Vorkehrungen nach § 8a BSI-Gesetz : Stand der Technik im Bereich der Kritischen Infrastrukturen
Auf Basis von § 8a BSI-Gesetz bewertet das BSI die Eignung von Nachweisen und branchenspezifischen Sicherheitsstandards für Kritische Infrastrukturen. Der abstrakte Rechtsbegriff „Stand der Technik“ als Vorgabe an die Vorkehrungen der Betreiber wird dabei zwangsläufig konkretisiert.
Seit der Verabschiedung des IT-Sicherheitsgesetzes (IT-SiG) ist der Begriff „Stand der Technik“ in den Diskussionen rund um die Absicherung Kritischer Infrastrukturen allgegenwärtig. § 8a BSI-Gesetz (BSIG) verpflichtet Betreiber Kritischer Infrastrukturen, angemessene Vorkehrungen zum Schutz der Teile ihrer Informationstechnik zu treffen, die für die Funktionsfähigkeit der Kritischen Infrastrukturen maßgeblich sind. Dabei soll der „Stand der Technik“ eingehalten werden. In diese Vorkehrungen schließt der Gesetzgeber explizit sowohl technische als auch organisatorische Maßnahmen ein.
Der Begriff „Stand der Technik“ beschreibt die Anforderungen des Gesetzgebers, wie für Gesetze üblich, auf einem hohen abstrakten Niveau. Dadurch muss er, im Gegensatz zu möglichen Detailregelungen, nicht permanent angepasst werden. Ein solcher Abstraktionsgrad hat allerdings den Nachteil, dass es einer Konkretisierung bedarf, um zu beurteilen, ob bestimmte Bündel von Vorkehrungen dem Stand der Technik genügen. Dieser Artikel soll hier durch konkrete Kriterien und vereinfachte Beispiele helfen und so den abstrakten Begriff mit Blick auf die Anwendung in kritischen Infrastrukturen fassbarer machen.
Einordnung des Begriffs
Ein möglicher Ansatzpunkt zur besseren Einordnung des Begriffs „Stand der Technik“ ergibt sich aus dem Handbuch der Rechtsförmlichkeit des Bundesministeriums der Justiz und für Verbraucherschutz [1], in dem Empfehlungen zur Gestaltung von Rechtsvorschriften gegeben werden. In diesem wird der Stand der Technik, als Merkmal für Qualität und Fortschrittlichkeit, von den „allgemein anerkannten Regeln der Technik“ und vom „Stand von Wissenschaft und Technik“ abgegrenzt.
Hierauf aufbauend werden in diesem Artikel drei Kriterien verwendet, um den Stand der Technik für Vorkehrungen zum Schutz Kritischer Infrastrukturen zu beschreiben: Sachgerechtigkeit, Zuverlässigkeit und Fortschrittlichkeit.
Sachgerechtigkeit
Sachgerechtigkeit im Rahmen des Stands der Technik liegt vor, wenn Vorkehrungen geeignet sind, das angestrebte Ziel zu erreichen. Das Gesamtziel im Kontext Kritischer Infrastrukturen ist die Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit in den informationstechnischen Systemen, Komponenten und Prozessen, die für die Funktionsfähigkeit der Kritischen Infrastruktur maßgeblich sind, unter Einsatz angemessener Mittel. Dieses Gesamtziel kann durch Teilziele konkretisiert werden, die so auch einer Untergliederung des komplexen Gesamtziels dienen. Eine Vorkehrung muss dann vor dem Hintergrund des Gesamtziels die für sie maßgeblichen Teilziele erreichen, das gesamte Bündel an Vorkehrungen das Gesamtziel.
Diese Zielvorgabe, die sich aus dem BSIG ergibt, setzt den Rahmen. Damit ergibt sich für die Beurteilung der Sachgerechtigkeit allem voran, dass eine Vorkehrung, die in einem Informationsverbund dem Stand der Technik entspricht, in einem anderen anders beurteilt werden kann. Die Einsatzumgebung, die vorhandenen Rahmenbedingungen und die weiteren umgesetzten Vorkehrungen sind zu berücksichtigen.
Ebenso muss der Schutzbedarf der einzelnen Schutzziele und das vorliegende Gefährdungspotenzial ausdrücklich berücksichtigt werden. Bei branchenspezifischen Sicherheitsstandards und Nachweisen nach § 8a BSI-Gesetz, also im Kontext der Kritischen Infrastrukturen, bedeutet dies insbesondere auch, dass die KRITISSchutzziele [2] beachtet werden müssen und Einfluss auf die Bewertung der Sachgerechtigkeit haben.
Zuverlässigkeit
Zuverlässigkeit für Vorkehrungen nach Stand der Technik beschreibt die begründete Erwartung, dass eine getroffene Vorkehrung sachgerecht ist und in einem gewissen Rahmen bleibt. Die Grundlage dieser Erwartung bestimmt das Maß der Zuverlässigkeit.
Ausreichend ist die Zuverlässigkeit einer Vorkehrung vor allem dann, wenn diese sich in der Praxis bewährt hat. Ist dies nicht der Fall, sollte eine Vorkehrung im Betrieb mit Erfolg erprobt worden sein, um als zuverlässig bewertet werden zu können. Vorkehrungen, für die keine belastbaren Grundlagen vorliegen, auf deren Basis die Sachgerechtigkeit für einen gewissen zeitlichen Rahmen erwartet werden kann, fallen (noch) nicht unter den Stand der Technik.
Fortschrittlichkeit
Vorkehrungen nach Stand der Technik müssen fortschrittlich sein. Diese Fortschrittlichkeit ist messbar: Vorkehrungen nach Stand der Technik unterscheiden sich beispielsweise von allgemein anerkannten Regeln der Technik durch eine höhere Effektivität oder Effizienz. Aufgrund dessen müssen Vorkehrungen regelmäßig neu bewertet werden und es muss eine Orientierung zu fortschrittlicheren Vorkehrungen hin erfolgen. Sollten keine fortschrittlicheren Vorkehrungen als anerkannte Regeln der Technik existieren, sind diese zu nutzen. Des Weiteren ist die Umsetzung der gewählten Vorkehrungen im Sinne der Fortschrittlichkeit zu verbessern.
Gesamtbewertung
Nach Betrachtung der drei Aspekte Sachgerechtigkeit, Zuverlässigkeit und Fortschrittlichkeit kann eine Bewertung des Stands der Technik einer Vorkehrung insgesamt vorgenommen werden. Diese Bewertung sollte für Dritte nachvollziehbar sein. Dies gilt besonders im Vergleich zur Verfügbarkeit und Eignung anderer Vorkehrungen. Die abschließende Entscheidung, ob eine Vorkehrung dem Stand der Technik entspricht, muss dann im konkreten Kontext der Nachweiserbringung nach § 8a BSIG auch der Überprüfung durch Prüfer nach § 8a Absatz 3 BSIG und BSI-Fachexperten standhalten können.
Beispiel 1: ISMS/ISB
In dem in diesem Beispiel betrachteten Unternehmen decken verschiedene Organisationseinheiten von Bürobetrieb und Buchhaltung über Einsatz und Betreuung eigener Webservices bis zum technischen Betrieb und zur Wartung von Anlagen unterschiedlichste Bereiche ab. Aktuell wird ein übergreifendes Informationssicherheitsmanagementsystem (ISMS) eingeführt.
Im Rahmen seiner Gefährdungsanalyse stellt das Unternehmen fest, dass unter bestimmten Gegebenheiten Gefährdungen der Informationssicherheit existieren und Sicherheitslücken entstehen können. Dies wäre der Fall, wenn nach Änderung von Aufgaben, Rollen oder Verantwortlichkeiten und beim Auftreten von personellen, zeitlichen, finanziellen, technischen oder sonstigen Mängeln die Sicherheitsarchitektur gar nicht, stark verspätet oder falsch angepasst würde. Das Unternehmen muss also sicherstellen, dass das ISMS stetig überprüft, bedarfsweise angepasst und kontinuierlich weiterentwickelt wird.
Außerdem stellt das Unternehmen eine Gefährdung durch Fehlplanungen fest. Diese Gefährdung existiert nicht allein bei der Planung von Prozessen und Produkten, die direkt der Informationssicherheit dienen, sondern gleichermaßen bei der Planung von Prozessen und Produkten unter Beteiligung von Informationsverarbeitung. Es ist also darauf zu achten, dass Aufgaben und Rollen der Prozesse richtig zugewiesen, Informationssicherheit bereits bei Planungen und Beschaffungen beachtet, Produkte zur Sicherheit richtig eingesetzt und Sicherheitsregelungen eingehalten werden.
Damit der gesamte Informationssicherheitsprozess leistungsfähig wird, sollten Gefährdungen bereits bei der initialen Einführung des ISMS und der damit einhergehenden Erstellung einer Leitlinie zur Informationssicherheit, des Sicherheitskonzeptes und weiterer notwendiger Konzepte bedacht werden.
Mögliche Vorkehrungen
Um den genannten Gefährdungen entgegenzuwirken, werden die folgenden organisatorischen Vorkehrungen in Bezug auf den Stand der Technik betrachtet und vergleichend bewertet, und zwar jeweils unter den Aspekten Sachgerechtigkeit, Zuverlässigkeit und Fortschrittlichkeit:
- Initiale Einführung eines ISMS durch einen externen Auftragnehmer – Anpassung der Sicherheitsarchitektur und -prozesse durch die jeweils zuständigen Mitarbeiter der Organisationsbereiche (Vorkehrung A)
- Initiale Einführung eines ISMS durch einen externen Auftragnehmer – Anpassung alle zwei Jahre auf Basis der beim Audit zum Nachweis gemäß § 8a BSI-Gesetz festgestellten Mängel (Vorkehrung B)
- Benennung eines entsprechend qualifizierten Informationssicherheitsbeauftragten (ISB) als Gesamtverantwortlichen für Informationssicherheit und initiale Einführung eines ISMS durch diesen (Vorkehrung C)
- Initiale Einführung eines ISMS durch einen externen Auftragnehmer und Benennung eines entsprechend qualifizierten ISB als Gesamtverantwortlichen für Informationssicherheit im Laufe der Einführung (Vorkehrung D)
Die organisatorischen Vorkehrungen sollen getroffen werden, um initial das ISMS leistungsfähig aufzusetzen und aufrechtzuerhalten. Im laufenden Betrieb soll das Unternehmen durch das ISMS dann in der Lage sein, auf Veränderungen rechtzeitig zu reagieren und einem möglichen Ressourcenmangel entgegenzuwirken, damit die kontinuierliche Einhaltung der Schutzziele gewährleistet wird.
Die wichtigsten konkreten Ziele zur Einführung des ISMS lauten:
- Unterstützung der Leitungsebene bei der Erstellung der Leitlinie zur Informationssicherheit (Ziel 1)
- Erstellung des Sicherheitskonzeptes und weiterer Konzepte (Ziel 2)
- Koordination der Erstellung der einzelnen Konzepte, Richtlinien und Regelungen (Ziel 3) Die wichtigsten konkreten Ziele zur Aufrechterhaltung und Weiterentwicklung lauten: kontinuierliche Aktualisierung des Sicherheitsprozesses (Ziel 4)
- Vermeidung von Verstößen gegen die Sicherheitsrichtlinie (Ziel 5)
- dauerhafte Aufrechterhaltung der Informationssicherheit im Unternehmen (Ziel 6)
- Steuerung und Koordinierung des gesamten Informationssicherheitsprozesses (Ziel7)
- Koordinierung sicherheitsrelevanter Projekte in Bezug auf Informationssicherheit (Ziel 8)
Tabelle 1 führt auf, inwieweit die möglichen organisatorischen Vorkehrungen (Zeilen A bis D) geeignet sind, die konkreten Ziele (Spalten 1 bis 8) zu erreichen. Ein „–“ bedeutet, dass mit dieser Vorkehrung das Ziel nicht erreicht werden kann, ein „+“ zeigt hingegen an, dass die Vorkehrung zur Erreichung des Ziels geeignet ist – ein „o“ bedeutet eine Erreichung mit Einschränkungen.
Eine Vorkehrung kann als sachgerecht angesehen werden, wenn alle relevanten Ziele zumindest eingeschränkt erreicht werden. In diesem Beispiel können also, wie Tabelle 1 zu entnehmen ist, die Vorkehrungen C und D als sachgerecht für die Erreichung der Ziele angesehen werden. Es ist allerdings für die Praxis durchaus sinnvoll, wie in Vorkehrung C vorgesehen, den zukünftigen ISB bereits an der Erstellung des ISMS zu beteiligen.
Als nächstes ist nun die Zuverlässigkeit zu beurteilen: Eine Vorkehrung gilt als zuverlässig, wenn sie sich in der Praxis bewährt hat oder zumindest erfolgreich erprobt ist. Die Vorkehrung C „Benennung eines entsprechend qualifizierten Informationssicherheitsbeauftragten (ISB) als Gesamtverantwortlichen für Informationssicherheit und initiale Einführung eines ISMS durch diesen“ ist vielfach in der Praxis erprobt und hat sich in Abhängigkeit von den individuellen Gegebenheiten und der jeweiligen Umsetzung als ausreichend zuverlässig erwiesen.
Ebenso ist die Vorkehrung D „Initiale Einführung eines ISMS durch einen externen Auftragnehmer und Benennung eines entsprechend qualifizierten ISB als Gesamtverantwortlichen für Informationssicherheit im Laufe der Einführung“ grundsätzlich als zuverlässig anzusehen. Hier wäre jedoch noch die Zuverlässigkeit im Sinne des Stands der Technik des zu beauftragenden externen Dienstleisters zu prüfen.
Abschließend wird die Fortschrittlichkeit über die Effektivität und Effizienz der Vorkehrungen bewertet. Dabei müssen nur die Verfahren oder Vorkehrungen betrachtet werden, die bereits als sachgerecht zur Erreichung der Ziele identifiziert wurden, also in diesem konkreten Fall die Vorkehrungen C und D.
Für die initiale Einführung des Sicherheitsmanagements (Ziele 1 bis 3) hängen sowohl die Effektivität als auch die Effizienz der gewählten Vorkehrung (C und D) stark von den individuellen Gegebenheiten und der jeweiligen Umsetzung ab. Sollte ein qualifizierter ISB vorhanden sein, hat Vorkehrung C die höchste Effektivität und Effizienz. Andernfalls könnte unter diesen Umständen und in Bezug auf die Einführung (Ziele 1 bis 3) Vorkehrung D effizienter sein, da sie sich wahrscheinlich schneller realisieren lässt.
Bei der fortlaufenden Aufrechterhaltung und Weiterentwicklung des Sicherheitsniveaus (Ziele 4 bis 8) ist der Einsatz eines ISB – unabhängig davon, ob dieser intern oder extern beauftragt wird – alternativlos, da er die einzige sachgerechte Möglichkeit darstellt und sich, in Abhängigkeit von der jeweiligen Umsetzung, als effektiv und effizient erwiesen hat.
Somit können die beiden sachgerechten Vorkehrungen auch als fortschrittlich angesehen werden. Die Vorkehrung C ist jedoch dann effektiver als Vorkehrung D, wenn angenommen wird, dass ein qualifizierter ISB schon bei Aufbau des ISMS vorhanden ist.
In den Betrachtungen wird nicht unterschieden, ob der benannte ISB ein interner Mitarbeiter ist oder extern beauftragt wurde. Wesentlich ist, dass der ISB ausreichend qualifiziert und in die internen Geschäftsprozesse eingebunden ist.
Zusammenfassung
Es wurden verschiedene organisatorische Vorkehrungen zu Aufbau und Betrieb eines ISMS betrachtet und beurteilt, inwieweit diese in Bezug auf bestimmte, bei der Gefährdungsanalyse festgestellte Gefährdungen dem Stand der Technik genügen. Die Betrachtung der Sachgerechtigkeit, Zuverlässigkeit und Fortschrittlichkeit der Vorkehrungen ergab, dass unter Zugrundelegung der wichtigsten Ziele, die es zu erreichen gilt, um den Gefährdungen entgegenzuwirken, die Benennung eines ISB dem Stand der Technik genügt.
Beispiel 2: Netzwerktrennung
Im Folgenden werden die dargestellten Kriterien zur Beurteilung des Begriffs „Stand der Technik“ auf das Thema Trennung des Unternehmensnetzes vom Internet angewandt. Es geht also um einen speziellen Fall der Betrachtung eines Übergangspunktes zwischen zwei IT-Netzen.
Grundsätzlich muss zunächst im Rahmen der Risikobewertung untersucht werden, welches abzusichernde Risiko besteht. Dieses Beispiel soll nicht umfassend die technischen Fragestellungen zur Netztrennung klären, sondern aufzeigen, wie Vorkehrungen im Rahmen der obigen Systematik in Bezug auf den Stand der Technik in einem vereinfachten Umfeld mit vereinfachter Risikobetrachtung bewertet werden können. In realen Anwendungsfällen hingegen ist eine vollständige Risikobewertung und damit im Allgemeinen auch ein umfassenderes Bündel an Vorkehrungen notwendig.
Als Szenario wird der allgemeine Fall eines Unternehmens betrachtet, das über ein internes Netz sowie eine Anbindung an das Internet verfügt. Für alle Betreiber einer Kritischen Infrastruktur kann davon ausgegangen werden, dass eine solche Verbindung zwischen einem internen Netz und einem nicht vertrauenswürdigen Netz wie dem Internet ein Risiko darstellt, das durch angemessene Vorkehrungen abgesichert werden muss.
Mögliche Vorkehrungen
Um Sicherheitsrisiken zu begegnen, stellt sich die Frage, welche Form der Trennung des Unternehmensnetzes vom Internet eine Vorkehrung darstellt, die zulässig und vor allem geeignet ist, um eine angemessene Absicherung nach dem Stand der Technik sicherzustellen.
Um diese Fragestellung zu beantworten, werden exemplarisch folgende Vorkehrungen zur Absicherung von Netzen diskutiert:
- Physische Trennung des Unternehmensnetzes vom Internet durch eine Luftschnittstelle (Air-Gap) – eine Datenübertragung erfolgt ausschließlich über portable Speichermedien (Vorkehrung A)
- Trennung des Unternehmensnetzes vom Internet durch Einteilung in die drei Sicherheitszonen: internes Netz, demilitarisierte Zone (DMZ) und Außenanbindung (Internetanbindung) – die Zonenübergänge werden durch Paketfilter abgesichert, die ausschließlich erlaubte Kommunikation weiterleiten (z. B. durch Whitelisting), die zweistufige Paketfilterung kontrolliert jeden ein- und ausgehenden Datenverkehr, eine umfassende P-A-P-Struktur ist realisiert (Vorkehrung B)
- Die Anbindung der Netze erfolgt über Router mit Network-Address-Translation (NAT), um die Netzstruktur des zu schützenden Netzes zu verdecken (Vorkehrung C).
Als die wichtigsten konkreten Ziele des Unternehmens in Bezug auf Trennung des Unternehmensnetzes vom Internet sollen vereinfachend und rein beispielhaft die folgenden Ziele betrachtet werden:
- Vermeidung von beziehungsweise Warnung vor Datenabfluss (Ziel 1)
- Verhinderung von unbefugtem Eindringen in IT-Systeme (Ziel 2)
- Schutz und Warnung vor Schadprogrammen (Ziel 3)
- Schutz vor dem Einspielen von schädlichen und manipulierten Nachrichten (z. B. Replay- und Manin-the-Middle-Attacke – Ziel 4)
Tabelle 2 stellt die Vorkehrungen und dadurch erreichbaren Ziele gegenüber – die Einträge entsprechen dem in Beispiel 1 genannten Muster.
Eine Vorkehrung kann im Rahmen des Beispiels als sachgerecht gelten, wenn sie die Erreichung aller für sie konkreten Ziele sicherstellt. Im vorliegenden Beispiel ist Vorkehrung B, die Trennung des Gesamtnetzes in drei Sicherheitszonen, als sachgerecht anzusehen. Die Trennung interner Netze nach außen mittels eines Air-Gap trägt ebenso zur Erreichung der konkreten Ziele bei. Einen Schutz vor Schadprogrammen bietet das Air-Gap unter Nutzung portabler Speichermedien allerdings nur, falls die mittels Speichermedien übertragenen Daten durch eine zusätzliche Vorkehrung untersucht werden. Eine Anbindung nach außen mittels eines NAT-Routers ist nicht sachgerecht, da dieser zur Erreichung verschiedener konkreter Ziele nicht ausreichend beiträgt.
Als Nächstes wird die Zuverlässigkeit betrachtet: Hier wird die Grundlage bewertet, auf der von einer Sachgerechtigkeit der Vorkehrungen ausgegangen werden kann. Die Vorkehrung B, die Trennung des Gesamtnetzes in drei Sicherheitszonen, und mit den genannten zusätzlichen Erfordernissen auch die Vorkehrung A, die Trennung mittels Air-Gap, sind in der Praxis erprobt und können somit als zuverlässig gelten.
Als Letztes wird erneut die Fortschrittlichkeit hinsichtlich Effektivität und Effizienz beurteilt. Als einzige sachgerechte Vorkehrungen sind in diesem Beispiel sowohl eine Trennung mittels Air-Gap als auch eine Unterteilung in drei Sicherheitszonen prinzipiell geeignet, die dargestellten konkreten Ziele zu erfüllen. Die Beurteilung der Effektivität und Effizienz hängt nun von den konkreten Bedingungen und Aufwänden zur Realisierung der Vorkehrungen ab: Eine Unterteilung in drei Sicherheitszonen ist im Allgemeinen als effektiv und effizient zu bewerten – ob eine Air-Gap-Lösung zu rechtfertigen oder zu präferieren ist, hängt deutlich von den weiteren Gegebenheiten im Unternehmen ab, besonders vom festgelegten Schutzbedarf. Oft dürfte sie jedoch einen unangemessenen Mehraufwand bedeuten. Die Fortschrittlichkeit ist in regelmäßigen zeitlichen Abständen erneut zu bewerten, um dann gegebenenfalls effizientere Vorkehrungen, die ebenfalls geeignet sind, ein ausreichendes Schutzniveau zu erreichen, einzubeziehen.
Zusammenfassung
Im beschriebenen vereinfachten Beispiel ist davon auszugehen, dass die Erreichung der konkreten Ziele durch die Realisierung einer Trennung in drei Sicherheitszonen gegeben ist. Des Weiteren kann diese Vorkehrung auch als zuverlässig und fortschrittlich angesehen werden.
Da in real existierenden Fällen sicherlich weitere konkrete Ziele zu betrachten sind, ist zu erwarten, dass darüber hinausgehende Vorkehrungen erforderlich sind. Dies gilt es im konkreten Einzelfall zu prüfen.
Fazit
In diesem Artikel wurde der Begriff „Stand der Technik“ aus Sicht des BSI näher erläutert. Den Kontext bilden die Verpflichtungen für Betreiber Kritischer Infrastrukturen aus § 8a BSI-Gesetz. Für die notwendigen Vorkehrungen wurde eine Bewertung nach den Kriterien Sachgerechtigkeit, Zuverlässigkeit und Fortschrittlichkeit beschrieben und in zwei vereinfachten Beispielen durchgeführt.
Das BSI ist sich des Aufwandes bewusst, den eine vollständige Bewertung von Vorkehrungen nach diesen Kriterien gerade in komplexen Anlagen bedeutet. Aus diesem Grund bietet das BSI Betreibern vielfältige Unterstützungsmöglichkeiten an: Beispielsweise hat das BSI Hilfestellungen sowohl zu Nachweisen [2] als auch zur Entwicklung branchenspezifischer Sicherheitsstandards (B3S) [3] veröffentlicht. Ebenso kooperiert es mit Betreibern im Rahmen des UP KRITIS (www.upkritis.de), in dessen Branchenarbeitskreisen die zugehörigen B3S auch entwickelt werden können.
Mit dem IT-Grundschutz (www.bsi.bund.de/IT-Grundschutz) bietet das BSI zusätzlich eine systematische Vorgehensweise an, um angemessene Sicherheitsmaßnahmen nach Stand der Technik zu identifizieren und umzusetzen. Diese starke Unterstützung will das BSI auch in Zukunft weiterentwickeln und ausbauen. Hierfür setzt es auf einen fortwährenden Austausch mit den Betreibern.
Literatur
[1] Bundesministerium der Justiz und für Verbraucherschutz, Handbuch der Rechtsförmlichkeit (HdR), 3. Auflage, September 2008, http://hdr.bmj.de
[2] Bundesamt für Sicherheit in der Informationstechnik, Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG, Version 1.0, Mai 2019, www.bsi.bund.de/dok/12491954
[3] Bundesamt für Sicherheit in der Informationstechnik, Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß § 8a (2) BSIG, Version 1.0, Januar 2018, www.bsi.bund.de/dok/10338482