KONF — Konfiguration
158 controls
5 MUSS
110 SOLLTE
43 KANN
Die Praktik Konfiguration stellt sicher, dass IT-Komponenten – wie Anwendungen und IT-Systeme – gemäß den festgelegten Informationssicherheitsrichtlinien eingerichtet und kontinuierlich gepflegt werden, um Sicherheitslücken durch fehlerhafte oder unsichere Einstellungen zu vermeiden. Dies umfasst auch die nachvollziehbare Erstellung und Fortführung der Dokumentation.
KONF.1Grundlagen
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| KONF.1.1 | Verfahren und Regelungen | MUSS | normal-SdT | 3 |
| KONF.1.2 | Regelmäßige Überprüfung | MUSS | normal-SdT | |
| KONF.1.3 | Management von Werkzeugen | SOLLTE | normal-SdT | |
| KONF.1.4 | Einschränkung des Zugriffs auf Dokumentation | SOLLTE | normal-SdT | |
| KONF.1.5 | Verschlüsselung von Konfigurationsgeheimnissen | SOLLTE | normal-SdT |
KONF.2Konfiguration von Systemen
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| KONF.2.1 | Grundkonfiguration für Systeme bsi-ms-cloud · n/a (consumer-side development control) github-security-controls · GH-REP-01 +29 iso27001 · A.8.28; A.5.21 nis2 · Art. 21(2)(d); Art. 21(2)(e) | SOLLTE | normal-SdT | 1 |
| KONF.2.2 | Kryptographische Verfahren in IT-Systemen | SOLLTE | normal-SdT | |
| KONF.2.3 | Änderung von Default-Zugangsdaten | SOLLTE | normal-SdT | |
| KONF.2.4 | Deaktivierung nicht benötigter Systemfunktionen | SOLLTE | normal-SdT | 2 |
| KONF.2.5 | Überprüfung der Konfiguration | SOLLTE | normal-SdT | 1 |
| KONF.2.6 | Automatische Konfigurationsverwaltung | SOLLTE | normal-SdT | |
| KONF.2.7 | Souveräne Werkzeuge | KANN | erhöht | |
| KONF.2.8 | Alternative Administrationszugänge | KANN | erhöht | |
| KONF.2.9 | Abgesicherter und authentisierter Bootprozess | KANN | erhöht |
KONF.3Physischer Schutz
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| KONF.3.1 | Kryptographischer Hardwarespeicher | SOLLTE | normal-SdT | |
| KONF.3.2 | Speicherverschlüsselung | SOLLTE | normal-SdT | |
| KONF.3.3 | SIM-PIN | SOLLTE | normal-SdT | |
| KONF.3.4 | Physischer Diebstahlschutz | KANN | erhöht | |
| KONF.3.5 | Standortbestimmung | KANN | erhöht | |
| KONF.3.6 | Fernlöschung oder -sperre | KANN | erhöht | 1 |
| KONF.3.7 | Einschränkung angeschlossener Peripherie | SOLLTE | normal-SdT | |
| KONF.3.8 | Einschränkung von Wechselmedien | SOLLTE | normal-SdT |
KONF.4Vertrauenswürdige Basisdienste
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| KONF.4.1 | Anbindung an Verzeichnisdienst | SOLLTE | normal-SdT | 1 |
| KONF.4.2 | DNS-Anbindung | SOLLTE | normal-SdT | 1 |
| KONF.4.3 | Authentifizierung von Fernwartungsfunktionen | SOLLTE | normal-SdT | |
| KONF.4.4 | Einschränkung von Fernwartungsfunktionen | SOLLTE | normal-SdT | |
| KONF.4.5 | Zeitquellen | SOLLTE | normal-SdT |
KONF.5Authentifizierung
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| KONF.5.1 | Authentifizierung am System | SOLLTE | normal-SdT | 2 |
| KONF.5.2 | Keine Mehrfachanmeldung | SOLLTE | normal-SdT |
KONF.6Rollen und Berechtigungen
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| KONF.6.1 | Minimal erforderliche Berechtigungen für Anwendungen | SOLLTE | normal-SdT | 3 |
| KONF.6.2 | Gemeinsam genutzte Verzeichnisse | SOLLTE | normal-SdT | |
| KONF.6.3 | Kiosk-Modus | KANN | erhöht | |
| KONF.6.4 | Privilegierte Systemfunktionen | SOLLTE | normal-SdT | 1 |
| KONF.6.5 | Dynamische Zugriffskontrolle im System | KANN | erhöht | |
| KONF.6.6 | Getrennte Datenhaltung | SOLLTE | normal-SdT | 1 |
| KONF.6.7 | Privilegierte Funktionen der Anwendung | SOLLTE | normal-SdT | |
| KONF.6.8 | Berechtigungen des Webserver-Prozesses | SOLLTE | normal-SdT | |
| KONF.6.9 | Zugriff auf Code | SOLLTE | normal-SdT | |
| KONF.6.10 | Auflistung von Verzeichnisinhalten | SOLLTE | normal-SdT | |
| KONF.6.11 | Einschränkung von Uploads | SOLLTE | normal-SdT | |
| KONF.6.12 | Konferenzmoderation | SOLLTE | normal-SdT | |
| KONF.6.13 | Dynamische Zugriffskontrolle in der Anwendung | KANN | erhöht | |
| KONF.6.14 | Browser Sandboxing | SOLLTE | normal-SdT | |
| KONF.6.15 | Virtualisierte Browser-Umgebung | KANN | erhöht | |
| KONF.6.16 | Datenaustausch in der Virtualisierung | KANN | erhöht |
KONF.7Schutz vor Schadcode
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| KONF.7.1 | Echtzeitscanner | SOLLTE | normal-SdT | |
| KONF.7.2 | Regelmäßige Scans | SOLLTE | normal-SdT | |
| KONF.7.3 | Host-basierte Angriffserkennung | KANN | erhöht | |
| KONF.7.4 | Angriffserkennung anhand von Netzverkehr | KANN | erhöht | |
| KONF.7.5 | Alarmierung | SOLLTE | normal-SdT | |
| KONF.7.6 | Automatische Updates | SOLLTE | normal-SdT | |
| KONF.7.7 | Regelmäßiger Funktionstest | KANN | erhöht | |
| KONF.7.8 | Dual-Engine-Strategie | KANN | erhöht | |
| KONF.7.9 | Einschränkung der Installation | SOLLTE | normal-SdT | |
| KONF.7.10 | Einschränkung der Ausführung | SOLLTE | normal-SdT | |
| KONF.7.11 | Einschränkung von Softwarebibliotheken | KANN | erhöht | |
| KONF.7.12 | Einschränkung von Skripten | KANN | erhöht | |
| KONF.7.13 | Einschränkung von Systemaufrufen | KANN | erhöht | |
| KONF.7.14 | Code-Signierung im Betriebssystemkern | SOLLTE | normal-SdT | |
| KONF.7.15 | Lokale Firewall | SOLLTE | normal-SdT | |
| KONF.7.16 | Anti-Exploit | SOLLTE | normal-SdT | 1 |
KONF.8Sicherheitsupdates
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| KONF.8.1 | Automatische Überprüfung | SOLLTE | normal-SdT | 1 |
| KONF.8.2 | Automatische Updates der Anwendung | SOLLTE | normal-SdT |
KONF.9Verfügbarkeit von Ressourcen
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| KONF.9.1 | Speicherplatzbegrenzung | SOLLTE | normal-SdT | |
| KONF.9.2 | Begrenzung der Rechenleistung | KANN | erhöht | |
| KONF.9.3 | Alternative Komponenten für kritische Funktionen | KANN | erhöht |
KONF.10Konfiguration von Anwendungen
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| KONF.10.1 | Grundkonfiguration für Anwendungen | SOLLTE | normal-SdT | 1 |
| KONF.10.2 | Kryptographische Verfahren in Anwendungen | SOLLTE | normal-SdT | |
| KONF.10.3 | Änderung von Default-Zugangsdaten | SOLLTE | normal-SdT | |
| KONF.10.4 | Deaktivierung nicht benötigter Anwendungsfunktionen | SOLLTE | normal-SdT | |
| KONF.10.5 | Überprüfung der Konfiguration | SOLLTE | normal-SdT | 1 |
KONF.11Vertrauensbeziehungen
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| KONF.11.1 | Authentifizierung vor dem Zugriff | SOLLTE | normal-SdT | 2 |
| KONF.11.2 | Warteraum | SOLLTE | normal-SdT | |
| KONF.11.3 | Alternative Authentifizierung | KANN | erhöht | |
| KONF.11.4 | Veröffentlichung von Domain-Infomationen | SOLLTE | normal-SdT | |
| KONF.11.5 | Erraten von Zugriffslinks | SOLLTE | normal-SdT | |
| KONF.11.6 | Einschränkung unauthentifizierter Anschlüsse | SOLLTE | normal-SdT | |
| KONF.11.7 | Übersicht angemeldeter Verbindungen | KANN | erhöht | |
| KONF.11.8 | Einschränkung von Schnittstellen | SOLLTE | normal-SdT | 2 |
| KONF.11.9 | Verschlüsselung schützenswerter Daten (at-rest) | KANN | erhöht |
KONF.12Kontrollierte Datenverarbeitung
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| KONF.12.1 | Eingabevalidierung | SOLLTE | normal-SdT | 11 |
| KONF.12.2 | Verschlüsselungsstatus der aktuellen Verbindung | SOLLTE | normal-SdT | |
| KONF.12.3 | Cookies | SOLLTE | normal-SdT | |
| KONF.12.4 | Speicherung von Zugangsdaten | SOLLTE | normal-SdT | |
| KONF.12.5 | Auto-Vervollständigung von Daten | SOLLTE | normal-SdT | |
| KONF.12.6 | Browser-Historie | KANN | erhöht | |
| KONF.12.7 | Erweiterte Attribute | SOLLTE | normal-SdT | |
| KONF.12.8 | Teilnahme per Default ohne Bild und Ton | SOLLTE | normal-SdT | |
| KONF.12.9 | Information über Aufzeichnung | SOLLTE | normal-SdT | |
| KONF.12.10 | Cookie-Attribute | SOLLTE | normal-SdT | |
| KONF.12.11 | Anonyme oder Pseudonyme Kommunikation | KANN | erhöht | |
| KONF.12.12 | Verbindungsprotokoll | SOLLTE | normal-SdT | |
| KONF.12.13 | Sendebericht | SOLLTE | normal-SdT | |
| KONF.12.14 | DNS-Falschinformationen | SOLLTE | normal-SdT |
KONF.13Senden und Empfangen von Nachrichten
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| KONF.13.1 | Filtern schädlicher Nachrichten | SOLLTE | normal-SdT | 2 |
| KONF.13.2 | Authentizität von Nachrichten | SOLLTE | normal-SdT | 2 |
| KONF.13.3 | Kryptographische Signatur des Mailservers | SOLLTE | normal-SdT | |
| KONF.13.4 | Kryptographische Signatur durch Nutzende | KANN | erhöht | |
| KONF.13.5 | Publikation der Sendeberechtigung | SOLLTE | normal-SdT | 1 |
| KONF.13.6 | Publikation der Serversignatur | SOLLTE | normal-SdT | |
| KONF.13.7 | TLS-Reports | KANN | erhöht | |
| KONF.13.8 | DMARC-Reports | KANN | erhöht | |
| KONF.13.9 | Publikation der DMARC-Richtlinie | SOLLTE | normal-SdT | |
| KONF.13.10 | Authentifizierung der Server-Zertifikate über DNS | SOLLTE | normal-SdT | |
| KONF.13.11 | MTA-STS | SOLLTE | normal-SdT |
KONF.14Verteilte Anwendungen
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| KONF.14.1 | Verschlüsselung beim Transport | SOLLTE | normal-SdT | 2 |
| KONF.14.2 | Source Port Randomisierung | SOLLTE | normal-SdT | |
| KONF.14.3 | Iterative Beantwortung | SOLLTE | normal-SdT | |
| KONF.14.4 | Caching | KANN | erhöht | |
| KONF.14.5 | Zeitüberschreitung von Netzverbindungen | SOLLTE | normal-SdT |
KONF.15Ressourcenauslastung
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| KONF.15.1 | Begrenzung des Speicherplatzes | KANN | erhöht | |
| KONF.15.2 | Begrenzung der Rechenleistung | KANN | erhöht | |
| KONF.15.3 | Denial of Service | KANN | erhöht | |
| KONF.15.4 | Überbuchung von virtualisierten Ressourcen | KANN | erhöht |