausweis, beglaubigte Zeugniskopien, Personenzertifikate, amtlichen F\u00fchrungszeugnis", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e150", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12550" }, { "category": "3.2.2 Information des Kunden bei Verdacht einer Schadsoftware-Infektion", "code": "SK3.2.2.1", "label": "Bei vorliegendem Verdacht auf eine Schadsoftware-Infektion eines Kunden-Endger\u00e4ts sollte der Kunde benachrichtigt werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e151", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12551" }, { "category": "3.2.2 Sicherheitswissen und Sensibilisierung (Personal intern und extern)", "code": "SK3.2.2.2x", "label": "Personal muss relevante Schulungen (Sicherheit und Umgang mit sensiblen Daten) besucht haben", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e152", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12552" }, { "category": "3.2.2 Sicherheitswissen und Sensibilisierung (Personal intern und extern)", "code": "SK3.2.2.3x", "label": "Personal muss Material zu Sicherheitsfragen zur Verf\u00fcgung gestellt werden", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e153", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12553" }, { "category": "3.2.2 Sicherheitswissen und Sensibilisierung (Personal intern und extern)", "code": "SK3.2.2.4", "label": "regelm\u00e4\u00dfige Schulungsma\u00dfnahmen und Sensibilisierungssitzungen (z.B. Datenschutz, Fernmeldegeheimnis)", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e154", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12554" }, { "category": "3.2.2 Sicherheitswissen und Sensibilisierung (Personal intern und extern)", "code": "SK3.2.2.5x", "label": "Der Besuch der Schulungen ist zu dokumentieren.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e155", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12555" }, { "category": "3.2.3 Personelle Ver\u00e4nderungen (Personal intern und extern)", "code": "SK3.2.3.1x", "label": "Es sind Regelungen f\u00fcr die Verwaltung von Personalver\u00e4nderungen oder \u00c4nderungen von Zust\u00e4ndigkeiten und Verantwortlichkeiten zu wahren.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e156", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12556" }, { "category": "3.2.3 Personelle Ver\u00e4nderungen (Personal intern und extern)", "code": "SK3.2.3.2x", "label": "Nach einem Personal- oder Beauftragtenwechsel sind Zugriffs, Zutritts- und Zugangsrechte zu entsprechenden Systemen, Geb\u00e4uden oder Anlagen unverz\u00fcglich anzupassen bzw. zu sperren. ", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e157", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12557" }, { "category": "3.2.3 Personelle Ver\u00e4nderungen (Personal intern und extern)", "code": "SK3.2.3.3x", "label": "Ausgegebene Passw\u00f6rter sind nach dem Stand der Technik zu verwalten. ", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e158", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12558" }, { "category": "3.2.3 Personelle Ver\u00e4nderungen (Personal intern und extern)", "code": "SK3.2.3.4x", "label": "Neues Personal muss \u00fcber geltende Richtlinien und Verfahren informiert und sensibilisiert werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e159", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12559" }, { "category": "3.2.4 Umgang mit Verst\u00f6\u00dfen (Personal intern)", "code": "SK3.2.4.1", "label": "verbindliche Regelungen f\u00fcr Sicherheitsverletzungen aufgrund von Verst\u00f6\u00dfen", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e160", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12560" }, { "category": "3.3.1 Bandbreite, Erreichbarkeit von Notrufnummern", "code": "SK3.3.1.1", "label": "Der TK-Anbieter sollte einen Teil der zur Verf\u00fcgung stehenden Bandbreite f\u00fcr die VOIPKommunikation reservieren. Vor allem die Erreichbarkeit von Notrufnummern muss sichergestellt sein.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e161", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12561" }, { "category": "3.3.1 Sicherer Umgang mit sensiblen Daten und Informationen", "code": "SK3.3.1.2x", "label": "Sensible Akten oder Dokumente m\u00fcssen unter Verschluss verwahrt werden. Abschlie\u00dfbare Aktenschr\u00e4nke, verschlossene B\u00fcror\u00e4ume sollten als m\u00f6gliche Ma\u00dfnahmen ber\u00fccksichtigt werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e162", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12562" }, { "category": "3.3.1 Sicherer Umgang mit sensiblen Daten und Informationen", "code": "SK3.3.1.3", "label": "Mobile Endger\u00e4te oder Wechseldatentr\u00e4ger sollten mit geeigneten Verschl\u00fcsselungstechnologien gesch\u00fctzt werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e163", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12563" }, { "category": "3.3.1 Sicherer Umgang mit sensiblen Daten und Informationen", "code": "SK3.3.1.4", "label": "Es sollte ein (MDM) Mobile Device Management genutzt werden. ", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e164", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12564" }, { "category": "3.3.1 Sicherer Umgang mit sensiblen Daten und Informationen", "code": "SK3.3.1.5", "label": "Es sollten Regelungen zur sicheren Entsorgung von Wechseldatentr\u00e4gern, die nicht mehr ben\u00f6tigt werden oder defekt sind, getroffen werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e165", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12565" }, { "category": "3.3.1 Sicherer Umgang mit sensiblen Daten und Informationen", "code": "SK3.3.1.6x", "label": "Festplatten mit sensiblen Daten m\u00fcssen so entsorgt werden, dass eine Wiederherstellung der Daten nicht mehr m\u00f6glich ist.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e166", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12566" }, { "category": "3.3.2 Physische und elementare Schutzanforderungen", "code": "SK3.3.2.1x", "label": "Es sind physische Sicherheitselemente festzulegen, die den unbefugten Zutritt, die Besch\u00e4digung und die Beeintr\u00e4chtigung von Informationen und informationsverarbeitenden Einrichtungen verhindern (z.B. Sicherheitsschl\u00f6sser, Bewegungsmelder, Einbruchmeldeanlagen oder Video\u00fcberwachung). ", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e167", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12567" }, { "category": "3.3.2 Vertraulichkeit der Kommunikation", "code": "SK3.3.2.2", "label": "Erg\u00e4nzend zu Abschnitt 2.1.1 sollten im Rahmen des technisch m\u00f6glichen und wirtschaftlich vertretbaren VoIP-Daten sowohl bei der \u00dcbertragung zwischen Provider-Netzen als auch \u2013 sofern das CPE des Kunden die technischen Voraussetzungen daf\u00fcr bietet \u2013 zwischen Kunden-CPE und SBC des Providers verschl\u00fcsselt \u00fcbertragen werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e168", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12568" }, { "category": "3.3.2 Physische und elementare Schutzanforderungen", "code": "SK3.3.2.3", "label": "Der Einsatz von Feuer-, Gas- und Rauchmeldern oder L\u00f6schanlagen sollte der Gr\u00f6\u00dfe der R\u00e4umlichkeiten angemessen vorhanden sein und regelm\u00e4\u00dfig gewartet werden. ", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e169", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12569" }, { "category": "3.3.2 Physische und elementare Schutzanforderungen", "code": "SK3.3.2.4x", "label": "Die Einhaltung der Brandschutzordnung muss regelm\u00e4\u00dfig \u00fcberpr\u00fcft werden. ", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e170", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12570" }, { "category": "3.3.2 Physische und elementare Schutzanforderungen", "code": "SK3.3.2.5", "label": "Sicherheitsbereiche sollten durch eine angemessene Zutrittssteuerung gesch\u00fctzt werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e171", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12571" }, { "category": "3.3.2 Physische und elementare Schutzanforderungen", "code": "SK3.3.2.6x", "label": "Ger\u00e4te und Betriebsmittel sind in regelm\u00e4\u00dfigen oder durch den Hersteller empfohlenen Intervallen zu warten.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e172", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12572" }, { "category": "3.3.2 Physische und elementare Schutzanforderungen", "code": "SK3.3.2.7x", "label": "Telekommunikationsverkabelung und Stromverkabelung sind vor Unterbrechung, St\u00f6rung und Besch\u00e4digung angemessen zu sch\u00fctzen und in empfohlenen Intervallen zu warten.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e173", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12573" }, { "category": "3.3.2 Physische und elementare Schutzanforderungen", "code": "SK3.3.2.8x", "label": "Redundante Leitungen sind voneinander getrennt zu verlegen.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e174", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12574" }, { "category": "3.3.2 Physische und elementare Schutzanforderungen", "code": "SK3.3.2.9", "label": "Kabel sollten unterirdisch verlegt werden und durch Rohre und verschlossene R\u00e4ume und Schr\u00e4nke gesch\u00fctzt werden. ", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e175", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12575" }, { "category": "3.3.2 Physische und elementare Schutzanforderungen", "code": "SK3.3.2.10", "label": "Wasserf\u00fchrende Leitungen sollten in Serverr\u00e4umen vermieden werden. ", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e176", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12576" }, { "category": "3.3.2 Physische und elementare Schutzanforderungen", "code": "SK3.3.2.11x", "label": "Ma\u00dfnahmen zum Schutz vor Naturkatastrophen und Unf\u00e4llen sind zu ergreifen. ", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e177", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12577" }, { "category": "3.3.2 Physische und elementare Schutzanforderungen", "code": "SK3.3.2.12x", "label": "Es ist eine regelm\u00e4\u00dfige Bewertung der Wirksamkeit von physischen und umgebungsbezogenen Schutzma\u00dfnahmen vorzunehmen.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e178", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12578" }, { "category": "3.3.3 \u00dcbermittlung der Rufnummer", "code": "SK3.3.3.1x", "label": "Die Signalisierung f\u00fcr CLIP/CLIR muss bei abgehenden Verbindungen korrekt eingestellt werden und bei ankommenden Verbindungen korrekt ber\u00fccksichtigt werden. Weiterhin sind Katalog der Sicherheitsanforderungen gem\u00e4\u00df 109 Absatz 6 TKG Anlage 1 die netzseitige (network provided number) und die kundenspezifische Rufnummer (user provided number) korrekt zu \u00fcbermitteln.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e179", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12579" }, { "category": "3.3.3 Versorgungssicherheit (Verf\u00fcgbarkeit des Gesamtsystems)", "code": "SK3.3.3.2x", "label": "Ger\u00e4te und Betriebsmittel vor Stromausf\u00e4llen und anderen St\u00f6rungen sch\u00fctzen. ", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e180", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12580" }, { "category": "3.3.3 Versorgungssicherheit (Verf\u00fcgbarkeit des Gesamtsystems)", "code": "SK3.3.3.3", "label": "redundante Leitungen \u00fcber unterschiedliche Zuleitungswege", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e181", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12581" }, { "category": "3.3.3 Versorgungssicherheit (Verf\u00fcgbarkeit des Gesamtsystems)", "code": "SK3.3.3.4x", "label": "ausreichende Dimensionierung der Klimatisierung und Stromversorgung ist festzulegen und regelm\u00e4\u00dfig zu \u00fcberwachen", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e182", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12582" }, { "category": "3.3.3 Versorgungssicherheit (Verf\u00fcgbarkeit des Gesamtsystems)", "code": "SK3.3.3.5x", "label": "Schaltanlagen, Notstromgeneratoren, Batterien, etc. m\u00fcssen regelm\u00e4\u00dfig kontrolliert und falls m\u00f6glich getestet", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e183", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12583" }, { "category": "3.3.3 Versorgungssicherheit (Verf\u00fcgbarkeit des Gesamtsystems)", "code": "SK3.3.3.6x", "label": "Ein Verfahren zur Umsetzung f\u00fcr die Sicherheit kritischer Versorgungsg\u00fcter, Versorgungseinrichtungen und unterst\u00fctzenden Einrichtungen ist zu erstellen.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e184", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12584" }, { "category": "3.3.3 Versorgungssicherheit (Verf\u00fcgbarkeit des Gesamtsystems)", "code": "SK3.3.3.7x", "label": "Ma\u00dfnahmen zum Schutz der Lieferung und Bereitstellung der Versorgungseinrichtungen sind zu implementieren.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e185", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12585" }, { "category": "3.3.4 Schutz vor TDOS", "code": "SK3.3.4.1", "label": "Soweit technisch m\u00f6glich und wirtschaftlich angemessen, sollten TK-Anbieter \u2013 z.B. durch ein entsprechendes Monitoring am SBC \u2013 automatisierte Massenanrufe an einem Anschluss zum Zwecke, diesen lahmzulegen (sog. TDOS-Attacken), erkennen und unterbinden k\u00f6nnen. ", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e186", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12586" }, { "category": "3.3.4 Zugriffs- und Zugangskontrolle auf Netzwerk- und Informationssystemen", "code": "SK3.3.4.2x", "label": "Nutzer haben eindeutige Kennungen und werden authentifiziert, bevor sie auf Dienste oder Systeme zugreifen d\u00fcrfen.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e187", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12587" }, { "category": "3.3.4 Zugriffs- und Zugangskontrolle auf Netzwerk- und Informationssystemen", "code": "SK3.3.4.3x", "label": "Passw\u00f6rter d\u00fcrfen nur verschl\u00fcsselt gespeichert werden. ", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e188", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12588" }, { "category": "3.3.4 Zugriffs- und Zugangskontrolle auf Netzwerk- und Informationssystemen", "code": "SK3.3.4.4x", "label": "Rollen, Rechte, Verantwortlichkeiten und Verfahren zum Zuweisen und Widerrufen von Zugriffsrechten sind festzulegen.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e189", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12589" }, { "category": "3.3.4 Zugriffs- und Zugangskontrolle auf Netzwerk- und Informationssystemen", "code": "SK3.3.4.5x", "label": "Zugriffe auf Netzwerk- und Informationssysteme m\u00fcssen protokolliert werden. Abweichungen von dieser Verfahrensweise m\u00fcssen hinterlegt und protokolliert werden", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e190", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12590" }, { "category": "3.3.4 Zugriffs- und Zugangskontrolle auf Netzwerk- und Informationssystemen", "code": "SK3.3.4.6x", "label": "Fernwartungszug\u00e4nge m\u00fcssen ausreichend gesichert werden (eigene VPN- Zug\u00e4nge).", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e191", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12591" }, { "category": "3.3.4 Zugriffs- und Zugangskontrolle auf Netzwerk- und Informationssystemen", "code": "SK3.3.4.7x", "label": "Fremde Personen d\u00fcrfen sich nur in Begleitung oder nach geeigneter Sicherheits\u00fcberpr\u00fcfung und Einweisung in gesicherten Bereichen aufhalten. Fremde Personen sind hierbei Personen von externen Firmen z.B. bei Wartungsarbeiten, Umbauten oder auch Reinigungsarbeiten.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e192", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12592" }, { "category": "3.3.4 Zugriffs- und Zugangskontrolle auf Netzwerk- und Informationssystemen", "code": "SK3.3.4.8x", "label": "Die Zugangskontrollmechanismen werden regelm\u00e4\u00dfig \u00fcberpr\u00fcft und bei Bedarf angepasst. ", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e193", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12593" }, { "category": "3.3.4 Zugriffs- und Zugangskontrolle auf Netzwerk- und Informationssystemen", "code": "SK3.3.4.9x", "label": "F\u00fcr gesicherte technische Anlagen muss sichergestellt sein, dass nur Personen mit Befugnis Zugriff haben. ", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e194", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12594" }, { "category": "3.3.5 Integrit\u00e4t und Verf\u00fcgbarkeit von Netzwerk- und Informationssystemen", "code": "SK3.3.5.1x", "label": "keine unberechtigten Manipulationen oder \u00c4nderungen", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e195", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12595" }, { "category": "3.3.5 Integrit\u00e4t und Verf\u00fcgbarkeit von Netzwerk- und Informationssystemen", "code": "SK3.3.5.10", "label": "Mitarbeiter sollten durch Schulungsma\u00dfnahmen bef\u00e4higt sein, verd\u00e4chtige E-Mails oder Links zu erkennen.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e196", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12596" }, { "category": "3.3.5 Integrit\u00e4t und Verf\u00fcgbarkeit von Netzwerk- und Informationssystemen", "code": "SK3.3.5.2", "label": "\u00c4nderungen sollten dokumentiert werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e197", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12597" }, { "category": "3.3.5 Integrit\u00e4t und Verf\u00fcgbarkeit von Netzwerk- und Informationssystemen", "code": "SK3.3.5.3x", "label": "Unberechtigte Zugriffe m\u00fcssen detektiert werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e198", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12598" }, { "category": "3.3.5 Integrit\u00e4t und Verf\u00fcgbarkeit von Netzwerk- und Informationssystemen", "code": "SK3.3.5.4", "label": "Systeme und Anwendungen sollten immer die aktuellen Sicherheitsupdates erhalten.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e199", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12599" }, { "category": "3.3.5 Integrit\u00e4t und Verf\u00fcgbarkeit von Netzwerk- und Informationssystemen", "code": "SK3.3.5.5x", "label": "Es m\u00fcssen geeignete Ma\u00dfnahmen zur Erkennung von Schadsoftware umgesetzt werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e200", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12600" }, { "category": "3.3.5 Integrit\u00e4t und Verf\u00fcgbarkeit von Netzwerk- und Informationssystemen", "code": "SK3.3.5.6", "label": "Ma\u00dfnahmen zur Sensibilisierung der Mitarbeiter sollen bestehen und umgesetzt werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e201", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12601" }, { "category": "3.3.5 Integrit\u00e4t und Verf\u00fcgbarkeit von Netzwerk- und Informationssystemen", "code": "SK3.3.5.7x", "label": "Es ist sicherzustellen, dass sicherheitskritische Daten (wie Passw\u00f6rter, gemeinsame geheime Schl\u00fcssel, private Schl\u00fcssel usw.) nicht offengelegt oder manipuliert werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e202", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12602" }, { "category": "3.3.5 Integrit\u00e4t und Verf\u00fcgbarkeit von Netzwerk- und Informationssystemen", "code": "SK3.3.5.8", "label": "Die Wirksamkeit der Ma\u00dfnahmen zum Schutz der Integrit\u00e4t von Systemen sollte \u00fcberpr\u00fcft und bewertet werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e203", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12603" }, { "category": "3.3.5 Integrit\u00e4t und Verf\u00fcgbarkeit von Netzwerk- und Informationssystemen", "code": "SK3.3.5.9", "label": "Passw\u00f6rter sollten sicher authentifiziert und bei Bedarf ge\u00e4ndert werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e204", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12604" }, { "category": "3.3.6 Vertraulichkeit und Integrit\u00e4t von Kommunikationsinhalten und Metadaten ", "code": "SK3.3.6.1", "label": "geeignete Verschl\u00fcsselungsverfahren sollten eingesetzt werden", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e205", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12605" }, { "category": "3.3.6 Vertraulichkeit und Integrit\u00e4t von Kommunikationsinhalten und Metadaten ", "code": "SK3.3.6.2x", "label": "geeignete Authentifizierungsmechanismen f\u00fcr Kunden- und Dienstleistungsnetzwerke sind zu implementieren", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e206", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12606" }, { "category": "3.3.6 Vertraulichkeit und Integrit\u00e4t von Kommunikationsinhalten und Metadaten ", "code": "SK3.3.6.3", "label": "Die Nutzung von Netzwerken und Diensten sollte fortw\u00e4hrend in geeigneter Form auf Anomalien sondiert werden", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e207", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12607" }, { "category": "3.3.6 Vertraulichkeit und Integrit\u00e4t von Kommunikationsinhalten und Metadaten ", "code": "SK3.3.6.4", "label": "Es sollten standardisierte \u00dcbertragungsverfahren und -ma\u00dfnahmen verwendet werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e208", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12608" }, { "category": "3.3.6 Vertraulichkeit und Integrit\u00e4t von Kommunikationsinhalten und Metadaten ", "code": "SK3.3.6.5x", "label": "Sicherheitskritische Daten von Kunden sind besonders zu sch\u00fctzen (z.B. Daten der SIM-Karten, IMEI-Nummer, Passw\u00f6rter). ", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e209", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12609" }, { "category": "3.3.6 Vertraulichkeit und Integrit\u00e4t von Kommunikationsinhalten und Metadaten ", "code": "SK3.3.6.6", "label": "Auch die Wirksamkeit von Methoden zum Schutz der Vertraulichkeit von Kommunikationsinhalten und -metadaten sollte stetig in geeigneter Form bewertet werden. Standortdaten unterliegen zus\u00e4tzlichen Anforderungen (siehe Abschnitt 4.2.4). Eine geeignete Bewertung kann die Ausf\u00fchrung einer Gegenpr\u00fcfung (Cross-Checks) oder die Durchf\u00fchrung eines (Stress)Tests sein. ", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e210", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12610" }, { "category": "3.4 DNS-Dienste", "code": "SK3.4x", "label": "Erreichbarkeit auf den eigenen Kundenkreis beschr\u00e4nkt", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e211", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12611" }, { "category": "3.4.1 Betriebsverfahren", "code": "SK3.4.1.1x", "label": "Durch geeignete Betriebsverfahren ist sicherzustellen, dass die Informations- und Kommunikationstechnologie ordnungsgem\u00e4\u00df, sicher und kontinuierlich funktioniert. ", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e212", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12612" }, { "category": "3.4.1 Schutz vor Spoofing und Erschweren von Reflection/Amplification-Angriffen", "code": "SK3.4.1.2x", "label": "Ein permanentes Monitoring der DNS-Server muss gew\u00e4hrleistet sein und sollte es erm\u00f6glichen, Reflection/Amplification-Angriffe fr\u00fchzeitig zu erkennen. Hinweise ergeben sich z.B. bei einer H\u00e4ufung von Anfragen aus bestimmten Quellen, bez\u00fcglich bestimmter Resource-Records, unerlaubter rekursiver Anfragen u.\u00e4.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e213", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12613" }, { "category": "3.4.1 Schutz vor Spoofing und Erschweren von Reflection/Amplification-Angriffen", "code": "SK3.4.1.3x", "label": "In diesen F\u00e4llen m\u00fcssen Gegenma\u00dfnahmen, wie die Einschr\u00e4nkung und Filterung von Anfragen, getroffen werden. Dies gilt ebenso f\u00fcr Dienste wie NTP, SSDP usw. die gleichfalls immer h\u00e4ufiger f\u00fcr Reflection-Angriffe missbraucht werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e214", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12614" }, { "category": "3.4.1 Betriebsverfahren", "code": "SK3.4.1.4x", "label": "Im Mindestma\u00df muss der Betriebsablauf festgelegt und dokumentiert werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e215", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12615" }, { "category": "3.4.1 Betriebsverfahren", "code": "SK3.4.1.5x", "label": "Verantwortlichkeiten f\u00fcr den Betrieb kritischer Systeme m\u00fcssen einer zust\u00e4ndigen Stelle zugewiesen sein.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e216", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12616" }, { "category": "3.4.1 Betriebsverfahren", "code": "SK3.4.1.6x", "label": "Verf\u00fcgbare und notwendige Ressourcen m\u00fcssen bekannt sein. Ressourcen in diesem Sinn umfassen u.a. das notwendige und tats\u00e4chliche Personal, Systeme, Anwendungen und R\u00e4umlichkeiten. ", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e217", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12617" }, { "category": "3.4.1 Betriebsverfahren", "code": "SK3.4.1.7x", "label": "Verf\u00fcgbare und notwendige Ressourcen m\u00fcssen stetig \u00fcberpr\u00fcft und ggf. in geeigneter Form gesteuert werden. ", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e218", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12618" }, { "category": "3.4.2 \u00c4nderungsmanagement", "code": "SK3.4.2.1", "label": "Zur Vermeidung von St\u00f6rungen oder Sicherheitsvorf\u00e4llen sollten \u00c4nderungen an Netzwerk- und Informationssystemen, Infrastruktur, Dokumentationen, Prozessen, Verfahren und Betriebsabl\u00e4ufen geplant, kontrolliert, gesteuert und nach Abschluss \u00fcberpr\u00fcft werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e219", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12619" }, { "category": "3.4.2 Schutz vor DNS-Cache Poisoning", "code": "SK3.4.2.2", "label": "Es sollte die Port-Randomisierung aktiviert sein", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e220", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12620" }, { "category": "3.4.2 Schutz vor DNS-Cache Poisoning", "code": "SK3.4.2.3", "label": "Die Verkehrsmenge sollte regelm\u00e4\u00dfig beobachtet werden, um Cache-Poisoning Angriffe fr\u00fchzeitig zu entdecken. Insbesondere bei breitbandig angebundenen DNS-Resolvern ist eine Cache-Poisoning Attacke trotz aktivierter Port-Randomisierung weiterhin m\u00f6glich.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e221", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12621" }, { "category": "3.4.2 \u00c4nderungsmanagement", "code": "SK3.4.2.4", "label": "\u00c4nderungen an kritischen Systemen sollen auf der Grundlage von vordefinierten und in geeigneter Form dokumentierten Verfahren erfolgen. ", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e222", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12622" }, { "category": "3.4.2 Schutz vor DNS-Cache Poisoning", "code": "SK3.4.2.5", "label": "Zur Risikoreduzierung sollten au\u00dferdem Obergrenzen f\u00fcr die Haltezeit von zwischengepufferten Daten im DNS-Cache festgelegt werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e223", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12623" }, { "category": "3.4.2 \u00c4nderungsmanagement", "code": "SK3.4.2.6", "label": "Es sollte eine Einsch\u00e4tzung aller potenziellen direkten und indirekten Auswirkungen vorgenommen werden. ", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e224", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12624" }, { "category": "3.4.2 \u00c4nderungsmanagement", "code": "SK3.4.2.7", "label": "Wesentliche tats\u00e4chliche \u00c4nderungen sollten in geeigneter Form protokolliert werden. ", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e225", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12625" }, { "category": "3.4.2 \u00c4nderungsmanagement", "code": "SK3.4.2.8", "label": "Ma\u00dfnahmen der pr\u00e4ventiven Kontrolle, z. B. das 4-Augenprinzip.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e226", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12626" }, { "category": "3.4.2 \u00c4nderungsmanagement", "code": "SK3.4.2.9", "label": "Die Funktionalit\u00e4t der TK-Systeme sollte nach \u00c4nderungen in geeigneter Form \u00fcberpr\u00fcft werden. Alle betroffenen Personen sollten \u00fcber die erforderlichen \u00c4nderungsdetails informiert werden. Identifizierte Auff\u00e4lligkeiten sollten sofort der vorher festgelegten Stelle angezeigt werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e227", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12627" }, { "category": "3.4.3 Asset Management", "code": "SK3.4.3.1", "label": "Sicherheit erfordert Kenntnis. Zumindest die wesentlichen Anlagen, Systeme und Einrichtungen, welche f\u00fcr den jeweiligen Netzbetrieb oder das Diensteangebot erforderlich sind, sollten eindeutig identifizierbar sein. Eine entsprechende Inventarisierung und Verwaltung von Anlagen und Systemen kann dies im Einzelfall sicherstellen. Die Verwaltung sollte auch die Konfigurationssteuerung der wesentlichen Netzwerk- und Kommunikationssysteme einschlie\u00dfen.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e228", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12628" }, { "category": "3.4.3 Einsatz von DNSSEC", "code": "SK3.4.3.2x", "label": "Innerhalb der DNS-Infrastruktur eines Netzbetreibers muss eine Validierung von DNSSEC-Signaturen fl\u00e4chendeckend erfolgen. ", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e229", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12629" }, { "category": "3.4.3 Einsatz von DNSSEC", "code": "SK3.4.3.3", "label": "Der TK-Anbieter sollte seine Kunden \u00fcber die Vorteile von DNSSEC aufkl\u00e4ren sowie diese zu einer Nutzung anhalten.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e230", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12630" }, { "category": "3.5.1 Erkennen von Sicherheitsvorf\u00e4llen und St\u00f6rungen", "code": "SK3.5.1.1x", "label": "Es muss ein Verfahren zum Erkennen von Sicherheitsvorf\u00e4llen und St\u00f6rungen eingerichtet und regelm\u00e4\u00dfig kontrolliert werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e231", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12631" }, { "category": "3.5.1 Erkennen von Sicherheitsvorf\u00e4llen und St\u00f6rungen", "code": "SK3.5.1.2x", "label": "Es sind z.B. vordefinierte Betriebsparameter wie Klima, Strom, Datenaufkommen im TK-Verkehr zu \u00fcberwachen und im Sicherheitsvorfall oder bei St\u00f6rungen zu alarmieren.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e232", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12632" }, { "category": "3.5.1 Erkennen von Sicherheitsvorf\u00e4llen und St\u00f6rungen", "code": "SK3.5.1.3", "label": "Nach Bekanntwerden von St\u00f6rungen und/oder Vorf\u00e4llen sollten betroffene Systeme so angepasst und/oder verbessert werden, dass zuk\u00fcnftig diese Problematik verhindert wird.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e233", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12633" }, { "category": "3.5.2 Umgang mit Sicherheitsvorf\u00e4llen und St\u00f6rungen", "code": "SK3.5.2.1x", "label": "Unternehmen haben ein Verfahren zur Definition und zum Umgang mit jedweder Art von Sicherheitsvorfall, einschlie\u00dflich dessen Meldung an zust\u00e4ndige Personen und Beh\u00f6rden zu implementieren.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e234", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12634" }, { "category": "3.5.2 Umgang mit Sicherheitsvorf\u00e4llen und St\u00f6rungen", "code": "SK3.5.2.2", "label": "Es sollte regelm\u00e4\u00dfig \u00fcberpr\u00fcft werden, ob das festgelegte Verfahren den aktuellen Umst\u00e4nden entspricht und die tats\u00e4chliche Umsetzung planungskonform erfolgt.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e235", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12635" }, { "category": "3.5.2 Umgang mit Sicherheitsvorf\u00e4llen und St\u00f6rungen", "code": "SK3.5.2.3x", "label": "F\u00fcr Sicherheitsvorf\u00e4lle hat geeignetes Personal verf\u00fcgbar und benannt zu sein. Im Falle einer Sicherheitsverletzung kann es notwendig sein, unter Zeitdruck oder atypischen Umst\u00e4nden Sicherheitshandlungen durchzuf\u00fchren oder sicherheitsrelevante Entscheidungen zu treffen.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e236", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12636" }, { "category": "3.5.2 Umgang mit Sicherheitsvorf\u00e4llen und St\u00f6rungen", "code": "SK3.5.2.4x", "label": "Die Kritikalit\u00e4t der jeweiligen St\u00f6rung oder Sicherheitsverletzung muss in geeigneter Form bewertet werden. Der f\u00fcr das Bewertungsergebnis vorgegebene Meldeweg muss sodann umgesetzt werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e237", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12637" }, { "category": "3.5.2 Umgang mit Sicherheitsvorf\u00e4llen und St\u00f6rungen", "code": "SK3.5.2.5x", "label": "Kritische Sicherheitsvorf\u00e4lle m\u00fcssen grunds\u00e4tzlich untersucht werden. Untersuchung und Ergebnis muss in einem Bericht dokumentiert werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e238", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12638" }, { "category": "3.5.2 Umgang mit Sicherheitsvorf\u00e4llen und St\u00f6rungen", "code": "SK3.5.2.6", "label": "Aus dem Bericht sollte hervorgehen, welche Ma\u00dfnahmen getroffen oder geplant sind, um gleichgelagerte Sicherheitsvorf\u00e4lle und deren Auswirkungen zuk\u00fcnftig zu vermeiden oder das Sicherheitsrisiko zu minimieren. Die in dieser Hinsicht getroffenen oder geplanten Ma\u00dfnahmen sollten begr\u00fcndet werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e239", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12639" }, { "category": "3.5.2 Umgang mit Sicherheitsvorf\u00e4llen und St\u00f6rungen", "code": "SK3.5.2.7x", "label": "betr\u00e4chtliche Sicherheitsverletzungen gem\u00e4\u00df \u00a7 109 Abs. 5 TKG, sind diese unverz\u00fcglich der Bundesnetzagentur und dem Bundesamt f\u00fcr Sicherheit in der Informationstechnik mitzuteilen.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e240", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12640" }, { "category": "3.5.3 Kommunikation und Meldung von Sicherheitsvorf\u00e4llen", "code": "SK3.5.3.1x", "label": "Ein Sicherheitsvorfall kann eine gesetzliche Meldepflicht (z. B. \u00a7\u00a7109 Abs. 5, 109a Abs. 1 TKG oder Art. 33 DSGVO) ausl\u00f6sen. Falls erforderlich sind daher Meldungen \u00fcber aktuelle oder zur\u00fcckliegende Sicherheitsereignisse an Dritte, Kunden und/ oder Beh\u00f6rden durchzuf\u00fchren.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e241", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12641" }, { "category": "3.5.3 Kommunikation und Meldung von Sicherheitsvorf\u00e4llen", "code": "SK3.5.3.2", "label": "Zur Sicherstellung etwaiger Meldepflichten sowie der Kommunikation und Berichterstattung von Sicherheitsvorf\u00e4llen sollten geeignete Regelungen in die unternehmerischen Betriebsabl\u00e4ufe implementiert werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e242", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12642" }, { "category": "3.5.3 Kommunikation und Meldung von Sicherheitsvorf\u00e4llen", "code": "SK3.5.3.3x", "label": "Bei einem Angriff auf Passw\u00f6rter sind betroffene Kunden schnellstm\u00f6glich zu informieren. Zur Sicherstellung sollte ein geeignetes Meldeverfahren festgelegt werden. ", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e243", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12643" }, { "category": "3.6.1 Aufrechterhaltung von Telekommunikationsinfrastrukturen und Diensten (Business Continuity Management)", "code": "SK3.6.1.1x", "label": "Eine geeignete Pr\u00e4ventionsstrategie vor St\u00f6rungen Sicherheitsvorf\u00e4llen darf nicht nicht nur die technischen Aspekte f\u00fcr die Aufrechterhaltung der Dienste zu regeln. Auch organisatorische Ma\u00dfnahmen sind im Vorfeld zu planen, festzulegen und fortw\u00e4hrend zu \u00fcberpr\u00fcfen.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e244", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12644" }, { "category": "3.6.1 Aufrechterhaltung von Telekommunikationsinfrastrukturen und Diensten (Business Continuity Management)", "code": "SK3.6.1.10", "label": "Es sollte regelm\u00e4\u00dfig eine Evaluierung dieser Pl\u00e4ne erfolgen.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e245", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12645" }, { "category": "3.6.1 Aufrechterhaltung von Telekommunikationsinfrastrukturen und Diensten (Business Continuity Management)", "code": "SK3.6.1.11x", "label": "Ein geeigneter Notfallbeauftragter ist zu benennen. Dieser sollte alle Aktivit\u00e4ten des Notfallmanagements kennen und steuern.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e246", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12646" }, { "category": "3.6.1 Aufrechterhaltung von Telekommunikationsinfrastrukturen und Diensten (Business Continuity Management)", "code": "SK3.6.1.2x", "label": "Regelungen zur Aufrechterhaltung der Infrastrukturen und Dienste haben allgemeine Handlungsanweisungen und m\u00f6glichst auch konkrete, auf den Einzelfall angepasste Notallma\u00dfnahmen zu enthalten.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e247", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12647" }, { "category": "3.6.1 Aufrechterhaltung von Telekommunikationsinfrastrukturen und Diensten (Business Continuity Management)", "code": "SK3.6.1.3", "label": "Relevante Kontaktinformationen sollten in einem Notfallhandbuch beschrieben und stets aktuell sein.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e248", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12648" }, { "category": "3.6.1 Aufrechterhaltung von Telekommunikationsinfrastrukturen und Diensten (Business Continuity Management)", "code": "SK3.6.1.4", "label": "Der Zugriff auf diese Regelungen und Informationen sollte sichergestellt sein. ", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e249", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12649" }, { "category": "3.6.1 Aufrechterhaltung von Telekommunikationsinfrastrukturen und Diensten (Business Continuity Management)", "code": "SK3.6.1.5x", "label": "Im Vorfeld ist die Verf\u00fcgbarkeit angemessener Redundanzen auf System- und Dienstebene sicherzustellen.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e250", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12650" }, { "category": "3.6.1 Aufrechterhaltung von Telekommunikationsinfrastrukturen und Diensten (Business Continuity Management)", "code": "SK3.6.1.6x", "label": "Diese Redundanzen sind in regelm\u00e4\u00dfigen Abst\u00e4nden zu testen bzw. umzuschalten, sofern dies unterbrechungsfrei m\u00f6glich ist.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e251", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12651" }, { "category": "3.6.1 Aufrechterhaltung von Telekommunikationsinfrastrukturen und Diensten (Business Continuity Management)", "code": "SK3.6.1.7x", "label": "Es sind regelm\u00e4\u00dfige Backups von kritischen Systemen und Daten zu erstellen.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e252", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12652" }, { "category": "3.6.1 Aufrechterhaltung von Telekommunikationsinfrastrukturen und Diensten (Business Continuity Management)", "code": "SK3.6.1.8x", "label": "Auf die gesetzlich vorgegebenen L\u00f6sch- und Speicherfristen ist hierbei zu achten, insbesondere sollte die Speicherdauer der Backups in einem angemessenen Verh\u00e4ltnis zur Speicherdauer der personenbezogenen Daten stehen.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e253", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12653" }, { "category": "3.6.1 Aufrechterhaltung von Telekommunikationsinfrastrukturen und Diensten (Business Continuity Management)", "code": "SK3.6.1.9x", "label": "Es sind angepasste Notfallpl\u00e4ne zum Betrieb kritischer Systeme auszuarbeiten, festzulegen und zu implementieren.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e254", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12654" }, { "category": "3.6.2 Wiederanlauf nach Ausf\u00e4llen (Disaster Recovery Management)", "code": "SK3.6.2.1x", "label": "Ausfallzeiten bis zur Wiederherstellung der Funktionsf\u00e4higkeit von Netzwerk und Kommunikationsdiensten m\u00fcssen dennoch mit angemessenen Mitteln so gering wie m\u00f6glich gehalten werden", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e255", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12655" }, { "category": "3.6.2 Wiederanlauf nach Ausf\u00e4llen (Disaster Recovery Management)", "code": "SK3.6.2.2x", "label": "Es sind geeignete Richtlinien und Verfahren zur schnellstm\u00f6glichen Wiederherstellung wichtiger Netzwerk- und Kommunikationsdienste zu entwickeln und festzulegen.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e256", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12656" }, { "category": "3.6.2 Wiederanlauf nach Ausf\u00e4llen (Disaster Recovery Management)", "code": "SK3.6.2.3", "label": "Diese Richtlinien und Verfahren sollten in regelm\u00e4\u00dfigen Abst\u00e4nden evaluiert werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e257", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12657" }, { "category": "3.6.2 Wiederanlauf nach Ausf\u00e4llen (Disaster Recovery Management)", "code": "SK3.6.2.4", "label": "Die wichtigsten Gesch\u00e4ftsprozesse f\u00fcr den Wiederanlauf sollten priorisiert werden. ", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e258", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12658" }, { "category": "3.6.2 Wiederanlauf nach Ausf\u00e4llen (Disaster Recovery Management)", "code": "SK3.6.2.5", "label": "Im Vorfeld sollten Lieferantenvertr\u00e4ge auf eine Ersatzbereitstellung gepr\u00fcft werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e259", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12659" }, { "category": "3.6.2 Wiederanlauf nach Ausf\u00e4llen (Disaster Recovery Management)", "code": "SK3.6.2.6", "label": "Eine geeignete Schutzma\u00dfnahme kann die Vorhaltung geeigneter Ersatzger\u00e4te f\u00fcr Infrastruktur und TK-Systeme sein.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e260", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12660" }, { "category": "3.6.2 Wiederanlauf nach Ausf\u00e4llen (Disaster Recovery Management)", "code": "SK3.6.2.7", "label": "Eine geeignete Schutzma\u00dfnahme kann im Einzelfall auch die Vorhaltung geeigneter, mobiler Netzersatzanlagen sein", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e261", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12661" }, { "category": "3.6.2 Wiederanlauf nach Ausf\u00e4llen (Disaster Recovery Management)", "code": "SK3.6.2.8", "label": "Zur Aufrechterhaltung von Dienstleistungen kann die pr\u00e4ventive Einrichtung von Notfallarbeitspl\u00e4tzen f\u00fcr Mitarbeiter sinnvoll sein.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e262", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12662" }, { "category": "3.7.1 \u00dcberwachungs- und Protokollierungsma\u00dfnahmen", "code": "SK3.7.1.1x", "label": "Alle sicherheitsrelevanten Ereignisse sind zu protokollieren und in einer auswertbaren Form abzuspeichern.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e263", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12663" }, { "category": "3.7.1 \u00dcberwachungs- und Protokollierungsma\u00dfnahmen", "code": "SK3.7.1.2x", "label": "Werden Daten f\u00fcr diese Zwecke nicht mehr ben\u00f6tigt, so sind sie unverz\u00fcglich zu l\u00f6schen. ", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e264", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12664" }, { "category": "3.7.1 \u00dcberwachungs- und Protokollierungsma\u00dfnahmen", "code": "SK3.7.1.3", "label": "Es sollte ein auf den Einzelfall angepasstes Regelwerk f\u00fcr die \u00dcberwachung und Protokollierung betriebsrelevanter Systeme eingef\u00fchrt und umgesetzt werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e265", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12665" }, { "category": "3.7.1 \u00dcberwachungs- und Protokollierungsma\u00dfnahmen", "code": "SK3.7.1.4", "label": "Das Regelwerk sollte regelm\u00e4\u00dfig evaluiert werden. ", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e266", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12666" }, { "category": "3.7.1 \u00dcberwachungs- und Protokollierungsma\u00dfnahmen", "code": "SK3.7.1.5", "label": "Durch die automatische \u00dcberwachung und Protokollierung betriebsrelevanter Systeme k\u00f6nnen im Einzelfall m\u00f6glicherweise weitere, zur Auswertung geeignete Informationen gewonnen werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e267", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12667" }, { "category": "3.7.1 \u00dcberwachungs- und Protokollierungsma\u00dfnahmen", "code": "SK3.7.1.6", "label": "Administrative T\u00e4tigkeiten oder Arbeiten an betriebsrelevanten Systemen sollten protokolliert werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e268", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12668" }, { "category": "3.7.2 Notfall\u00fcbungen", "code": "SK3.7.2.1", "label": "Es sollten regelm\u00e4\u00dfig Notfall\u00fcbungen durchgef\u00fchrt werden", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e269", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12669" }, { "category": "3.7.2 Notfall\u00fcbungen", "code": "SK3.7.2.2", "label": "Eine Vorgehensweise zum Testen und \u00fcben von Notfallpl\u00e4nen zur Aufrechterhaltung und Wiederherstellung kritischer Dienste und Infrastrukturen festlegt werden. Falls m\u00f6glich und notwendig, sollte dies auch in Zusammenarbeit mit Dritten erfolgen. Es sollen m\u00f6glichst realistische und unterschiedliche Szenarien ber\u00fccksichtigt werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e270", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12670" }, { "category": "3.7.2 Notfall\u00fcbungen", "code": "SK3.7.2.3", "label": "Dabei soll festgestellt werden ob geplante Ausfallzeiten nicht \u00fcberschritten werden und ob die bestimmte Krisenleitung in der Praxis ihre Aufgaben erf\u00fcllt. ", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e271", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12671" }, { "category": "3.7.3 Testen von Netzwerk- und IT-Systemen", "code": "SK3.7.3.1", "label": "Es sollten daher schon im Vorfeld Regelungen zur Freigabe und zum Testen von Netzwerk- und IT-Systemen festgelegt werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e272", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12672" }, { "category": "3.7.3 Testen von Netzwerk- und IT-Systemen", "code": "SK3.7.3.2", "label": "Netzwerk- oder IT-Systeme sollten auf gesonderten Testumgebungen getestet werden, bevor sie verwendet oder mit vorhandenen Systemen verbunden werden. ", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e273", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12673" }, { "category": "3.7.3 Testen von Netzwerk- und IT-Systemen", "code": "SK3.7.3.3", "label": "Gleiches sollte auch bei Anpassungen oder z.B. nach Updates geschehen.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e274", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12674" }, { "category": "3.7.3 Testen von Netzwerk- und IT-Systemen", "code": "SK3.7.3.4", "label": "Betriebsrelevante Systeme sollten regelm\u00e4\u00dfigen Sicherheitstests unterzogen werden. Dies gilt insbesondere dann, wenn neue Systeme eingef\u00fchrt und \u00c4nderungen vorgenommen werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e275", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12675" }, { "category": "3.7.3 Testen von Netzwerk- und IT-Systemen", "code": "SK3.7.3.5x", "label": "Es muss sichergestellt sein, dass Tests keine Auswirkungen auf die Sicherheit von Netzwerken und Diensten haben. Die Verwendung von sensiblen Daten muss vermieden werden. ", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e276", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12676" }, { "category": "3.8 Beurteilung der Sicherheitsma\u00dfnahmen", "code": "SK3.8.1x", "label": "Alle Sicherheitsma\u00dfnahmen m\u00fcssen den Stand der Technik ber\u00fccksichtigen. Vor diesem Hintergrund m\u00fcssen auch die getroffenen Sicherheitsma\u00dfnahmen regelm\u00e4\u00dfig neu vom pflichtigen Unternehmen beurteilt werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e277", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12677" }, { "category": "3.8 Beurteilung der Sicherheitsma\u00dfnahmen", "code": "SK3.8.2", "label": "Daher sollte eine angemessene Strategie zur Beurteilung der im Einzelfall getroffenen Sicherheitsma\u00dfnahmen erstellt werden. ", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e278", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12678" }, { "category": "3.8 Beurteilung der Sicherheitsma\u00dfnahmen", "code": "SK3.8.3", "label": "Es sollten im Mindestma\u00df Regelungen zur Beurteilung der getroffenen Schutzma\u00dfnahmen erstellt werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e279", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12679" }, { "category": "3.8 Beurteilung der Sicherheitsma\u00dfnahmen", "code": "SK3.8.4", "label": "Regelm\u00e4\u00dfig durchgef\u00fchrte Risikoanalysen sowie Erhebungen festgelegter Kennzahlen (z.B. St\u00f6rungs- und Ausfallzeiten als Indikator) k\u00f6nnen f\u00fcr die Beurteilung der Sicherheitsma\u00dfnahmen herangezogen werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e280", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12680" }, { "category": "3.8 Beurteilung der Sicherheitsma\u00dfnahmen", "code": "SK3.8.5", "label": "Durch regelm\u00e4\u00dfige und realistische Stresstests k\u00f6nnen m\u00f6glicherweise neue Risikofaktoren identifiziert werden", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e281", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12681" }, { "category": "3.9 Einhaltung gesetzlicher Anforderungen", "code": "SK3.9.1x", "label": "Die Einhaltung gesetzlicher, vertraglicher oder freiwilliger Regeln ist sicherzustellen.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e282", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12682" }, { "category": "3.9 Einhaltung gesetzlicher Anforderungen", "code": "SK3.9.2", "label": " Hierzu sollte ein \u00dcberwachungssystem in die Betriebsabl\u00e4ufe implementiert werden", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e283", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12683" }, { "category": "3.9 Einhaltung gesetzlicher Anforderungen", "code": "SK3.9.3", "label": " Hierzu sollte eine zust\u00e4ndige Stelle benannt werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e284", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12684" }, { "category": "3.9 Einhaltung gesetzlicher Anforderungen", "code": "SK3.9.4", "label": "Die Rechtsentwicklung sollte kontinuierlich und in geeigneter Form sondiert und deren Anwendung auf den Einzelfall gepr\u00fcft werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e285", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12685" }, { "category": "4.1 Sicherheitsanforderungen zum Schutz des Fernmeldegeheimnisses (\u00a7 88 TKG)", "code": "SK4.1.1x", "label": "Gesch\u00fctzt durch Art. 10 GG ist die Vertraulichkeit der Nutzung des zur Nachrichten\u00fcbermittlung eingesetzten technischen Mediums. Werden kommunikative Daten ohne Einwilligung zur Kenntnis genommen, aufgezeichnet, verwertet oder weitergegeben, so stellt dies ein Grundrechtseingriff dar. Zur Wahrung des Fernmeldegeheimnisses ist jeder Diensteanbieter verpflichtet. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der T\u00e4tigkeit fort.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e286", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12686" }, { "category": "4.1 Sicherheitsanforderungen zum Schutz des Fernmeldegeheimnisses (\u00a7 88 TKG)", "code": "SK4.1.2x", "label": "Es ist zu verhindern, dass Diensteanbieter sich oder anderen \u00fcber das f\u00fcr die gesch\u00e4ftsm\u00e4\u00dfige Erbringung der Telekommunikationsdienste einschlie\u00dflich des Schutzes ihrer technischen Systeme erforderliche Ma\u00df hinaus Kenntnis vom Inhalt oder den n\u00e4heren Umst\u00e4nden der Telekommunikation verschaffen.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e287", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12687" }, { "category": "4.1 Sicherheitsanforderungen zum Schutz des Fernmeldegeheimnisses (\u00a7 88 TKG)", "code": "SK4.1.3x", "label": "Gleicherma\u00dfen ist zu verhindern, dass sich unbefugte Dritte Kenntnisse \u00fcber den Inhalt oder die n\u00e4heren Umst\u00e4nde der Telekommunikation verschaffen.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e288", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12688" }, { "category": "4.1 Sicherheitsanforderungen zum Schutz des Fernmeldegeheimnisses (\u00a7 88 TKG)", "code": "SK4.1.4x", "label": "Zu ber\u00fccksichtigen sind hierbei technische Einrichtungen zur mittelbaren und unmittelbaren \u00dcbertragung von Nachrichteninhalten, ferner auch Einrichtungen zur Erhebung, Verarbeitung und Nutzung von Verkehrsdaten (z.B. Teilnehmeranschluss, Netzabschlusspunkt, Vermittlungs- und Leitwegeinrichtungen, Verbindungsnetz sowie Billing- oder Fraud- Systeme).", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e289", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12689" }, { "category": "4.1 Sicherheitsanforderungen zum Schutz des Fernmeldegeheimnisses (\u00a7 88 TKG)", "code": "SK4.1.5x", "label": "Im Bereich der Verwaltung und Verwahrung von Akten, welche dem Fernmeldegeheimnis unterliegen, sind f\u00fcr den Datenschutz hinreichend gen\u00fcgende Aufbewahrungsbeh\u00e4ltnisse zu verwenden sowie entsprechende R\u00e4ume mit Zutrittskontrolle sinnvoll einzusetzen.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e290", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12690" }, { "category": "4.1 Sicherheitsanforderungen zum Schutz des Fernmeldegeheimnisses (\u00a7 88 TKG)", "code": "SK4.1.6x", "label": "Es d\u00fcrfen nur Personen Zugriff und Zugang haben, welche eine ausreichende Belehrung \u00fcber die Sensibilit\u00e4t dieser Daten erhalten haben.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e291", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12691" }, { "category": "4.1 Sicherheitsanforderungen zum Schutz des Fernmeldegeheimnisses (\u00a7 88 TKG)", "code": "SK4.1.7x", "label": "Es muss sichergestellt werden, dass bei Nachrichten\u00fcbermittlungssystemen mit Zwischenspeicherung ausschlie\u00dflich der Teilnehmer durch seine Einwilligung Inhalt, Umfang und Art der Verarbeitung bestimmt. Schutzma\u00dfnahmen, die lediglich dem Teilnehmer selbst gestatten zu entscheiden, wer Nachrichteninhalte eingeben und darauf zugreifen darf, k\u00f6nnen durch entsprechende Zugangscodes und Kennw\u00f6rter erf\u00fcllt werden. Diese werden nur dem Teilnehmer vertraulich \u00fcbermittelt und sollen von diesem selbst\u00e4ndig nach Erhalt ver\u00e4ndert werden. Es liegt in der Einwilligungsfreiheit des Teilnehmers, an welche Person er die Zugangskennungen weitergibt.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e292", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12692" }, { "category": "4.1 Sicherheitsanforderungen zum Schutz des Fernmeldegeheimnisses (\u00a7 88 TKG)", "code": "SK4.1.8", "label": "Schutzma\u00dfnahme gegen eine ungerechtfertigte, entgegen dem Vertragsverh\u00e4ltnis vereinbarte L\u00f6schung von Nachrichteninhalten durch den Diensteanbieter kann beispielsweise das Anlegen von Backupsystemen sein.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e293", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12693" }, { "category": "4.2 Sicherheitsanforderungen zum Schutz der personenbezogenen Daten (\u00a7\u00a7 91 ff. TKG)", "code": "SK4.2x", "label": "Die Erhebung, Verarbeitung und Nutzung von Bestands- und Verkehrsdaten der pflichtigen Telekommunikationsunternehmen kann u. a. in \u201eCustomer Care and Billing- Systemen\u201c, in \u201eFraud- Systemen (\u00a7 100 Abs. 3 TKG)\u201c, in \u201eSystemen zur Mitteilung ankommender Verbindungen (\u00a7 101 TKG)\u201c oder in \u201eSystemen zur Aufnahme in \u00f6ffentliche Telefonverzeichnisse\u201c (\u00a7 45m TKG) erfolgen. Im Hinblick auf die Wahrung datenschutzrechtlicher Informationspflichten sind Art. 13 DSGVO und \u00a7 93 TKG zu beachten. I", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e294", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12694" }, { "category": "4.2.1 Informationspflichten (\u00a7 93 TKG)", "code": "SK4.2.1.1", "label": "Es wird empfohlen, die Mitarbeiter durch geeignete Unterrichtsma\u00dfnahmen f\u00fcr die Belange des Datenschutzes zu sensibilisieren.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e295", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12695" }, { "category": "4.2.1 Informationspflichten (\u00a7 93 TKG)", "code": "SK4.2.1.2", "label": "Es sollte daneben eine vertragliche Verpflichtungserkl\u00e4rung zur Wahrung des Datenschutzes von allen tangierten Mitarbeitern abgegeben werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e296", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12696" }, { "category": "4.2.1 Informationspflichten (\u00a7 93 TKG)", "code": "SK4.2.1.3x", "label": "Den Teilnehmern sind bei Vertragsabschluss Name und Kontaktdaten des f\u00fcr die Verarbeitung Verantwortlichen mitzuteilen.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e297", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12697" }, { "category": "4.2.1 Informationspflichten (\u00a7 93 TKG)", "code": "SK4.2.1.4x", "label": "Die Teilnehmer sind allgemein dar\u00fcber zu unterrichten, welche Art von Daten zu welchen Zwecken und auf welcher Rechtsgrundlage verarbeitet werden sollen. Auch sind die Empf\u00e4nger oder Kategorien von Empf\u00e4nger zu nennen, an die die personenbezogenen Daten der Teilnehmer \u00fcbermittelt werden. Ist eine \u00dcbermittlung in ein Drittland, also ein Land au\u00dferhalb der EU und des Europ\u00e4ischen Wirtschaftsraumes, beabsichtigt, so muss dies ebenfalls gegen\u00fcber den Teilnehmern angegeben werden. Damit Betroffene wissen, wer der korrekte Ansprechpartner im Unternehmen f\u00fcr datenschutzbezogene Anliegen ist, m\u00fcssen auch die Kontaktdaten des betrieblichen Datenschutzbeauftragten mitgeteilt werden.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e298", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12698" }, { "category": "4.2.1 Informationspflichten (\u00a7 93 TKG)", "code": "SK4.2.1.5x", "label": "Ferner muss auf bestehende Betroffenenrechte \u2013 etwa das Recht auf Berichtigung oder L\u00f6schung \u2013 hingewiesen werden sowie das Recht auf Beschwerde bei der zust\u00e4ndigen Datenschutzbeh\u00f6rde.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e299", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12699" }, { "category": "4.2.1 Informationspflichten (\u00a7 93 TKG)", "code": "SK4.2.1.6x", "label": "Die Teilnehmer sind \u00fcber die ggf. besonderen Risiken der Verletzung der Netzsicherheit aufzukl\u00e4ren und ggf. auch \u00fcber m\u00f6gliche Abhilfen zu informieren.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e300", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12700" }, { "category": "4.2.2 Verkehrsdaten (\u00a7 96 TKG)", "code": "SK4.2.2.1x", "label": "Das Erheben von Verkehrsdaten kann nur zul\u00e4ssig sein, soweit dies f\u00fcr einen der in Abschnitt 2 von Teil 7 des TKG genannten Zwecke erforderlich ist.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e301", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12701" }, { "category": "4.2.2 Verkehrsdaten (\u00a7 96 TKG)", "code": "SK4.2.2.2x", "label": "Unter bestimmten weiteren Bedingungen kann die Ermittlung von Kommunikationsprofilen einzelner Teilnehmer und die Analyse von Verkehrsstr\u00f6men zul\u00e4ssig sein, \u00a7 96 Abs. 3 S. 1 TKG", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e302", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12702" }, { "category": "4.2.2 Verkehrsdaten (\u00a7 96 TKG)", "code": "SK4.2.2.3x", "label": "Die Verkehrsdaten sind i.d.R. vom Diensteanbieter nach Beendigung der Verbindung unverz\u00fcglich zu l\u00f6schen, \u00a7 96 Abs. 1 S. 3 TKG. Auf den Leitfaden des/der BfDI und der BNetzA f\u00fcr eine datenschutzgerechte Speicherung von Verkehrsdaten (Stand 19.12.2012) wird verwiesen (abrufbar unter www.bundesnetzagentur.de/vds).", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e303", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12703" }, { "category": "4.2.3 Entgeltermittlung und Entgeltabrechnung (\u00a7 97 TKG)", "code": "SK4.2.3.1x", "label": "Sind bei der Erstellung von Telekommunikationsrechnungen oder der Erbringung von Telekommunikationsdienstleistungen Dritte eingebunden (z. B. durch Diensteanbieter ohne eigene Netzinfrastruktur), dann sind technische und organisatorische Schnittstellen-Beziehungen zwischen Auftraggeber (Diensteanbieter) und Auftragnehmer (Erf\u00fcllungsgehilfe) eindeutig zu regeln.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e304", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12704" }, { "category": "4.2.3 Entgeltermittlung und Entgeltabrechnung (\u00a7 97 TKG)", "code": "SK4.2.3.2x", "label": "Nicht ben\u00f6tigte Daten nach \u00a7 97 Abs. 3 TKG sind unverz\u00fcglich zu l\u00f6schen.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e305", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12705" }, { "category": "4.2.4 Standortdaten (\u00a7 98 TKG)", "code": "SK4.2.4.1", "label": "tbd", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e306", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12706" }, { "category": "4.2.5 Einzelverbindungsnachweis (\u00a7 99 TKG)", "code": "SK4.2.5.1", "label": "tbd", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e307", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12707" }, { "category": "4.2.6 Mitteilen ankommender Verbindungen (\u00a7 101 TKG)", "code": "SK4.2.6.1", "label": "tbd", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e308", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12708" }, { "category": "4.2.7 Automatische Anrufweiterschaltung (\u00a7 103 TKG)", "code": "SK4.2.7.1", "label": "tbd", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e309", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12709" }, { "category": "4.2.8 Nachrichten\u00fcbermittlungssysteme mit Zwischenspeicherung (\u00a7 107 TKG)", "code": "SK4.2.8.1", "label": "tbd", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e310", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12710" }, { "category": "4.3.1 St\u00f6rungen von Telekommunikationsanlagen und Missbrauch von Telekommunikationsdiensten (\u00a7 100 TKG)", "code": "SK4.3.1.1x", "label": "Zum Erkennen, Eingrenzen oder Beseitigen von St\u00f6rungen darf der Diensteanbieter im erforderlichen Umfang Bestands-, Verkehrs- und Steuerdaten erheben und verwenden. Dies ist mit mit einer Berichtspflicht verkn\u00fcpft. Allgemeine Hinweise zur Berichtspflicht nach \u00a7 100 Abs. 1 TKG und deren Geltung sind unter www.bundesnetzagentur.de/TKG100 abrufbar.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e311", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12711" }, { "category": "4.3.1 St\u00f6rungen von Telekommunikationsanlagen und Missbrauch von Telekommunikationsdiensten (\u00a7 100 TKG)", "code": "SK4.3.1.2x", "label": "Zum Erkennen und Eingrenzen von St\u00f6rungen ist dem Betreiber einer Telekommunikationsanlage unter engen Voraussetzungen auch das Aufschalten auf bestehende Verbindungen gestattet. Eventuell entstandene Aufzeichnungen sind jedoch unverz\u00fcglich zu l\u00f6schen. Mit diesem datenschutzrechtlichen Eingriff ist eine Informationspflicht gegen\u00fcber dem betrieblichen Datenschutzbeauftragten verbunden (vgl. insgesamt \u00a7 100 Abs. 2 TKG).", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e312", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12712" }, { "category": "4.3.1 St\u00f6rungen von Telekommunikationsanlagen und Missbrauch von Telekommunikationsdiensten (\u00a7 100 TKG)", "code": "SK4.3.1.3x", "label": "Liegen Anhaltspunkte f\u00fcr Leistungserschleichung oder Betrug vor, so kann der Diensteanbieter zur Sicherung seines Anspruches unter bestimmten Voraussetzungen Bestands- und Verkehrsdaten verwenden. In diesem Zusammenhang sind Informationspflichten gegen\u00fcber der Bundesnetzagentur und dem/der Bundesbeauftragten f\u00fcr den Datenschutz zu beachten.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e313", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12713" }, { "category": "4.3.2 Betr\u00e4chtliche Sicherheitsverletzungen (\u00a7 109 Abs. 5 TKG)", "code": "SK4.3.2.1x", "label": "Netzbetreiber und Diensteerbringer haben sowohl tats\u00e4chlich eingetretene als auch m\u00f6gliche betr\u00e4chtliche Sicherheitsverletzungen unverz\u00fcglich der Bundesnetzagentur und dem Bundesamt f\u00fcr Sicherheit in der Informationstechnik mitzuteilen. Auf das aktuell g\u00fcltige Umsetzungskonzept zur Meldung von Vorf\u00e4llen wird verwiesen (Stand: 10.11.2017, Version: 4.0, ABl. BNetzA Nr. 22 v. 22.11.2017).", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e314", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12714" }, { "category": "4.3.3 Daten- und Informationssicherheit (\u00a7 109a TKG)", "code": "SK4.3.3.1", "label": "Informationspflichten im Falle einer Verletzung des Schutzes personenbezogener Daten (\u201eDatenschutzpanne\u201c oder \u201eSecurity Breach\u201c). Dem pflichtigen Unternehmen obliegen in diesem Zusammenhang bestimmte Benachrichtigungspflichten gegen\u00fcber dem Betroffenen, aber auch gegen\u00fcber der Bundesnetzagentur und dem/der Bundesbeauftragten f\u00fcr den Datenschutz und die Informationsfreiheit. Auf die Hinweise der Bundesnetzagentur, abrufbar unter www.bundesnetzagentur.de/109a.", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e315", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12715" }, { "category": "5.1 Umsetzung von Sicherheitsanforderungen (\u00a7 109 Abs. 4 TKG )", "code": "SK5.1.1", "label": "Erstellungs-, Benennungs- und Vorlagenpflichten, sowie Erkl\u00e4rungspflicht", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e316", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12716" }, { "category": "5.1.10 Sicherheitskonzept an Ver\u00e4nderungen anpassen", "code": "SK5.1.10", "label": "Es ist zu gew\u00e4hrleisten, dass in regelm\u00e4\u00dfigen Abst\u00e4nden die Wirksamkeit der umgesetzten Sicherheitsma\u00dfnahmen festgestellt", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e317", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12717" }, { "category": "5.1 Umsetzung von Sicherheitsanforderungen (\u00a7 109 Abs. 4 TKG )", "code": "SK5.1.2", "label": "sicherheitskonzeptionellen Pflichten nach \u00a7 109 Abs. 4 TKG zur Strukturierung geeigneter und angemessener Ma\u00dfnahmen zum Schutz von Fernmeldegeheimnis, Datenschutz und Funktionsf\u00e4higkeit von Netzen und Diensten mit Pr\u00fcfung Konzept und Umsetzung durch BNetzA", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e318", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12718" }, { "category": "5.1 Umsetzung von Sicherheitsanforderungen (\u00a7 109 Abs. 4 TKG )", "code": "SK5.1.3", "label": "\u00dcberpr\u00fcfung der Erf\u00fcllung der Sicherheitsanforderungen aus \u00a7 109 Abs. 1 bis 3 TKG durch eine qualifizierte unabh\u00e4ngige Stelle nach \u00a7 109 Abs. 7 TKG ", "referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e319", "referential_label": "", "uuid": "9fdde5e2-0246-49fe-ace8-f7697da12719" } ], "version": 1 }