Description
Catalogue of security requirements for the operation of
telecommunications and data processing systems and for
the processing of personal data in Germany
Owning organization
Validating JSON schema
Security referentials (provided by Various contributors)
Creator
License
Creative Commons Zero v1.0 Universal
Related objects
Definition of the object
{
"label": "TKG-SiKa2.0",
"language": "DE",
"uuid": "3547ca1d-abbf-42e3-8a43-b5afbee19595",
"values": [
{
"category": "2.1 Routing und Protokolle",
"code": "SK2.1x",
"label": "Es ist immer von verschiedenen Optionen immer die am sichersten einzuschätzende Lösung von Standards und Protokollen zu implementieren",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e100",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12500"
},
{
"category": "2.1.1 Verschlüsselungstechnik",
"code": "SK2.1.1.1x",
"label": "Der TK-Anbieter muss an sicherheitsrelevanten Stellen eine Verschlüsselung von Daten nach Stand der Technik vornehmen oder des Transportweges (z.B. über TLS). -> technische Richtlinie TR-02102",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e101",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12501"
},
{
"category": "2.1.1 Verschlüsselungstechnik",
"code": "SK2.1.1.2x",
"label": "Passwörter müssen nach aktuellem Stand der Technik zumindest gehasht und mit einem Salt versehen und gespeichert werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e102",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12502"
},
{
"category": "2.1.2 Schutz vor DoS/DDoS-Angriffen",
"code": "SK2.1.2x",
"label": "Der TK-Anbieter Maßnahmen zur Abwehr (Mitigation) von DoS/DDoS-Angriffen zu treffen. ",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e103",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12503"
},
{
"category": "2.1.2.1 Resilienz der Infrastruktur gegen DoS- / DDoS-Angriffe",
"code": "SK2.1.2.1x",
"label": "Die Kapazitäten von Systemen, die im Fokus von DDoS-Angriffen stehen könnten, müssen so ausgelegt werden, dass ihre Funktionsfähigkeit auch bei einer mittelschweren Attacke ohne weitere Maßnahmen weiterhin gewährleistet ist.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e104",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12504"
},
{
"category": "2.1.2.2 Schutz vor IP-Spoofing",
"code": "SK2.1.2.2x",
"label": "Das Fälschen von Absenderadressen muss verhindert oder erschwert werden. Die Anforderungen aus den IETF-RFCs RFC2827 und RFC3704 sind umzusetzen (Ingress filter/BCP38) .",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e105",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12505"
},
{
"category": "2.1.2.3 Deaktivieren nicht genutzter Dienste - eigene Systeme",
"code": "SK2.1.2.3.1",
"label": "Eigene Server sollten gegen Missbrauch absichert werden, indem z.B. nicht benötigte Dienste deaktiviert werden",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e106",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12506"
},
{
"category": "2.1.2.3 Deaktivieren nicht genutzter Dienste - Kunden",
"code": "SK2.1.2.3.2",
"label": "Kunden sollten auf offene Ports und erreichbare Dienste (selbst ermittelt oder auf Basis externer Quellen), von denen Gefahr ausgeht, hingewiesen werden",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e107",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12507"
},
{
"category": "2.1.2.4 Schutz betrieblich erforderlicher Dienste",
"code": "SK2.1.2.4x",
"label": "Für den Netzbetrieb erforderliche Dienste müssen durch geeignete Maßnahmen (z.B. ACLs) und Komponenten (z.B. Paketfilter) vor DoS-/DDoS-Angriffen geschützt werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e108",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12508"
},
{
"category": "2.1.2.5 Detektion von Botnetzen",
"code": "SK2.1.2.5x",
"label": "Man muss unter Beachtung der Maßgaben in § 100 Abs. 1 TKG (Nutzung von Steuerdaten,Verkehrdaten), eine geeignete Sensorik betreiben, um Botnetze zu detektieren. Datenschutzrechtliche Schutzvorschriften wie die unverzügliche Löschung aufgezeichneter Daten und die Information des betrieblichen Datenschutzbeauftragten sind zu beachten, vgl. § 100 Abs. 2 TKG.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e109",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12509"
},
{
"category": "2.1.3 Gleichbehandlungsgrundsatz",
"code": "SK2.1.3.1x",
"label": "Datenpakete von und an Kunden muss der TK-Anbieter unverändert und gleichberechtigt übertragen, unabhängig davon, woher diese stammen oder welche Anwendungen die Pakete generiert haben. Ausgenommen hiervon ist der VOIP-Dienst.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e110",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12510"
},
{
"category": "2.1.4 Inter-Domain-Routing",
"code": "SK2.1.4.1x",
"label": " Maßnahmen zur Verhinderung der Manipulation von BGP-Routen sind zu treffen, beispielsweise die Verwendung von RPKI ",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e111",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12511"
},
{
"category": "2.2 Beobachtung, Berichterstattung und Kooperation",
"code": "SK2.2.1",
"label": "Verkehrsdaten sollten im Rahmen der gesetzlichen Möglichkeiten (DSGVO, TKG100 Abs1 und § 109a Abs. 4 - 6 TKG) und soweit dies für die Erbringung des jeweiligen Dienstes erforderlich ist, regelmäßig auf Auffälligkeiten hin beobachtet werden. Bei festgestellten Unregelmäßigkeiten sind geeignete Maßnahmen zum Schutz zu ergreifen (z.B. Netzverkehr unterbinden, Verkehr zu Störern einschränken oder unterbinden).",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e112",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12512"
},
{
"category": "2.2.1 Implementierung einer Monitoring-Infrastruktur",
"code": "SK2.2.1.1x",
"label": "Eine geeignete Monitoring Infrastruktur (MI) muss vorgehalten werden. Diese sollte dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden. Die MI muss alle für den Betrieb des Netzwerkes wesentlichen Komponenten erfassen sowie auch Komponenten, die personenbezogene Daten (z.B. Nutzerkennungen) an externe Vertragspartner übermitteln, etwa im Kontext von netzwerkübergreifender Signalisierung. Als für das Sicherheitsmonitoring geeignete Datenquellen kommen u.a. möglicherweise BGP-Router, Server für DNS, E-Mail, HTTP(S), SIP(S), SSH, IPsec in Betracht.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e113",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12513"
},
{
"category": "2.2.1 Implementierung einer Monitoring-Infrastruktur",
"code": "SK2.2.1.2x",
"label": "Eine geeignete MI muss ferner für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorsehen. Die vorgesehenen Maßnahmen sollten tatsächlich und ggf. auch unter Zeitdruck umsetzbar sein.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e114",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12514"
},
{
"category": "2.2.1.2 Implementierung einer Monitoring-Infrastruktur",
"code": "SK2.2.1.2.1x",
"label": "Die für ein Monitoring eingesetzten Tools müssen geeignete Parameter bzw. Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e115",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12515"
},
{
"category": "2.2.1.2 Implementierung einer Monitoring-Infrastruktur",
"code": "SK2.2.1.2.2",
"label": "Die Arbeitsweise, das Zusammenspiel der Monitoring Tools und eine ggf. vorgenommene Verarbeitung der Daten sollte im Sicherheitskonzept dokumentiert werden. Ebenfalls dokumentiert werden sollten Schwellwerte und ähnliche Parameter, die zur Justierung der MI (z.B. Häufigkeit von Einzelereignissen bis ein Alarm ausgelöst wird, Justierung des Verhältnisses von True Positives zu False Negatives) genutzt werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e116",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12516"
},
{
"category": "2.2.1.2 Implementierung einer Monitoring-Infrastruktur",
"code": "SK2.2.1.2.3x",
"label": "Es ist ferner zu dokumentieren, wie mit erkannten Auffälligkeiten umgegangen wird. Es ist zu kennzeichnen, welche Maßnahmen von der MI automatisch eingeleitet werden, und welche einen Alarm auslösen, der eine manuelle Intervention nach sich zieht.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e117",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12517"
},
{
"category": "2.2.1.2 Implementierung einer Monitoring-Infrastruktur",
"code": "SK2.2.1.2.4",
"label": "Die MI sollte daneben eine einzelfallunabhängige Statistik generieren, welche eine Identifizierung eines bestimmten Gefahrenbildes oder Modus Operandi ermöglicht. Kommen binäre Klassifikatoren zum Einsatz, so sollten diese mittels einer gemeinsamen Betrachtung der Eckdaten (TPR, FPR, TNR, FNR) und einer geeigneten Darstellung (z.B. ROC-Kurve) bewertet werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e118",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12518"
},
{
"category": "2.2.1 Implementierung einer Monitoring-Infrastruktur",
"code": "SK2.2.1.3x",
"label": "Signifikante Abweichungen vom normalen Netzbetrieb (z.B. ungewöhnliche Datenflüsse, untypische Datenpakete auf bestimmten Ports, auffälliges Verhalten kritischer Netzkomponenten usw.) müssen permanent registriert, analysiert und dokumentiert werden. Dabei ist darauf zu achten, dass die Daten nur für den erforderlichen Zeitraum gespeichert werden. Sofern keine konkreten Anhaltspunkte für Angriffe oder Fehler vorliegen, sind die Daten nach spätestens 7 Tagen zu anonymisieren (z.B. durch Erstellen von statistischen Auswertungen) oder zu löschen.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e119",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12519"
},
{
"category": "2.2.1.3 Weiterentwicklung MI",
"code": "SK2.2.1.3.1",
"label": "Die von der MI generierten Daten sollten zur Optimierung des Verhältnisses von True Positives und False Negatives regelmäßig einem Review unterworfen werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e120",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12520"
},
{
"category": "2.2.1.3 Weiterentwicklung MI",
"code": "SK2.2.1.3.2",
"label": "Zur Identifizierung von False Negatives sollten ergänzend externe Datenquellen verwandt werden. Auch in diesen Fällen sollten die zur Optimierung ergriffenen Maßnahmen (z.B. Justierung von Schwellwerten; die Erfassung weiterer Parameter; der Einsatz weiterer oder die Abschaltung von nicht mehr zielführenden Monitoring Tools) und etwaige Änderungen der MI dokumentiert werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e121",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12521"
},
{
"category": "2.2.1.3 Weiterentwicklung MI",
"code": "SK2.2.1.3.3x",
"label": "Eine MI muss rechtlich zulässig und datenschutzkonform sein. Aus telekommunikationsrechtlicher Sicht orientiert sich die rechtliche Zulässigkeit einer MI an § 100 Abs. 1 und 2 TKG",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e122",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12522"
},
{
"category": "2.2 Beobachtung, Berichterstattung und Kooperation",
"code": "SK2.2.2",
"label": "Es sollten Maßnahmen umgesetzt werden, um ungewünschte Veränderungen durch Hersteller, Management-Dienstleister oder staatliche Akteure (z.B. aus den Herstellerländern) detektieren bzw. ausschließen",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e123",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12523"
},
{
"category": "2.2.2 Aufzeichnung / Protokollierung von Management-Aktivitäten",
"code": "SK2.2.2.1x",
"label": "Sämtliche Management-Aktivitäten an Netzkomponenten müssen protokolliert und entsprechend ihrer Bedeutung für die Sicherheit der Gesamtinfrastruktur über einen hinreichend langen Zeitraum archiviert werden, um mögliche Sicherheitsvorfälle auch im Nachhinein rekonstruieren zu können.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e124",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12524"
},
{
"category": "2.2.3 Protokollierung der Konfigurationsdateien",
"code": "SK2.2.3.1",
"label": "Die Soll-Konfiguration einer jeden Netzkomponente sollten dokumentiert und gegen unbefugten Zugriff geschützt abgespeichert werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e125",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12525"
},
{
"category": "2.2.4 Soll- / Ist-Abgleich der Komponenten",
"code": "SK2.2.4.1",
"label": "Hinreichend häufig sollten Revisionen der Netzinfrastruktur durchgeführt werden, die u.a. einen Soll-Ist-Abgleich der aktuellen Konfigurationsdateien sämtlicher Netzkomponenten mit den gemäß 2.2.3 archivierten Referenzdateien umfassen.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e126",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12526"
},
{
"category": "2.2.5 Verhaltensprüfung der Komponenten",
"code": "SK2.2.5.1",
"label": "Über den Soll-Ist-Vergleich der Konfigurationsdateien hinaus sollte regelmäßig ein Vergleich des tatsächlichen mit dem vorgesehen Verhalten einzelner Komponenten durchgeführt werden. Dazu sollen Test Cases definiert werden, in denen das konforme Verhalten beschrieben ist.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e127",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12527"
},
{
"category": "2.2.6 Identifizierung infizierter Systeme und Aufklärung des Kunden über Bedrohungen bei erkannter Infektion",
"code": "SK2.2.6.1",
"label": "Zusätzlich zu den genannten Vorkehrungen zum eigenen Schutz sollten TK-Anbieter das Netz auch im Hinblick auf infizierte Systeme von Kunden beobachten.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e128",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12528"
},
{
"category": "2.2.6 Identifizierung infizierter Systeme und Aufklärung des Kunden über Bedrohungen bei erkannter Infektion",
"code": "SK2.2.6.2x",
"label": "Werden dem TK-Anbieter Störungen bekannt, die von Datenverarbeitungssystemen der Nutzer ausgehen, ist er nach TKG §109a Abs. 4 zur unverzüglichen Benachrichtigung der Nutzer verpflichtet, soweit dies technisch möglich und zumutbar ist. Auch hat er in diesem Fall die Nutzer auf angemessene, wirksame und zugängliche technische Mittel hinzuweisen, mit denen sie diese Störungen erkennen und beseitigen können. Die gesetzlichen Meldepflichten (siehe Katalog Kap. 3.5.3) sind zu beachten.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e129",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12529"
},
{
"category": "2.2.7 Kooperationen bei TK-anbieterübergreifenden Störungen",
"code": "SK2.2.7.1",
"label": "Treten Störungen auf, von denen mehrere TK-Anbieter betroffen sein könnten, beispielsweise aufgrund von DDoS-Angriffen (siehe hierzu auch 2.1.2.), ist eine TK-Anbieter übergreifende Zusammenarbeit notwendig. Diese sollte auch einen providerübergreifenden Austausch zu infizierten Geräten umfassen.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e130",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12530"
},
{
"category": "2.2.7 Kooperationen bei TK-anbieterübergreifenden Störungen",
"code": "SK2.2.7.2x",
"label": "Hierzu müssen Ansprechpartner und Vorgehensweisen im Vorfeld untereinander abgestimmt werden. Dazu zählt auch die Benennung eines mindestens zu den Büro-Arbeitszeiten reaktionsfähigen Abuse-Kontaktes, über den eingehende Meldungen (ggf. automatisiert) bearbeitet werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e131",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12531"
},
{
"category": "2.2.7 Kooperationen bei TK-anbieterübergreifenden Störungen",
"code": "SK2.2.7.3x",
"label": "Es liegt in der Verantwortung des TK-Anbieters, vernetzte Anbieter zu kontaktieren, um die entsprechenden Kontaktpersonen zu ermitteln. Letztere haben den ersten TK-Anbieter im Gegenzug unverzüglich über Änderungen zu informieren. Es muss stets sichergestellt sein, dass im Notfall ein direkter und unverzüglicher Kontakt unter den TK-Anbietern möglich ist.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e132",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12532"
},
{
"category": "2.2.8 Kooperation mit Anti-Malware-Herstellern",
"code": "SK2.2.8.1",
"label": "Mithilfe der umgehenden Weiterleitung von Malware-Samples an AV-Hersteller sollten diese bei der zeitnahen Verbesserung von Detektionsmaßnahmen unterstützt werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e133",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12533"
},
{
"category": "3.1 Allgemeine Sicherheitsvorkehrungen",
"code": "SK3.1",
"label": "Neben der Authentisierung mit Hilfe von Benutzername und Passwort sollten, wenn technisch möglich, den Kunden stärkere Authentifizierungsverfahren wie beispielsweise kryptographische Authentifizierungsverfahren oder Verfahren der Zwei-FaktorAuthentifizierung (Besitz und Wissen) angeboten werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e134",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12534"
},
{
"category": "3.1.1 Organisations- und Risikomanagement ",
"code": "SK3.1.1.1x",
"label": "verbindliches Verfahren, um Risiken für Netzwerke, Dienste und die Verarbeitung personenbezogener Daten zu erkennen",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e135",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12535"
},
{
"category": "3.1.1 Organisations- und Risikomanagement ",
"code": "SK3.1.1.2x",
"label": "Dokumentation der Risiken und Kontrolle der Restrisiken",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e136",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12536"
},
{
"category": "3.1.2 Sicherheitsrollen und Verantwortlichkeiten",
"code": "SK3.1.2.1x",
"label": "Benennung des Sicherheitsbeauftragten nach § 109 Abs. 4 TKG.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e137",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12537"
},
{
"category": "3.1.2 Sicherheitsrollen und Verantwortlichkeiten",
"code": "SK3.1.2.2x",
"label": "Für die Sicherheit von Informationen, Geschäftsprozessen, Anwendungen, Aufgaben und Regelungen ist eine personelle Verantwortlichkeit festzulegen. Bei der Vergabe der jeweiligen Sicherheitsrollen kann ein Ernennungsakt Klarheit, Transparenz und Öffentlichkeit verschaffen.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e138",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12538"
},
{
"category": "3.1.2 Sicherheitsrollen und Verantwortlichkeiten",
"code": "SK3.1.2.3x",
"label": "Es sind alle Mitarbeiter über diese Verantwortlichkeiten in geeigneter Weise zu informieren",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e139",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12539"
},
{
"category": "3.1.2 Sicherheitsrollen und Verantwortlichkeiten",
"code": "SK3.1.2.4x",
"label": " Die für Sicherheitsvorfälle zuständigen Personen müssen in der Wahrnehmung ihrer Rollen erreichbar sein.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e140",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12540"
},
{
"category": "3.1.2 Sicherheitsrollen und Verantwortlichkeiten",
"code": "SK3.1.2.5",
"label": "regelmäßige Schulung des benannten Personals",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e141",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12541"
},
{
"category": "3.1.3 Lieferantenmanagement",
"code": "SK3.1.3.1x",
"label": "initiale und regelmässige Prüfung und Bewertung der Zuverlässigkeit, Vertrauenswürdigkeit und Qualität des Erfüllungsgehilfen oder Lieferanten",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e142",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12542"
},
{
"category": "3.1.3 Lieferantenmanagement",
"code": "SK3.1.3.2x",
"label": "Abhängigkeiten von Dritten darf die Sicherheit von Netzwerken oder Dienstleistungen sowie personenbezogener Daten nicht beeinträchtigen",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e143",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12543"
},
{
"category": "3.1.3 Lieferantenmanagement",
"code": "SK3.1.3.3x",
"label": "Sicherheitsanforderungen müssen in die vertragliche Grundlage mit Anbietern aufgenommen werden",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e144",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12544"
},
{
"category": "3.1.3 Lieferantenmanagement",
"code": "SK3.1.3.4x",
"label": "Das datenschutzrechtlich konforme Handeln der Dritten ist sicherzustellen",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e145",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12545"
},
{
"category": "3.1.3 Lieferantenmanagement",
"code": "SK3.1.3.5x",
"label": "Bei Auftragsverarbeitung sind außerdem die Regelungen des Art. 28 DSGVO zu beachten",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e146",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12546"
},
{
"category": "3.1.3 Lieferantenmanagement",
"code": "SK3.1.3.6x",
"label": "Sicherheitsanforderungen müssen nicht nur festgelegt und aktualisiert, sondern auch deren Einhaltung regelmäßig (ADV) überprüft werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e147",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12547"
},
{
"category": "3.2.1 Neukundeninformation",
"code": "SK3.2.1.1",
"label": "Neukunden sollten schriftlich mit Informationen zu Risiken im Internet, bestehenden Schutzmöglichkeiten sowie Hinweisen zu Entfernungsmöglichkeiten von Schadsoftware versorgt werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e148",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12548"
},
{
"category": "3.2.1 Sicherheitsüberprüfung (Personal intern und extern)",
"code": "SK3.2.1.2",
"label": "angemessene Sicherheitsüberprüfung und Dokumentation der eingesetzten Prüfungsmodalität (vor Personaleinsatz)",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e149",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12549"
},
{
"category": "3.2.1 Sicherheitsüberprüfung (Personal intern und extern)",
"code": "SK3.2.1.3x",
"label": "Vorlage des Personalausweis, beglaubigte Zeugniskopien, Personenzertifikate, amtlichen Führungszeugnis",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e150",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12550"
},
{
"category": "3.2.2 Information des Kunden bei Verdacht einer Schadsoftware-Infektion",
"code": "SK3.2.2.1",
"label": "Bei vorliegendem Verdacht auf eine Schadsoftware-Infektion eines Kunden-Endgeräts sollte der Kunde benachrichtigt werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e151",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12551"
},
{
"category": "3.2.2 Sicherheitswissen und Sensibilisierung (Personal intern und extern)",
"code": "SK3.2.2.2x",
"label": "Personal muss relevante Schulungen (Sicherheit und Umgang mit sensiblen Daten) besucht haben",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e152",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12552"
},
{
"category": "3.2.2 Sicherheitswissen und Sensibilisierung (Personal intern und extern)",
"code": "SK3.2.2.3x",
"label": "Personal muss Material zu Sicherheitsfragen zur Verfügung gestellt werden",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e153",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12553"
},
{
"category": "3.2.2 Sicherheitswissen und Sensibilisierung (Personal intern und extern)",
"code": "SK3.2.2.4",
"label": "regelmäßige Schulungsmaßnahmen und Sensibilisierungssitzungen (z.B. Datenschutz, Fernmeldegeheimnis)",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e154",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12554"
},
{
"category": "3.2.2 Sicherheitswissen und Sensibilisierung (Personal intern und extern)",
"code": "SK3.2.2.5x",
"label": "Der Besuch der Schulungen ist zu dokumentieren.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e155",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12555"
},
{
"category": "3.2.3 Personelle Veränderungen (Personal intern und extern)",
"code": "SK3.2.3.1x",
"label": "Es sind Regelungen für die Verwaltung von Personalveränderungen oder Änderungen von Zuständigkeiten und Verantwortlichkeiten zu wahren.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e156",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12556"
},
{
"category": "3.2.3 Personelle Veränderungen (Personal intern und extern)",
"code": "SK3.2.3.2x",
"label": "Nach einem Personal- oder Beauftragtenwechsel sind Zugriffs, Zutritts- und Zugangsrechte zu entsprechenden Systemen, Gebäuden oder Anlagen unverzüglich anzupassen bzw. zu sperren. ",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e157",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12557"
},
{
"category": "3.2.3 Personelle Veränderungen (Personal intern und extern)",
"code": "SK3.2.3.3x",
"label": "Ausgegebene Passwörter sind nach dem Stand der Technik zu verwalten. ",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e158",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12558"
},
{
"category": "3.2.3 Personelle Veränderungen (Personal intern und extern)",
"code": "SK3.2.3.4x",
"label": "Neues Personal muss über geltende Richtlinien und Verfahren informiert und sensibilisiert werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e159",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12559"
},
{
"category": "3.2.4 Umgang mit Verstößen (Personal intern)",
"code": "SK3.2.4.1",
"label": "verbindliche Regelungen für Sicherheitsverletzungen aufgrund von Verstößen",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e160",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12560"
},
{
"category": "3.3.1 Bandbreite, Erreichbarkeit von Notrufnummern",
"code": "SK3.3.1.1",
"label": "Der TK-Anbieter sollte einen Teil der zur Verfügung stehenden Bandbreite für die VOIPKommunikation reservieren. Vor allem die Erreichbarkeit von Notrufnummern muss sichergestellt sein.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e161",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12561"
},
{
"category": "3.3.1 Sicherer Umgang mit sensiblen Daten und Informationen",
"code": "SK3.3.1.2x",
"label": "Sensible Akten oder Dokumente müssen unter Verschluss verwahrt werden. Abschließbare Aktenschränke, verschlossene Büroräume sollten als mögliche Maßnahmen berücksichtigt werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e162",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12562"
},
{
"category": "3.3.1 Sicherer Umgang mit sensiblen Daten und Informationen",
"code": "SK3.3.1.3",
"label": "Mobile Endgeräte oder Wechseldatenträger sollten mit geeigneten Verschlüsselungstechnologien geschützt werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e163",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12563"
},
{
"category": "3.3.1 Sicherer Umgang mit sensiblen Daten und Informationen",
"code": "SK3.3.1.4",
"label": "Es sollte ein (MDM) Mobile Device Management genutzt werden. ",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e164",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12564"
},
{
"category": "3.3.1 Sicherer Umgang mit sensiblen Daten und Informationen",
"code": "SK3.3.1.5",
"label": "Es sollten Regelungen zur sicheren Entsorgung von Wechseldatenträgern, die nicht mehr benötigt werden oder defekt sind, getroffen werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e165",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12565"
},
{
"category": "3.3.1 Sicherer Umgang mit sensiblen Daten und Informationen",
"code": "SK3.3.1.6x",
"label": "Festplatten mit sensiblen Daten müssen so entsorgt werden, dass eine Wiederherstellung der Daten nicht mehr möglich ist.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e166",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12566"
},
{
"category": "3.3.2 Physische und elementare Schutzanforderungen",
"code": "SK3.3.2.1x",
"label": "Es sind physische Sicherheitselemente festzulegen, die den unbefugten Zutritt, die Beschädigung und die Beeinträchtigung von Informationen und informationsverarbeitenden Einrichtungen verhindern (z.B. Sicherheitsschlösser, Bewegungsmelder, Einbruchmeldeanlagen oder Videoüberwachung). ",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e167",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12567"
},
{
"category": "3.3.2 Vertraulichkeit der Kommunikation",
"code": "SK3.3.2.2",
"label": "Ergänzend zu Abschnitt 2.1.1 sollten im Rahmen des technisch möglichen und wirtschaftlich vertretbaren VoIP-Daten sowohl bei der Übertragung zwischen Provider-Netzen als auch – sofern das CPE des Kunden die technischen Voraussetzungen dafür bietet – zwischen Kunden-CPE und SBC des Providers verschlüsselt übertragen werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e168",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12568"
},
{
"category": "3.3.2 Physische und elementare Schutzanforderungen",
"code": "SK3.3.2.3",
"label": "Der Einsatz von Feuer-, Gas- und Rauchmeldern oder Löschanlagen sollte der Größe der Räumlichkeiten angemessen vorhanden sein und regelmäßig gewartet werden. ",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e169",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12569"
},
{
"category": "3.3.2 Physische und elementare Schutzanforderungen",
"code": "SK3.3.2.4x",
"label": "Die Einhaltung der Brandschutzordnung muss regelmäßig überprüft werden. ",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e170",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12570"
},
{
"category": "3.3.2 Physische und elementare Schutzanforderungen",
"code": "SK3.3.2.5",
"label": "Sicherheitsbereiche sollten durch eine angemessene Zutrittssteuerung geschützt werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e171",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12571"
},
{
"category": "3.3.2 Physische und elementare Schutzanforderungen",
"code": "SK3.3.2.6x",
"label": "Geräte und Betriebsmittel sind in regelmäßigen oder durch den Hersteller empfohlenen Intervallen zu warten.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e172",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12572"
},
{
"category": "3.3.2 Physische und elementare Schutzanforderungen",
"code": "SK3.3.2.7x",
"label": "Telekommunikationsverkabelung und Stromverkabelung sind vor Unterbrechung, Störung und Beschädigung angemessen zu schützen und in empfohlenen Intervallen zu warten.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e173",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12573"
},
{
"category": "3.3.2 Physische und elementare Schutzanforderungen",
"code": "SK3.3.2.8x",
"label": "Redundante Leitungen sind voneinander getrennt zu verlegen.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e174",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12574"
},
{
"category": "3.3.2 Physische und elementare Schutzanforderungen",
"code": "SK3.3.2.9",
"label": "Kabel sollten unterirdisch verlegt werden und durch Rohre und verschlossene Räume und Schränke geschützt werden. ",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e175",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12575"
},
{
"category": "3.3.2 Physische und elementare Schutzanforderungen",
"code": "SK3.3.2.10",
"label": "Wasserführende Leitungen sollten in Serverräumen vermieden werden. ",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e176",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12576"
},
{
"category": "3.3.2 Physische und elementare Schutzanforderungen",
"code": "SK3.3.2.11x",
"label": "Maßnahmen zum Schutz vor Naturkatastrophen und Unfällen sind zu ergreifen. ",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e177",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12577"
},
{
"category": "3.3.2 Physische und elementare Schutzanforderungen",
"code": "SK3.3.2.12x",
"label": "Es ist eine regelmäßige Bewertung der Wirksamkeit von physischen und umgebungsbezogenen Schutzmaßnahmen vorzunehmen.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e178",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12578"
},
{
"category": "3.3.3 Übermittlung der Rufnummer",
"code": "SK3.3.3.1x",
"label": "Die Signalisierung für CLIP/CLIR muss bei abgehenden Verbindungen korrekt eingestellt werden und bei ankommenden Verbindungen korrekt berücksichtigt werden. Weiterhin sind Katalog der Sicherheitsanforderungen gemäß 109 Absatz 6 TKG Anlage 1 die netzseitige (network provided number) und die kundenspezifische Rufnummer (user provided number) korrekt zu übermitteln.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e179",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12579"
},
{
"category": "3.3.3 Versorgungssicherheit (Verfügbarkeit des Gesamtsystems)",
"code": "SK3.3.3.2x",
"label": "Geräte und Betriebsmittel vor Stromausfällen und anderen Störungen schützen. ",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e180",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12580"
},
{
"category": "3.3.3 Versorgungssicherheit (Verfügbarkeit des Gesamtsystems)",
"code": "SK3.3.3.3",
"label": "redundante Leitungen über unterschiedliche Zuleitungswege",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e181",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12581"
},
{
"category": "3.3.3 Versorgungssicherheit (Verfügbarkeit des Gesamtsystems)",
"code": "SK3.3.3.4x",
"label": "ausreichende Dimensionierung der Klimatisierung und Stromversorgung ist festzulegen und regelmäßig zu überwachen",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e182",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12582"
},
{
"category": "3.3.3 Versorgungssicherheit (Verfügbarkeit des Gesamtsystems)",
"code": "SK3.3.3.5x",
"label": "Schaltanlagen, Notstromgeneratoren, Batterien, etc. müssen regelmäßig kontrolliert und falls möglich getestet",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e183",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12583"
},
{
"category": "3.3.3 Versorgungssicherheit (Verfügbarkeit des Gesamtsystems)",
"code": "SK3.3.3.6x",
"label": "Ein Verfahren zur Umsetzung für die Sicherheit kritischer Versorgungsgüter, Versorgungseinrichtungen und unterstützenden Einrichtungen ist zu erstellen.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e184",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12584"
},
{
"category": "3.3.3 Versorgungssicherheit (Verfügbarkeit des Gesamtsystems)",
"code": "SK3.3.3.7x",
"label": "Maßnahmen zum Schutz der Lieferung und Bereitstellung der Versorgungseinrichtungen sind zu implementieren.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e185",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12585"
},
{
"category": "3.3.4 Schutz vor TDOS",
"code": "SK3.3.4.1",
"label": "Soweit technisch möglich und wirtschaftlich angemessen, sollten TK-Anbieter – z.B. durch ein entsprechendes Monitoring am SBC – automatisierte Massenanrufe an einem Anschluss zum Zwecke, diesen lahmzulegen (sog. TDOS-Attacken), erkennen und unterbinden können. ",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e186",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12586"
},
{
"category": "3.3.4 Zugriffs- und Zugangskontrolle auf Netzwerk- und Informationssystemen",
"code": "SK3.3.4.2x",
"label": "Nutzer haben eindeutige Kennungen und werden authentifiziert, bevor sie auf Dienste oder Systeme zugreifen dürfen.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e187",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12587"
},
{
"category": "3.3.4 Zugriffs- und Zugangskontrolle auf Netzwerk- und Informationssystemen",
"code": "SK3.3.4.3x",
"label": "Passwörter dürfen nur verschlüsselt gespeichert werden. ",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e188",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12588"
},
{
"category": "3.3.4 Zugriffs- und Zugangskontrolle auf Netzwerk- und Informationssystemen",
"code": "SK3.3.4.4x",
"label": "Rollen, Rechte, Verantwortlichkeiten und Verfahren zum Zuweisen und Widerrufen von Zugriffsrechten sind festzulegen.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e189",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12589"
},
{
"category": "3.3.4 Zugriffs- und Zugangskontrolle auf Netzwerk- und Informationssystemen",
"code": "SK3.3.4.5x",
"label": "Zugriffe auf Netzwerk- und Informationssysteme müssen protokolliert werden. Abweichungen von dieser Verfahrensweise müssen hinterlegt und protokolliert werden",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e190",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12590"
},
{
"category": "3.3.4 Zugriffs- und Zugangskontrolle auf Netzwerk- und Informationssystemen",
"code": "SK3.3.4.6x",
"label": "Fernwartungszugänge müssen ausreichend gesichert werden (eigene VPN- Zugänge).",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e191",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12591"
},
{
"category": "3.3.4 Zugriffs- und Zugangskontrolle auf Netzwerk- und Informationssystemen",
"code": "SK3.3.4.7x",
"label": "Fremde Personen dürfen sich nur in Begleitung oder nach geeigneter Sicherheitsüberprüfung und Einweisung in gesicherten Bereichen aufhalten. Fremde Personen sind hierbei Personen von externen Firmen z.B. bei Wartungsarbeiten, Umbauten oder auch Reinigungsarbeiten.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e192",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12592"
},
{
"category": "3.3.4 Zugriffs- und Zugangskontrolle auf Netzwerk- und Informationssystemen",
"code": "SK3.3.4.8x",
"label": "Die Zugangskontrollmechanismen werden regelmäßig überprüft und bei Bedarf angepasst. ",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e193",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12593"
},
{
"category": "3.3.4 Zugriffs- und Zugangskontrolle auf Netzwerk- und Informationssystemen",
"code": "SK3.3.4.9x",
"label": "Für gesicherte technische Anlagen muss sichergestellt sein, dass nur Personen mit Befugnis Zugriff haben. ",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e194",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12594"
},
{
"category": "3.3.5 Integrität und Verfügbarkeit von Netzwerk- und Informationssystemen",
"code": "SK3.3.5.1x",
"label": "keine unberechtigten Manipulationen oder Änderungen",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e195",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12595"
},
{
"category": "3.3.5 Integrität und Verfügbarkeit von Netzwerk- und Informationssystemen",
"code": "SK3.3.5.10",
"label": "Mitarbeiter sollten durch Schulungsmaßnahmen befähigt sein, verdächtige E-Mails oder Links zu erkennen.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e196",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12596"
},
{
"category": "3.3.5 Integrität und Verfügbarkeit von Netzwerk- und Informationssystemen",
"code": "SK3.3.5.2",
"label": "Änderungen sollten dokumentiert werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e197",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12597"
},
{
"category": "3.3.5 Integrität und Verfügbarkeit von Netzwerk- und Informationssystemen",
"code": "SK3.3.5.3x",
"label": "Unberechtigte Zugriffe müssen detektiert werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e198",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12598"
},
{
"category": "3.3.5 Integrität und Verfügbarkeit von Netzwerk- und Informationssystemen",
"code": "SK3.3.5.4",
"label": "Systeme und Anwendungen sollten immer die aktuellen Sicherheitsupdates erhalten.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e199",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12599"
},
{
"category": "3.3.5 Integrität und Verfügbarkeit von Netzwerk- und Informationssystemen",
"code": "SK3.3.5.5x",
"label": "Es müssen geeignete Maßnahmen zur Erkennung von Schadsoftware umgesetzt werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e200",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12600"
},
{
"category": "3.3.5 Integrität und Verfügbarkeit von Netzwerk- und Informationssystemen",
"code": "SK3.3.5.6",
"label": "Maßnahmen zur Sensibilisierung der Mitarbeiter sollen bestehen und umgesetzt werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e201",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12601"
},
{
"category": "3.3.5 Integrität und Verfügbarkeit von Netzwerk- und Informationssystemen",
"code": "SK3.3.5.7x",
"label": "Es ist sicherzustellen, dass sicherheitskritische Daten (wie Passwörter, gemeinsame geheime Schlüssel, private Schlüssel usw.) nicht offengelegt oder manipuliert werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e202",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12602"
},
{
"category": "3.3.5 Integrität und Verfügbarkeit von Netzwerk- und Informationssystemen",
"code": "SK3.3.5.8",
"label": "Die Wirksamkeit der Maßnahmen zum Schutz der Integrität von Systemen sollte überprüft und bewertet werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e203",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12603"
},
{
"category": "3.3.5 Integrität und Verfügbarkeit von Netzwerk- und Informationssystemen",
"code": "SK3.3.5.9",
"label": "Passwörter sollten sicher authentifiziert und bei Bedarf geändert werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e204",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12604"
},
{
"category": "3.3.6 Vertraulichkeit und Integrität von Kommunikationsinhalten und Metadaten ",
"code": "SK3.3.6.1",
"label": "geeignete Verschlüsselungsverfahren sollten eingesetzt werden",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e205",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12605"
},
{
"category": "3.3.6 Vertraulichkeit und Integrität von Kommunikationsinhalten und Metadaten ",
"code": "SK3.3.6.2x",
"label": "geeignete Authentifizierungsmechanismen für Kunden- und Dienstleistungsnetzwerke sind zu implementieren",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e206",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12606"
},
{
"category": "3.3.6 Vertraulichkeit und Integrität von Kommunikationsinhalten und Metadaten ",
"code": "SK3.3.6.3",
"label": "Die Nutzung von Netzwerken und Diensten sollte fortwährend in geeigneter Form auf Anomalien sondiert werden",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e207",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12607"
},
{
"category": "3.3.6 Vertraulichkeit und Integrität von Kommunikationsinhalten und Metadaten ",
"code": "SK3.3.6.4",
"label": "Es sollten standardisierte Übertragungsverfahren und -maßnahmen verwendet werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e208",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12608"
},
{
"category": "3.3.6 Vertraulichkeit und Integrität von Kommunikationsinhalten und Metadaten ",
"code": "SK3.3.6.5x",
"label": "Sicherheitskritische Daten von Kunden sind besonders zu schützen (z.B. Daten der SIM-Karten, IMEI-Nummer, Passwörter). ",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e209",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12609"
},
{
"category": "3.3.6 Vertraulichkeit und Integrität von Kommunikationsinhalten und Metadaten ",
"code": "SK3.3.6.6",
"label": "Auch die Wirksamkeit von Methoden zum Schutz der Vertraulichkeit von Kommunikationsinhalten und -metadaten sollte stetig in geeigneter Form bewertet werden. Standortdaten unterliegen zusätzlichen Anforderungen (siehe Abschnitt 4.2.4). Eine geeignete Bewertung kann die Ausführung einer Gegenprüfung (Cross-Checks) oder die Durchführung eines (Stress)Tests sein. ",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e210",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12610"
},
{
"category": "3.4 DNS-Dienste",
"code": "SK3.4x",
"label": "Erreichbarkeit auf den eigenen Kundenkreis beschränkt",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e211",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12611"
},
{
"category": "3.4.1 Betriebsverfahren",
"code": "SK3.4.1.1x",
"label": "Durch geeignete Betriebsverfahren ist sicherzustellen, dass die Informations- und Kommunikationstechnologie ordnungsgemäß, sicher und kontinuierlich funktioniert. ",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e212",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12612"
},
{
"category": "3.4.1 Schutz vor Spoofing und Erschweren von Reflection/Amplification-Angriffen",
"code": "SK3.4.1.2x",
"label": "Ein permanentes Monitoring der DNS-Server muss gewährleistet sein und sollte es ermöglichen, Reflection/Amplification-Angriffe frühzeitig zu erkennen. Hinweise ergeben sich z.B. bei einer Häufung von Anfragen aus bestimmten Quellen, bezüglich bestimmter Resource-Records, unerlaubter rekursiver Anfragen u.ä.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e213",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12613"
},
{
"category": "3.4.1 Schutz vor Spoofing und Erschweren von Reflection/Amplification-Angriffen",
"code": "SK3.4.1.3x",
"label": "In diesen Fällen müssen Gegenmaßnahmen, wie die Einschränkung und Filterung von Anfragen, getroffen werden. Dies gilt ebenso für Dienste wie NTP, SSDP usw. die gleichfalls immer häufiger für Reflection-Angriffe missbraucht werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e214",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12614"
},
{
"category": "3.4.1 Betriebsverfahren",
"code": "SK3.4.1.4x",
"label": "Im Mindestmaß muss der Betriebsablauf festgelegt und dokumentiert werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e215",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12615"
},
{
"category": "3.4.1 Betriebsverfahren",
"code": "SK3.4.1.5x",
"label": "Verantwortlichkeiten für den Betrieb kritischer Systeme müssen einer zuständigen Stelle zugewiesen sein.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e216",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12616"
},
{
"category": "3.4.1 Betriebsverfahren",
"code": "SK3.4.1.6x",
"label": "Verfügbare und notwendige Ressourcen müssen bekannt sein. Ressourcen in diesem Sinn umfassen u.a. das notwendige und tatsächliche Personal, Systeme, Anwendungen und Räumlichkeiten. ",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e217",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12617"
},
{
"category": "3.4.1 Betriebsverfahren",
"code": "SK3.4.1.7x",
"label": "Verfügbare und notwendige Ressourcen müssen stetig überprüft und ggf. in geeigneter Form gesteuert werden. ",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e218",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12618"
},
{
"category": "3.4.2 Änderungsmanagement",
"code": "SK3.4.2.1",
"label": "Zur Vermeidung von Störungen oder Sicherheitsvorfällen sollten Änderungen an Netzwerk- und Informationssystemen, Infrastruktur, Dokumentationen, Prozessen, Verfahren und Betriebsabläufen geplant, kontrolliert, gesteuert und nach Abschluss überprüft werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e219",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12619"
},
{
"category": "3.4.2 Schutz vor DNS-Cache Poisoning",
"code": "SK3.4.2.2",
"label": "Es sollte die Port-Randomisierung aktiviert sein",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e220",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12620"
},
{
"category": "3.4.2 Schutz vor DNS-Cache Poisoning",
"code": "SK3.4.2.3",
"label": "Die Verkehrsmenge sollte regelmäßig beobachtet werden, um Cache-Poisoning Angriffe frühzeitig zu entdecken. Insbesondere bei breitbandig angebundenen DNS-Resolvern ist eine Cache-Poisoning Attacke trotz aktivierter Port-Randomisierung weiterhin möglich.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e221",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12621"
},
{
"category": "3.4.2 Änderungsmanagement",
"code": "SK3.4.2.4",
"label": "Änderungen an kritischen Systemen sollen auf der Grundlage von vordefinierten und in geeigneter Form dokumentierten Verfahren erfolgen. ",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e222",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12622"
},
{
"category": "3.4.2 Schutz vor DNS-Cache Poisoning",
"code": "SK3.4.2.5",
"label": "Zur Risikoreduzierung sollten außerdem Obergrenzen für die Haltezeit von zwischengepufferten Daten im DNS-Cache festgelegt werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e223",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12623"
},
{
"category": "3.4.2 Änderungsmanagement",
"code": "SK3.4.2.6",
"label": "Es sollte eine Einschätzung aller potenziellen direkten und indirekten Auswirkungen vorgenommen werden. ",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e224",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12624"
},
{
"category": "3.4.2 Änderungsmanagement",
"code": "SK3.4.2.7",
"label": "Wesentliche tatsächliche Änderungen sollten in geeigneter Form protokolliert werden. ",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e225",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12625"
},
{
"category": "3.4.2 Änderungsmanagement",
"code": "SK3.4.2.8",
"label": "Maßnahmen der präventiven Kontrolle, z. B. das 4-Augenprinzip.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e226",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12626"
},
{
"category": "3.4.2 Änderungsmanagement",
"code": "SK3.4.2.9",
"label": "Die Funktionalität der TK-Systeme sollte nach Änderungen in geeigneter Form überprüft werden. Alle betroffenen Personen sollten über die erforderlichen Änderungsdetails informiert werden. Identifizierte Auffälligkeiten sollten sofort der vorher festgelegten Stelle angezeigt werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e227",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12627"
},
{
"category": "3.4.3 Asset Management",
"code": "SK3.4.3.1",
"label": "Sicherheit erfordert Kenntnis. Zumindest die wesentlichen Anlagen, Systeme und Einrichtungen, welche für den jeweiligen Netzbetrieb oder das Diensteangebot erforderlich sind, sollten eindeutig identifizierbar sein. Eine entsprechende Inventarisierung und Verwaltung von Anlagen und Systemen kann dies im Einzelfall sicherstellen. Die Verwaltung sollte auch die Konfigurationssteuerung der wesentlichen Netzwerk- und Kommunikationssysteme einschließen.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e228",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12628"
},
{
"category": "3.4.3 Einsatz von DNSSEC",
"code": "SK3.4.3.2x",
"label": "Innerhalb der DNS-Infrastruktur eines Netzbetreibers muss eine Validierung von DNSSEC-Signaturen flächendeckend erfolgen. ",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e229",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12629"
},
{
"category": "3.4.3 Einsatz von DNSSEC",
"code": "SK3.4.3.3",
"label": "Der TK-Anbieter sollte seine Kunden über die Vorteile von DNSSEC aufklären sowie diese zu einer Nutzung anhalten.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e230",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12630"
},
{
"category": "3.5.1 Erkennen von Sicherheitsvorfällen und Störungen",
"code": "SK3.5.1.1x",
"label": "Es muss ein Verfahren zum Erkennen von Sicherheitsvorfällen und Störungen eingerichtet und regelmäßig kontrolliert werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e231",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12631"
},
{
"category": "3.5.1 Erkennen von Sicherheitsvorfällen und Störungen",
"code": "SK3.5.1.2x",
"label": "Es sind z.B. vordefinierte Betriebsparameter wie Klima, Strom, Datenaufkommen im TK-Verkehr zu überwachen und im Sicherheitsvorfall oder bei Störungen zu alarmieren.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e232",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12632"
},
{
"category": "3.5.1 Erkennen von Sicherheitsvorfällen und Störungen",
"code": "SK3.5.1.3",
"label": "Nach Bekanntwerden von Störungen und/oder Vorfällen sollten betroffene Systeme so angepasst und/oder verbessert werden, dass zukünftig diese Problematik verhindert wird.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e233",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12633"
},
{
"category": "3.5.2 Umgang mit Sicherheitsvorfällen und Störungen",
"code": "SK3.5.2.1x",
"label": "Unternehmen haben ein Verfahren zur Definition und zum Umgang mit jedweder Art von Sicherheitsvorfall, einschließlich dessen Meldung an zuständige Personen und Behörden zu implementieren.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e234",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12634"
},
{
"category": "3.5.2 Umgang mit Sicherheitsvorfällen und Störungen",
"code": "SK3.5.2.2",
"label": "Es sollte regelmäßig überprüft werden, ob das festgelegte Verfahren den aktuellen Umständen entspricht und die tatsächliche Umsetzung planungskonform erfolgt.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e235",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12635"
},
{
"category": "3.5.2 Umgang mit Sicherheitsvorfällen und Störungen",
"code": "SK3.5.2.3x",
"label": "Für Sicherheitsvorfälle hat geeignetes Personal verfügbar und benannt zu sein. Im Falle einer Sicherheitsverletzung kann es notwendig sein, unter Zeitdruck oder atypischen Umständen Sicherheitshandlungen durchzuführen oder sicherheitsrelevante Entscheidungen zu treffen.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e236",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12636"
},
{
"category": "3.5.2 Umgang mit Sicherheitsvorfällen und Störungen",
"code": "SK3.5.2.4x",
"label": "Die Kritikalität der jeweiligen Störung oder Sicherheitsverletzung muss in geeigneter Form bewertet werden. Der für das Bewertungsergebnis vorgegebene Meldeweg muss sodann umgesetzt werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e237",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12637"
},
{
"category": "3.5.2 Umgang mit Sicherheitsvorfällen und Störungen",
"code": "SK3.5.2.5x",
"label": "Kritische Sicherheitsvorfälle müssen grundsätzlich untersucht werden. Untersuchung und Ergebnis muss in einem Bericht dokumentiert werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e238",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12638"
},
{
"category": "3.5.2 Umgang mit Sicherheitsvorfällen und Störungen",
"code": "SK3.5.2.6",
"label": "Aus dem Bericht sollte hervorgehen, welche Maßnahmen getroffen oder geplant sind, um gleichgelagerte Sicherheitsvorfälle und deren Auswirkungen zukünftig zu vermeiden oder das Sicherheitsrisiko zu minimieren. Die in dieser Hinsicht getroffenen oder geplanten Maßnahmen sollten begründet werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e239",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12639"
},
{
"category": "3.5.2 Umgang mit Sicherheitsvorfällen und Störungen",
"code": "SK3.5.2.7x",
"label": "beträchtliche Sicherheitsverletzungen gemäß § 109 Abs. 5 TKG, sind diese unverzüglich der Bundesnetzagentur und dem Bundesamt für Sicherheit in der Informationstechnik mitzuteilen.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e240",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12640"
},
{
"category": "3.5.3 Kommunikation und Meldung von Sicherheitsvorfällen",
"code": "SK3.5.3.1x",
"label": "Ein Sicherheitsvorfall kann eine gesetzliche Meldepflicht (z. B. §§109 Abs. 5, 109a Abs. 1 TKG oder Art. 33 DSGVO) auslösen. Falls erforderlich sind daher Meldungen über aktuelle oder zurückliegende Sicherheitsereignisse an Dritte, Kunden und/ oder Behörden durchzuführen.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e241",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12641"
},
{
"category": "3.5.3 Kommunikation und Meldung von Sicherheitsvorfällen",
"code": "SK3.5.3.2",
"label": "Zur Sicherstellung etwaiger Meldepflichten sowie der Kommunikation und Berichterstattung von Sicherheitsvorfällen sollten geeignete Regelungen in die unternehmerischen Betriebsabläufe implementiert werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e242",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12642"
},
{
"category": "3.5.3 Kommunikation und Meldung von Sicherheitsvorfällen",
"code": "SK3.5.3.3x",
"label": "Bei einem Angriff auf Passwörter sind betroffene Kunden schnellstmöglich zu informieren. Zur Sicherstellung sollte ein geeignetes Meldeverfahren festgelegt werden. ",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e243",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12643"
},
{
"category": "3.6.1 Aufrechterhaltung von Telekommunikationsinfrastrukturen und Diensten (Business Continuity Management)",
"code": "SK3.6.1.1x",
"label": "Eine geeignete Präventionsstrategie vor Störungen Sicherheitsvorfällen darf nicht nicht nur die technischen Aspekte für die Aufrechterhaltung der Dienste zu regeln. Auch organisatorische Maßnahmen sind im Vorfeld zu planen, festzulegen und fortwährend zu überprüfen.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e244",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12644"
},
{
"category": "3.6.1 Aufrechterhaltung von Telekommunikationsinfrastrukturen und Diensten (Business Continuity Management)",
"code": "SK3.6.1.10",
"label": "Es sollte regelmäßig eine Evaluierung dieser Pläne erfolgen.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e245",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12645"
},
{
"category": "3.6.1 Aufrechterhaltung von Telekommunikationsinfrastrukturen und Diensten (Business Continuity Management)",
"code": "SK3.6.1.11x",
"label": "Ein geeigneter Notfallbeauftragter ist zu benennen. Dieser sollte alle Aktivitäten des Notfallmanagements kennen und steuern.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e246",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12646"
},
{
"category": "3.6.1 Aufrechterhaltung von Telekommunikationsinfrastrukturen und Diensten (Business Continuity Management)",
"code": "SK3.6.1.2x",
"label": "Regelungen zur Aufrechterhaltung der Infrastrukturen und Dienste haben allgemeine Handlungsanweisungen und möglichst auch konkrete, auf den Einzelfall angepasste Notallmaßnahmen zu enthalten.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e247",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12647"
},
{
"category": "3.6.1 Aufrechterhaltung von Telekommunikationsinfrastrukturen und Diensten (Business Continuity Management)",
"code": "SK3.6.1.3",
"label": "Relevante Kontaktinformationen sollten in einem Notfallhandbuch beschrieben und stets aktuell sein.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e248",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12648"
},
{
"category": "3.6.1 Aufrechterhaltung von Telekommunikationsinfrastrukturen und Diensten (Business Continuity Management)",
"code": "SK3.6.1.4",
"label": "Der Zugriff auf diese Regelungen und Informationen sollte sichergestellt sein. ",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e249",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12649"
},
{
"category": "3.6.1 Aufrechterhaltung von Telekommunikationsinfrastrukturen und Diensten (Business Continuity Management)",
"code": "SK3.6.1.5x",
"label": "Im Vorfeld ist die Verfügbarkeit angemessener Redundanzen auf System- und Dienstebene sicherzustellen.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e250",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12650"
},
{
"category": "3.6.1 Aufrechterhaltung von Telekommunikationsinfrastrukturen und Diensten (Business Continuity Management)",
"code": "SK3.6.1.6x",
"label": "Diese Redundanzen sind in regelmäßigen Abständen zu testen bzw. umzuschalten, sofern dies unterbrechungsfrei möglich ist.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e251",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12651"
},
{
"category": "3.6.1 Aufrechterhaltung von Telekommunikationsinfrastrukturen und Diensten (Business Continuity Management)",
"code": "SK3.6.1.7x",
"label": "Es sind regelmäßige Backups von kritischen Systemen und Daten zu erstellen.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e252",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12652"
},
{
"category": "3.6.1 Aufrechterhaltung von Telekommunikationsinfrastrukturen und Diensten (Business Continuity Management)",
"code": "SK3.6.1.8x",
"label": "Auf die gesetzlich vorgegebenen Lösch- und Speicherfristen ist hierbei zu achten, insbesondere sollte die Speicherdauer der Backups in einem angemessenen Verhältnis zur Speicherdauer der personenbezogenen Daten stehen.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e253",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12653"
},
{
"category": "3.6.1 Aufrechterhaltung von Telekommunikationsinfrastrukturen und Diensten (Business Continuity Management)",
"code": "SK3.6.1.9x",
"label": "Es sind angepasste Notfallpläne zum Betrieb kritischer Systeme auszuarbeiten, festzulegen und zu implementieren.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e254",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12654"
},
{
"category": "3.6.2 Wiederanlauf nach Ausfällen (Disaster Recovery Management)",
"code": "SK3.6.2.1x",
"label": "Ausfallzeiten bis zur Wiederherstellung der Funktionsfähigkeit von Netzwerk und Kommunikationsdiensten müssen dennoch mit angemessenen Mitteln so gering wie möglich gehalten werden",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e255",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12655"
},
{
"category": "3.6.2 Wiederanlauf nach Ausfällen (Disaster Recovery Management)",
"code": "SK3.6.2.2x",
"label": "Es sind geeignete Richtlinien und Verfahren zur schnellstmöglichen Wiederherstellung wichtiger Netzwerk- und Kommunikationsdienste zu entwickeln und festzulegen.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e256",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12656"
},
{
"category": "3.6.2 Wiederanlauf nach Ausfällen (Disaster Recovery Management)",
"code": "SK3.6.2.3",
"label": "Diese Richtlinien und Verfahren sollten in regelmäßigen Abständen evaluiert werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e257",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12657"
},
{
"category": "3.6.2 Wiederanlauf nach Ausfällen (Disaster Recovery Management)",
"code": "SK3.6.2.4",
"label": "Die wichtigsten Geschäftsprozesse für den Wiederanlauf sollten priorisiert werden. ",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e258",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12658"
},
{
"category": "3.6.2 Wiederanlauf nach Ausfällen (Disaster Recovery Management)",
"code": "SK3.6.2.5",
"label": "Im Vorfeld sollten Lieferantenverträge auf eine Ersatzbereitstellung geprüft werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e259",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12659"
},
{
"category": "3.6.2 Wiederanlauf nach Ausfällen (Disaster Recovery Management)",
"code": "SK3.6.2.6",
"label": "Eine geeignete Schutzmaßnahme kann die Vorhaltung geeigneter Ersatzgeräte für Infrastruktur und TK-Systeme sein.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e260",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12660"
},
{
"category": "3.6.2 Wiederanlauf nach Ausfällen (Disaster Recovery Management)",
"code": "SK3.6.2.7",
"label": "Eine geeignete Schutzmaßnahme kann im Einzelfall auch die Vorhaltung geeigneter, mobiler Netzersatzanlagen sein",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e261",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12661"
},
{
"category": "3.6.2 Wiederanlauf nach Ausfällen (Disaster Recovery Management)",
"code": "SK3.6.2.8",
"label": "Zur Aufrechterhaltung von Dienstleistungen kann die präventive Einrichtung von Notfallarbeitsplätzen für Mitarbeiter sinnvoll sein.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e262",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12662"
},
{
"category": "3.7.1 Überwachungs- und Protokollierungsmaßnahmen",
"code": "SK3.7.1.1x",
"label": "Alle sicherheitsrelevanten Ereignisse sind zu protokollieren und in einer auswertbaren Form abzuspeichern.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e263",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12663"
},
{
"category": "3.7.1 Überwachungs- und Protokollierungsmaßnahmen",
"code": "SK3.7.1.2x",
"label": "Werden Daten für diese Zwecke nicht mehr benötigt, so sind sie unverzüglich zu löschen. ",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e264",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12664"
},
{
"category": "3.7.1 Überwachungs- und Protokollierungsmaßnahmen",
"code": "SK3.7.1.3",
"label": "Es sollte ein auf den Einzelfall angepasstes Regelwerk für die Überwachung und Protokollierung betriebsrelevanter Systeme eingeführt und umgesetzt werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e265",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12665"
},
{
"category": "3.7.1 Überwachungs- und Protokollierungsmaßnahmen",
"code": "SK3.7.1.4",
"label": "Das Regelwerk sollte regelmäßig evaluiert werden. ",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e266",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12666"
},
{
"category": "3.7.1 Überwachungs- und Protokollierungsmaßnahmen",
"code": "SK3.7.1.5",
"label": "Durch die automatische Überwachung und Protokollierung betriebsrelevanter Systeme können im Einzelfall möglicherweise weitere, zur Auswertung geeignete Informationen gewonnen werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e267",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12667"
},
{
"category": "3.7.1 Überwachungs- und Protokollierungsmaßnahmen",
"code": "SK3.7.1.6",
"label": "Administrative Tätigkeiten oder Arbeiten an betriebsrelevanten Systemen sollten protokolliert werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e268",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12668"
},
{
"category": "3.7.2 Notfallübungen",
"code": "SK3.7.2.1",
"label": "Es sollten regelmäßig Notfallübungen durchgeführt werden",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e269",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12669"
},
{
"category": "3.7.2 Notfallübungen",
"code": "SK3.7.2.2",
"label": "Eine Vorgehensweise zum Testen und üben von Notfallplänen zur Aufrechterhaltung und Wiederherstellung kritischer Dienste und Infrastrukturen festlegt werden. Falls möglich und notwendig, sollte dies auch in Zusammenarbeit mit Dritten erfolgen. Es sollen möglichst realistische und unterschiedliche Szenarien berücksichtigt werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e270",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12670"
},
{
"category": "3.7.2 Notfallübungen",
"code": "SK3.7.2.3",
"label": "Dabei soll festgestellt werden ob geplante Ausfallzeiten nicht überschritten werden und ob die bestimmte Krisenleitung in der Praxis ihre Aufgaben erfüllt. ",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e271",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12671"
},
{
"category": "3.7.3 Testen von Netzwerk- und IT-Systemen",
"code": "SK3.7.3.1",
"label": "Es sollten daher schon im Vorfeld Regelungen zur Freigabe und zum Testen von Netzwerk- und IT-Systemen festgelegt werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e272",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12672"
},
{
"category": "3.7.3 Testen von Netzwerk- und IT-Systemen",
"code": "SK3.7.3.2",
"label": "Netzwerk- oder IT-Systeme sollten auf gesonderten Testumgebungen getestet werden, bevor sie verwendet oder mit vorhandenen Systemen verbunden werden. ",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e273",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12673"
},
{
"category": "3.7.3 Testen von Netzwerk- und IT-Systemen",
"code": "SK3.7.3.3",
"label": "Gleiches sollte auch bei Anpassungen oder z.B. nach Updates geschehen.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e274",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12674"
},
{
"category": "3.7.3 Testen von Netzwerk- und IT-Systemen",
"code": "SK3.7.3.4",
"label": "Betriebsrelevante Systeme sollten regelmäßigen Sicherheitstests unterzogen werden. Dies gilt insbesondere dann, wenn neue Systeme eingeführt und Änderungen vorgenommen werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e275",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12675"
},
{
"category": "3.7.3 Testen von Netzwerk- und IT-Systemen",
"code": "SK3.7.3.5x",
"label": "Es muss sichergestellt sein, dass Tests keine Auswirkungen auf die Sicherheit von Netzwerken und Diensten haben. Die Verwendung von sensiblen Daten muss vermieden werden. ",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e276",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12676"
},
{
"category": "3.8 Beurteilung der Sicherheitsmaßnahmen",
"code": "SK3.8.1x",
"label": "Alle Sicherheitsmaßnahmen müssen den Stand der Technik berücksichtigen. Vor diesem Hintergrund müssen auch die getroffenen Sicherheitsmaßnahmen regelmäßig neu vom pflichtigen Unternehmen beurteilt werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e277",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12677"
},
{
"category": "3.8 Beurteilung der Sicherheitsmaßnahmen",
"code": "SK3.8.2",
"label": "Daher sollte eine angemessene Strategie zur Beurteilung der im Einzelfall getroffenen Sicherheitsmaßnahmen erstellt werden. ",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e278",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12678"
},
{
"category": "3.8 Beurteilung der Sicherheitsmaßnahmen",
"code": "SK3.8.3",
"label": "Es sollten im Mindestmaß Regelungen zur Beurteilung der getroffenen Schutzmaßnahmen erstellt werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e279",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12679"
},
{
"category": "3.8 Beurteilung der Sicherheitsmaßnahmen",
"code": "SK3.8.4",
"label": "Regelmäßig durchgeführte Risikoanalysen sowie Erhebungen festgelegter Kennzahlen (z.B. Störungs- und Ausfallzeiten als Indikator) können für die Beurteilung der Sicherheitsmaßnahmen herangezogen werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e280",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12680"
},
{
"category": "3.8 Beurteilung der Sicherheitsmaßnahmen",
"code": "SK3.8.5",
"label": "Durch regelmäßige und realistische Stresstests können möglicherweise neue Risikofaktoren identifiziert werden",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e281",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12681"
},
{
"category": "3.9 Einhaltung gesetzlicher Anforderungen",
"code": "SK3.9.1x",
"label": "Die Einhaltung gesetzlicher, vertraglicher oder freiwilliger Regeln ist sicherzustellen.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e282",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12682"
},
{
"category": "3.9 Einhaltung gesetzlicher Anforderungen",
"code": "SK3.9.2",
"label": " Hierzu sollte ein Überwachungssystem in die Betriebsabläufe implementiert werden",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e283",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12683"
},
{
"category": "3.9 Einhaltung gesetzlicher Anforderungen",
"code": "SK3.9.3",
"label": " Hierzu sollte eine zuständige Stelle benannt werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e284",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12684"
},
{
"category": "3.9 Einhaltung gesetzlicher Anforderungen",
"code": "SK3.9.4",
"label": "Die Rechtsentwicklung sollte kontinuierlich und in geeigneter Form sondiert und deren Anwendung auf den Einzelfall geprüft werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e285",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12685"
},
{
"category": "4.1 Sicherheitsanforderungen zum Schutz des Fernmeldegeheimnisses (§ 88 TKG)",
"code": "SK4.1.1x",
"label": "Geschützt durch Art. 10 GG ist die Vertraulichkeit der Nutzung des zur Nachrichtenübermittlung eingesetzten technischen Mediums. Werden kommunikative Daten ohne Einwilligung zur Kenntnis genommen, aufgezeichnet, verwertet oder weitergegeben, so stellt dies ein Grundrechtseingriff dar. Zur Wahrung des Fernmeldegeheimnisses ist jeder Diensteanbieter verpflichtet. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e286",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12686"
},
{
"category": "4.1 Sicherheitsanforderungen zum Schutz des Fernmeldegeheimnisses (§ 88 TKG)",
"code": "SK4.1.2x",
"label": "Es ist zu verhindern, dass Diensteanbieter sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation verschaffen.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e287",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12687"
},
{
"category": "4.1 Sicherheitsanforderungen zum Schutz des Fernmeldegeheimnisses (§ 88 TKG)",
"code": "SK4.1.3x",
"label": "Gleichermaßen ist zu verhindern, dass sich unbefugte Dritte Kenntnisse über den Inhalt oder die näheren Umstände der Telekommunikation verschaffen.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e288",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12688"
},
{
"category": "4.1 Sicherheitsanforderungen zum Schutz des Fernmeldegeheimnisses (§ 88 TKG)",
"code": "SK4.1.4x",
"label": "Zu berücksichtigen sind hierbei technische Einrichtungen zur mittelbaren und unmittelbaren Übertragung von Nachrichteninhalten, ferner auch Einrichtungen zur Erhebung, Verarbeitung und Nutzung von Verkehrsdaten (z.B. Teilnehmeranschluss, Netzabschlusspunkt, Vermittlungs- und Leitwegeinrichtungen, Verbindungsnetz sowie Billing- oder Fraud- Systeme).",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e289",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12689"
},
{
"category": "4.1 Sicherheitsanforderungen zum Schutz des Fernmeldegeheimnisses (§ 88 TKG)",
"code": "SK4.1.5x",
"label": "Im Bereich der Verwaltung und Verwahrung von Akten, welche dem Fernmeldegeheimnis unterliegen, sind für den Datenschutz hinreichend genügende Aufbewahrungsbehältnisse zu verwenden sowie entsprechende Räume mit Zutrittskontrolle sinnvoll einzusetzen.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e290",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12690"
},
{
"category": "4.1 Sicherheitsanforderungen zum Schutz des Fernmeldegeheimnisses (§ 88 TKG)",
"code": "SK4.1.6x",
"label": "Es dürfen nur Personen Zugriff und Zugang haben, welche eine ausreichende Belehrung über die Sensibilität dieser Daten erhalten haben.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e291",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12691"
},
{
"category": "4.1 Sicherheitsanforderungen zum Schutz des Fernmeldegeheimnisses (§ 88 TKG)",
"code": "SK4.1.7x",
"label": "Es muss sichergestellt werden, dass bei Nachrichtenübermittlungssystemen mit Zwischenspeicherung ausschließlich der Teilnehmer durch seine Einwilligung Inhalt, Umfang und Art der Verarbeitung bestimmt. Schutzmaßnahmen, die lediglich dem Teilnehmer selbst gestatten zu entscheiden, wer Nachrichteninhalte eingeben und darauf zugreifen darf, können durch entsprechende Zugangscodes und Kennwörter erfüllt werden. Diese werden nur dem Teilnehmer vertraulich übermittelt und sollen von diesem selbständig nach Erhalt verändert werden. Es liegt in der Einwilligungsfreiheit des Teilnehmers, an welche Person er die Zugangskennungen weitergibt.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e292",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12692"
},
{
"category": "4.1 Sicherheitsanforderungen zum Schutz des Fernmeldegeheimnisses (§ 88 TKG)",
"code": "SK4.1.8",
"label": "Schutzmaßnahme gegen eine ungerechtfertigte, entgegen dem Vertragsverhältnis vereinbarte Löschung von Nachrichteninhalten durch den Diensteanbieter kann beispielsweise das Anlegen von Backupsystemen sein.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e293",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12693"
},
{
"category": "4.2 Sicherheitsanforderungen zum Schutz der personenbezogenen Daten (§§ 91 ff. TKG)",
"code": "SK4.2x",
"label": "Die Erhebung, Verarbeitung und Nutzung von Bestands- und Verkehrsdaten der pflichtigen Telekommunikationsunternehmen kann u. a. in „Customer Care and Billing- Systemen“, in „Fraud- Systemen (§ 100 Abs. 3 TKG)“, in „Systemen zur Mitteilung ankommender Verbindungen (§ 101 TKG)“ oder in „Systemen zur Aufnahme in öffentliche Telefonverzeichnisse“ (§ 45m TKG) erfolgen. Im Hinblick auf die Wahrung datenschutzrechtlicher Informationspflichten sind Art. 13 DSGVO und § 93 TKG zu beachten. I",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e294",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12694"
},
{
"category": "4.2.1 Informationspflichten (§ 93 TKG)",
"code": "SK4.2.1.1",
"label": "Es wird empfohlen, die Mitarbeiter durch geeignete Unterrichtsmaßnahmen für die Belange des Datenschutzes zu sensibilisieren.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e295",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12695"
},
{
"category": "4.2.1 Informationspflichten (§ 93 TKG)",
"code": "SK4.2.1.2",
"label": "Es sollte daneben eine vertragliche Verpflichtungserklärung zur Wahrung des Datenschutzes von allen tangierten Mitarbeitern abgegeben werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e296",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12696"
},
{
"category": "4.2.1 Informationspflichten (§ 93 TKG)",
"code": "SK4.2.1.3x",
"label": "Den Teilnehmern sind bei Vertragsabschluss Name und Kontaktdaten des für die Verarbeitung Verantwortlichen mitzuteilen.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e297",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12697"
},
{
"category": "4.2.1 Informationspflichten (§ 93 TKG)",
"code": "SK4.2.1.4x",
"label": "Die Teilnehmer sind allgemein darüber zu unterrichten, welche Art von Daten zu welchen Zwecken und auf welcher Rechtsgrundlage verarbeitet werden sollen. Auch sind die Empfänger oder Kategorien von Empfänger zu nennen, an die die personenbezogenen Daten der Teilnehmer übermittelt werden. Ist eine Übermittlung in ein Drittland, also ein Land außerhalb der EU und des Europäischen Wirtschaftsraumes, beabsichtigt, so muss dies ebenfalls gegenüber den Teilnehmern angegeben werden. Damit Betroffene wissen, wer der korrekte Ansprechpartner im Unternehmen für datenschutzbezogene Anliegen ist, müssen auch die Kontaktdaten des betrieblichen Datenschutzbeauftragten mitgeteilt werden.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e298",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12698"
},
{
"category": "4.2.1 Informationspflichten (§ 93 TKG)",
"code": "SK4.2.1.5x",
"label": "Ferner muss auf bestehende Betroffenenrechte – etwa das Recht auf Berichtigung oder Löschung – hingewiesen werden sowie das Recht auf Beschwerde bei der zuständigen Datenschutzbehörde.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e299",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12699"
},
{
"category": "4.2.1 Informationspflichten (§ 93 TKG)",
"code": "SK4.2.1.6x",
"label": "Die Teilnehmer sind über die ggf. besonderen Risiken der Verletzung der Netzsicherheit aufzuklären und ggf. auch über mögliche Abhilfen zu informieren.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e300",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12700"
},
{
"category": "4.2.2 Verkehrsdaten (§ 96 TKG)",
"code": "SK4.2.2.1x",
"label": "Das Erheben von Verkehrsdaten kann nur zulässig sein, soweit dies für einen der in Abschnitt 2 von Teil 7 des TKG genannten Zwecke erforderlich ist.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e301",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12701"
},
{
"category": "4.2.2 Verkehrsdaten (§ 96 TKG)",
"code": "SK4.2.2.2x",
"label": "Unter bestimmten weiteren Bedingungen kann die Ermittlung von Kommunikationsprofilen einzelner Teilnehmer und die Analyse von Verkehrsströmen zulässig sein, § 96 Abs. 3 S. 1 TKG",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e302",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12702"
},
{
"category": "4.2.2 Verkehrsdaten (§ 96 TKG)",
"code": "SK4.2.2.3x",
"label": "Die Verkehrsdaten sind i.d.R. vom Diensteanbieter nach Beendigung der Verbindung unverzüglich zu löschen, § 96 Abs. 1 S. 3 TKG. Auf den Leitfaden des/der BfDI und der BNetzA für eine datenschutzgerechte Speicherung von Verkehrsdaten (Stand 19.12.2012) wird verwiesen (abrufbar unter www.bundesnetzagentur.de/vds).",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e303",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12703"
},
{
"category": "4.2.3 Entgeltermittlung und Entgeltabrechnung (§ 97 TKG)",
"code": "SK4.2.3.1x",
"label": "Sind bei der Erstellung von Telekommunikationsrechnungen oder der Erbringung von Telekommunikationsdienstleistungen Dritte eingebunden (z. B. durch Diensteanbieter ohne eigene Netzinfrastruktur), dann sind technische und organisatorische Schnittstellen-Beziehungen zwischen Auftraggeber (Diensteanbieter) und Auftragnehmer (Erfüllungsgehilfe) eindeutig zu regeln.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e304",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12704"
},
{
"category": "4.2.3 Entgeltermittlung und Entgeltabrechnung (§ 97 TKG)",
"code": "SK4.2.3.2x",
"label": "Nicht benötigte Daten nach § 97 Abs. 3 TKG sind unverzüglich zu löschen.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e305",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12705"
},
{
"category": "4.2.4 Standortdaten (§ 98 TKG)",
"code": "SK4.2.4.1",
"label": "tbd",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e306",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12706"
},
{
"category": "4.2.5 Einzelverbindungsnachweis (§ 99 TKG)",
"code": "SK4.2.5.1",
"label": "tbd",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e307",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12707"
},
{
"category": "4.2.6 Mitteilen ankommender Verbindungen (§ 101 TKG)",
"code": "SK4.2.6.1",
"label": "tbd",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e308",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12708"
},
{
"category": "4.2.7 Automatische Anrufweiterschaltung (§ 103 TKG)",
"code": "SK4.2.7.1",
"label": "tbd",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e309",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12709"
},
{
"category": "4.2.8 Nachrichtenübermittlungssysteme mit Zwischenspeicherung (§ 107 TKG)",
"code": "SK4.2.8.1",
"label": "tbd",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e310",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12710"
},
{
"category": "4.3.1 Störungen von Telekommunikationsanlagen und Missbrauch von Telekommunikationsdiensten (§ 100 TKG)",
"code": "SK4.3.1.1x",
"label": "Zum Erkennen, Eingrenzen oder Beseitigen von Störungen darf der Diensteanbieter im erforderlichen Umfang Bestands-, Verkehrs- und Steuerdaten erheben und verwenden. Dies ist mit mit einer Berichtspflicht verknüpft. Allgemeine Hinweise zur Berichtspflicht nach § 100 Abs. 1 TKG und deren Geltung sind unter www.bundesnetzagentur.de/TKG100 abrufbar.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e311",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12711"
},
{
"category": "4.3.1 Störungen von Telekommunikationsanlagen und Missbrauch von Telekommunikationsdiensten (§ 100 TKG)",
"code": "SK4.3.1.2x",
"label": "Zum Erkennen und Eingrenzen von Störungen ist dem Betreiber einer Telekommunikationsanlage unter engen Voraussetzungen auch das Aufschalten auf bestehende Verbindungen gestattet. Eventuell entstandene Aufzeichnungen sind jedoch unverzüglich zu löschen. Mit diesem datenschutzrechtlichen Eingriff ist eine Informationspflicht gegenüber dem betrieblichen Datenschutzbeauftragten verbunden (vgl. insgesamt § 100 Abs. 2 TKG).",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e312",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12712"
},
{
"category": "4.3.1 Störungen von Telekommunikationsanlagen und Missbrauch von Telekommunikationsdiensten (§ 100 TKG)",
"code": "SK4.3.1.3x",
"label": "Liegen Anhaltspunkte für Leistungserschleichung oder Betrug vor, so kann der Diensteanbieter zur Sicherung seines Anspruches unter bestimmten Voraussetzungen Bestands- und Verkehrsdaten verwenden. In diesem Zusammenhang sind Informationspflichten gegenüber der Bundesnetzagentur und dem/der Bundesbeauftragten für den Datenschutz zu beachten.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e313",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12713"
},
{
"category": "4.3.2 Beträchtliche Sicherheitsverletzungen (§ 109 Abs. 5 TKG)",
"code": "SK4.3.2.1x",
"label": "Netzbetreiber und Diensteerbringer haben sowohl tatsächlich eingetretene als auch mögliche beträchtliche Sicherheitsverletzungen unverzüglich der Bundesnetzagentur und dem Bundesamt für Sicherheit in der Informationstechnik mitzuteilen. Auf das aktuell gültige Umsetzungskonzept zur Meldung von Vorfällen wird verwiesen (Stand: 10.11.2017, Version: 4.0, ABl. BNetzA Nr. 22 v. 22.11.2017).",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e314",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12714"
},
{
"category": "4.3.3 Daten- und Informationssicherheit (§ 109a TKG)",
"code": "SK4.3.3.1",
"label": "Informationspflichten im Falle einer Verletzung des Schutzes personenbezogener Daten („Datenschutzpanne“ oder „Security Breach“). Dem pflichtigen Unternehmen obliegen in diesem Zusammenhang bestimmte Benachrichtigungspflichten gegenüber dem Betroffenen, aber auch gegenüber der Bundesnetzagentur und dem/der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Auf die Hinweise der Bundesnetzagentur, abrufbar unter www.bundesnetzagentur.de/109a.",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e315",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12715"
},
{
"category": "5.1 Umsetzung von Sicherheitsanforderungen (§ 109 Abs. 4 TKG )",
"code": "SK5.1.1",
"label": "Erstellungs-, Benennungs- und Vorlagenpflichten, sowie Erklärungspflicht",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e316",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12716"
},
{
"category": "5.1.10 Sicherheitskonzept an Veränderungen anpassen",
"code": "SK5.1.10",
"label": "Es ist zu gewährleisten, dass in regelmäßigen Abständen die Wirksamkeit der umgesetzten Sicherheitsmaßnahmen festgestellt",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e317",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12717"
},
{
"category": "5.1 Umsetzung von Sicherheitsanforderungen (§ 109 Abs. 4 TKG )",
"code": "SK5.1.2",
"label": "sicherheitskonzeptionellen Pflichten nach § 109 Abs. 4 TKG zur Strukturierung geeigneter und angemessener Maßnahmen zum Schutz von Fernmeldegeheimnis, Datenschutz und Funktionsfähigkeit von Netzen und Diensten mit Prüfung Konzept und Umsetzung durch BNetzA",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e318",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12718"
},
{
"category": "5.1 Umsetzung von Sicherheitsanforderungen (§ 109 Abs. 4 TKG )",
"code": "SK5.1.3",
"label": "Überprüfung der Erfüllung der Sicherheitsanforderungen aus § 109 Abs. 1 bis 3 TKG durch eine qualifizierte unabhängige Stelle nach § 109 Abs. 7 TKG ",
"referential": "ca9262c7-08a5-4817-8693-c2ec6bf0e319",
"referential_label": "",
"uuid": "9fdde5e2-0246-49fe-ace8-f7697da12719"
}
],
"version": 1
}