DEV.2.1 — Security by Design Architektur

SOLLTE Security level: normal-SdT Effort 2 BSI-Stand-der-Technik-Kernel

Statement (Anforderung)

Entwicklung SOLLTE die Architektur nach dem Prinzip "Security by Design" verankern.

Guidance (Erläuterung)

Unter "Security by Design" ist zu verstehen, dass Sicherheitsprinzipien und -mechanismen integrale Bestandteile der Architektur sind, anstatt nur nachträglich "angeflanscht" zu werden. Hierzu gehören Sicherheitsprinzipien wie Modularisierung, Verschlüsselung und Authentifizierung beim Entwurf der Architektur. Die Umsetzung kann durch Threat Modeling realisiert werden. Für Details siehe BSI TR-03185. Bei der Umsetzung von Security by Design empfiehlt sich auch ein Blick in die Praktik Konfiguration, spezifisch die Anforderungen zu Verschlüsselung, Authentifizierung, etc.

Tags: Security by Design

Statement properties

Name	Value
documentation	Entwicklungsdokumentation
result	die Architektur nach dem Prinzip "Security by Design"
action_word	verankern
modal_verb	SOLLTE

Control properties

Name	Value
alt-identifier	c16e1dd2-8fa8-43db-83e9-32c6efd86d8e
sec_level	normal-SdT
effort_level	2
tags	Security by Design

Framework mappings this control ↔ the corresponding control in each framework (toggle per framework in Settings)

Auto-generated similarity matches — orientation only, verify before use. The score is the text-similarity confidence, not an authoritative crosswalk.

Framework	Mapped control	Mapped control title
GitHub Security Controls 🐙	GH-ACT-01	Read-only default token
GitHub Security Controls 🐙	GH-ACT-02	Action allow-list
GitHub Security Controls 🐙	GH-ACT-03	SHA-pin third-party actions
NIS2 🇪🇺	Art. 21(2)(d); Art. 21(2)(e)	SHA-pin third-party actions
ISO 27001:2013 & 27001:2022 🌐	A.8.28; A.5.21	SHA-pin third-party actions
Mindeststandard-des-BSI-zur-Nutzung-externer-Cloud-Dienste (Version 2.1) 🇩🇪	n/a (consumer-side development control)	SHA-pin third-party actions
GitHub Security Controls 🐙	GH-ACT-04	Gate fork workflows
GitHub Security Controls 🐙	GH-ACT-05	Dangerous triggers reviewed
GitHub Security Controls 🐙	GH-ACT-06	Deployment environments
GitHub Security Controls 🐙	GH-ACT-07	OIDC to cloud providers
GitHub Security Controls 🐙	GH-ACT-08	Hardened self-hosted runners
GitHub Security Controls 🐙	GH-ACT-09	Runner segmentation
GitHub Security Controls 🐙	GH-ACT-10	Central reusable workflows
GitHub Security Controls 🐙	GH-ACT-11	Build provenance
GitHub Security Controls 🐙	GH-ACT-12	Workflow log governance

Raw OSCAL JSON (complete control)

{
  "class": "BSI-Stand-der-Technik-Kernel",
  "id": "DEV.2.1",
  "parts": [
    {
      "id": "DEV.2.1_stm",
      "name": "statement",
      "props": [
        {
          "name": "documentation",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
          "value": "Entwicklungsdokumentation"
        },
        {
          "name": "result",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
          "value": "die Architektur nach dem Prinzip \"Security by Design\""
        },
        {
          "name": "action_word",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
          "value": "verankern"
        },
        {
          "name": "modal_verb",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
          "value": "SOLLTE"
        }
      ],
      "prose": "Entwicklung SOLLTE die Architektur nach dem Prinzip \"Security by Design\" verankern."
    },
    {
      "id": "DEV.2.1_gdn",
      "name": "guidance",
      "prose": "Unter \"Security by Design\" ist zu verstehen, dass Sicherheitsprinzipien und -mechanismen integrale Bestandteile der Architektur sind, anstatt nur nachträglich \"angeflanscht\" zu werden. Hierzu gehören Sicherheitsprinzipien wie Modularisierung, Verschlüsselung und Authentifizierung beim Entwurf der Architektur. Die Umsetzung kann durch Threat Modeling realisiert werden. Für Details siehe BSI TR-03185. Bei der Umsetzung von Security by Design empfiehlt sich auch ein Blick in die Praktik Konfiguration, spezifisch die Anforderungen zu Verschlüsselung, Authentifizierung, etc."
    }
  ],
  "props": [
    {
      "name": "alt-identifier",
      "value": "c16e1dd2-8fa8-43db-83e9-32c6efd86d8e"
    },
    {
      "name": "sec_level",
      "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
      "value": "normal-SdT"
    },
    {
      "name": "effort_level",
      "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
      "value": "2"
    },
    {
      "name": "tags",
      "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv",
      "value": "Security by Design"
    }
  ],
  "title": "Security by Design Architektur"
}

View JSON API Download JSON